Visite também: Viva o Linux · Dicas-L · NoticiasLinux · SoftwareLivre.org

Linux banner
Linux banner
[Como anunciar?]


» Últimos artigos
» Últimas notícias
» Últimas dicas
» Login
Login:
Senha:

Se você ainda não possui uma conta, clique aqui.

Esqueci minha senha

» Top 10 usuários
» .Conf
Home » Dicas » Linux » Servidores web » Visualização de notícia

[Notícia] Servidores Web do Backtrack-linux.org foram invadidos!!!

Linux user
firebits
Notícia enviada por Mauro Risonho de Paula Assumpção A.K.A firebits

Owned: Dia 26/12/2010 até 31/12/2010 :inj3ct0r + caders.cc + ettercap + backtrack-linux.org + exploit-db

Data: 12/01/2011
[ Hits: 2974 ]
Dica Linux tela cheia Versão para impressora   Indicar notícia Linux Indicar para um amigo   Escrever dica Linux Enviar notícia  

Servidores Web do Backtrack-linux.org foram invadidos!!!

Eu havia reparado que durante estes dias 26/12/2010 até 31/12/2010, tentei acessar o site www.backtrack-linux.org e vi que estavam em manutenção.

Meses antes tinha conversado com muts(CEO do Backtrack USA) e ele me falou que rodava em uma VM com 4GB de RAM o site forum. Os caras usavam Fedora 12, bem que podiam ter feito um Hardening do SO.:)

Antigamente antes de eu transferir nosso forum do Brasil e abrir um em português no Backtrack USA, nós usámos phpBB também, pois não tínhamos condições financeiras para adquirir licença para um Vbulletin, que é o que eles usam lá.

Depois que o grupo inj3ct0r comprometeram o backtrack-linux.org (http://pastebin.com/Ew3ARwKJ) e o Exploit-db (http://pastebin.com/hbCUgri5), tivemos em seguida a resposta, o site do grupo inj3ct0r, caders.cc e o site do projeto ettercap tiveram uma surpresa neste natal.

Vejamos as provas:
backtrack-linux.org

$ uname -a

Linux backtrack-linux.org 2.6.32.26-175.fc12.x86_64 #1 SMP Wed Dec 1 21:39:34 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux

$ id

uid=48(apache) gid=494(apache) groups=494(apache) context=unconfined_u:system_r:httpd_t:s0

$ uname -a

Linux backtrack-linux.org 2.6.32.26-175.fc12.x86_64 #1 SMP Wed Dec 1 21:39:34 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux $ iduid=48(apache) gid=494(apache) groups=494(apache) context=unconfined_u:system_r:httpd_t:s0

Exploit-db

$ uname -a

Linux www 2.6.32-25-server #45-Ubuntu SMP Sat Oct 16 20:06:58 UTC 2010 x86_64 GNU/Linux

$ id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

Inj3ct0r

$ uname -a

Linux wateam 2.6.26-2-686 #1 SMP Thu Sep 16 19:35:51 UTC 2010 i686 GNU/Linux

$ id

uid=0(root) gid=0(root) groups=0(root)

$ cat config.php

<?

GLOBAL_START = microtime(true);

define(“DB_HOST”, “localhost”);

define(“DB_LOGIN”, “9r0o7yIn6vD2k9a4″);

define(“DB_PASSWORD”, “=!(_r0ot+e-c-h-0@inj3ct0r_)!=”);

define(“DB_DATABASE”, “9r0o7yIn6vD2k9a4″);

define(“DB_PREFIX”, “inj3ct0r_v2_”);

$ cat .htpasswd

inj3ct0r:1dAX/67F424a4D3Z.QWXTfZi0e2/0G/

inj3ct0r_operator:1cjVbCTaHGGgdG7e.ceNBXZ7ucjsOt1

We owned inj3ct0r because they are lameass wannabe milw0rm kids whose sole purpose in life is to disclose XSS 0dayz in Joomla (RSnake anyone?).
Ettercap

$ uname -a
Linux sfp-web-9.v30.ch3.sourceforge.com 2.6.18-194.11.4.el5 #1 SMP Tue Sep 21 05:04:09 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

$ id
uid=48(apache) gid=48(apache) groups=48(apache),302(amqp)

$ cat /home/groups/e/et/ettercap/htdocs/forum/config.php
<?php

//
// phpBB 2.x auto-generated config file
// Do not change anything in this file!
//

$dbms = “mysql”;

$dbhost = “mysql4-e”;
$dbname = “e17435_etterforum”;
$dbuser = “e17435admin”;
$dbpasswd = “ettersql_a”;

——–

We owned ettercap because we were tired of people firing that shit up and pretending to be a l33th4x0r sheep who think they are the greatest hackerz with their ARP spoofing toolkitz.. If you have installed ettercap in the last 5 years you may want to check yo shit (;p).

O paper completo pode ser visto em: http://www.exploit-db.com/papers/15823/

Realmente esta frase me assusta:

” If you have installed ettercap in the last 5 years you may want to check yo shit (;p)”

backtrack-linux.org

Mais um exemplo de que não há nada 100% seguro, nem eles, nem nós e nenhum lugar.

@firebitsbr


Outras notícias deste autor
   Notícia Linux recomendada Torneio de Pentest com premiação - Offensive Security
   Notícia Linux recomendada phpCAS Cross-Site Scripting Vulnerability
   Notícia Linux recomendada Exploit no kernel 2.6 do Linux permite acesso de root para usuário local

Leitura recomendada
   Notícia Linux recomendada Vulnerabilidade força lançamento do Firefox 3.6.2
   Notícia Linux recomendada Botnet P2P: Trojan Heloag
   Notícia Linux recomendada Kernel Linux x64 vulnerável
   Notícia Linux recomendada Nmap: Script detecta servidores vulneráveis a ataques de DoS com o Slowloris
   Notícia Linux recomendada Falha extremamente severa no navegador Opera descoberta e corrigida

Comentários
[1] Comentário enviado por clandestine em 12/01/2011 - 19:59h:

esse mesmo grupo , se não me engano derrubou o facebook , mais isso acontece nada é mais seguro nesse mundo .

[2] Comentário enviado por brunosf em 21/01/2011 - 12:33h:

Por essa ninguém esperava...


Contribuir com comentário
  
Para executar esta ação você precisa estar logado no site, caso contrário, tudo o que for digitado será perdido.
Contribuir com: [ Artigo | Conf | Dica | Notícia ]
Responsáveis pelo site: Fábio Berbert de Paula / OYS Academy
Site hospedado por:

Segurança Linux

Site especializado em conteúdo de segurança para Linux.