Análisis forense de megabyte

[codebreak]

/*******************************************
Ya estamos en el nuevo server
Ya mudamos el foro al nuevo servidor, sobre lo sucedido solamente queda decir que ya no habra ningun moderador a menos que los conozca personalmente, ya que por culpa de uno de los moderadores(no dire quien) facilito el acceso a la base de datos y publico los passwords de varios usuarios, asi que les recomiendo a todos cambiar su password para evitar malos rollos.
La comunidad sigue creciendo, el tiempo de respuesta ante un ataque fue de menos de 15 minutos, y ahora todo esta normal, ningun posts se perdio (nosotros si tenemos backup xD) .
Y bueno a seguir colaborando y hacer crecer la comunidad que ya lleva 19 dias con el dominio de abstracto
 
 
*******************/

Mmmm....
Recién leí el análisis forense de megabyte. Aunque en ciertas cosas le ha apuntado, en muchas otras no.
Lógicamente el deface no involucro a ningún administrador de su foro.. ahi esta equivocado. El ataque no requirió de ingeniería social.

Voy a explicar en resumen el proceso, con fines educacionales.

El primer paso del ataque fue obtener acceso a su base de datos, desde ahi me cree un usuario administrador. No se necesito la ayuda de ninguno de sus moderadores, pues como deben saber aquellas personas que poseen o administran foros, solo los moderadores globales (administradore s mas bien, no moderadores) tienen acceso a las configuracione s de los foros (esto quiere decir, administradore s con GROUP ID = 1). Las únicas personas con ese nivel de acceso en su foro son Antrax y Megabyte... los cuales dudo mucho que caigan ante ingeniería social.

Una vez con acceso de administrador, esta claro que no utilice una inyección HTML, pues con una inyección HTML unicamente podría haber hecho un deface de redirección y no podría haber (1) defaceado *sigilosamente* todos los archivos de su web y (2) haber sacado las passwords de algunos de sus usuarios; entre ellos antrax y megabyte. Como ustedes sabrán, las contraseñas de los foros estan generalmente encriptadas en MD5 o SHA1, específicamente en foros SMF estan encriptadas en MD5/SHA1 con saltos (es decir, por ejemplo: SHA1(MD5("contraseña").xxxx))... asique ni con acceso de administrador de foro (nivel 1, pues no cualquier admin puede subir shell.. imaginense si fuera así, como estaría la seguridad de foros el día de hoy), ni con shell, ni con acceso a la BD, no se explica como obtuve esas contraseñas que publique en texto plano. Como las obtuve?.. eso no lo explicare aca sino en la sección privada.

*Sigilosamente: como megabyte debe haber notado, no modifique su index ni el "SSI.php", ni ningún otro fichero, sin embargo ellos si mostraban deface.

El proceso en resumen fue algo así:
- Acceder mediante otra cuenta en su servidor y robarme las variables de su "Settings.php" (si, unicamente las variables, no el archivo php en texto plano)
- Con dichas variables (entre ellas usuario y contraseña de las DB), accedi desde mi cuenta (localhost) a su base de datos.
- Realice un backup de la BD.
- Me cree una cuenta de administrador en su foro (es decir ahora eramos admins: antrax, megabyte y yo). Configure el foro para que acepte archivos adjuntos en los posts, cambie el tamaño maximo de dichos archivos, permiti el upload de archivos PHP y configure que no encripte los nombres de archivos. Con ello, pude subir una shell con un nombre especifico y encontrarla de inmediato en el directorio "attachments", pues estaria con el mismo nombre con el cual fue sibida.
- Mediante esa shell, subi 3 mas.
- Borre el post (por ende se borro la shell original), configure el foro como estaba orignalmente y borre mi usuario.
- Deje esas shells ahi guardadas como backup para el ataque.

El resto ya se sabe...
El primer deface al foro fue realizado de esa manera, el segundo deface del foro fue realizado ganando accesos al servidor y por lo mismo, el tercer deface a su web.

En la imagen se aprecia los únicos administradore s con acceso al "Panel de administración"

*El eliminado soy yo.

Cabe mencionar, que yo no tengo nada en contra de C-Group, antrax o ninguno de sus miembros.
El deface fue en contra de megabyte y para saldar algunas deudas que tenia con el (una mia, otra de amigos y las otras ya son conocidas).. en fin.. megabyte sabe que se lo merecía.

Con esto me considero saldado y seguiré en lo mio (como siempre desde ya hace muchos años).
De ahora en adelante lo que haga megabyte, estará en su cuenta y espero que cambie. Es una persona graciosa, su blog es entretenido y se le ve que le gusta el tema... pero cuando uno esta al otro lado de la broma.... la gracia se acaba... y hay que tomar acción.

Saludos,

[setup]

Buen procedimiento,aunque tengo mis dudas claro... mas si lo mandas a privado  menos me enterare....

Pero no cabe duda en los .txt no crackeaste ningun hash,algo hiciste con el codigo en PHP y creo q le metiste semejante keylogger en PHP porque se nota que el txt es algo generado y no escrito.... me hace suponer que tenias efectivamente troyanizado el foro... por decirlo de alguna manera....

cada vez que un Usuario ponia su user y  passapretaba enter o hacia solo un click se generaba en un .txt lo escrito,porque se nota que en los .txt hay equivocaciones de users al escribir y lo vuelven a repetir,si lo habrias crackeado o escrito tu al txt efectivamente no habrai error de escritura...

buen metodo.... el foro esta troyanizado todavia...en q file lo habras metido me pregunto a q codigo se lo añadiste... igual no tengo acceso a ese foro mucho para opinar...

PD: No se porque razon pero eres el mismo caso que "Rgod" lo conoceran seguramente descrubrio un error en los SMF versiones anteriores,son expertos en lenguaje PHP,solo que el es italiano y tu chileno pero los 2 aman el ingles y el php... se me ocurrio recien escribir esto

[nanonroses]

Buen procedimiento,aunque tengo mis dudas claro... mas si lo mandas a privado  menos me enterare....

Pero no cabe duda en los .txt no crackeaste ningun hash,algo hiciste con el codigo en PHP y creo q le metiste semejante keylogger en PHP porque se nota que el txt es algo generado y no escrito.... me hace suponer que tenias efectivamente troyanizado el foro... por decirlo de alguna manera....

cada vez que un Usuario ponia su user y  passapretaba enter o hacia solo un click se generaba en un .txt lo escrito,porque se nota que en los .txt hay equivocaciones de users al escribir y lo vuelven a repetir,si lo habrias crackeado o escrito tu al txt efectivamente no habrai error de escritura...

buen metodo.... el foro esta troyanizado todavia...en q file lo habras metido me pregunto a q codigo se lo añadiste... igual no tengo acceso a ese foro mucho para opinar...

jajaja sep mucho para opinar, bastante diria yo jajaja

Buena Code

http://icavirtual.wordpress.com/2007/04/13/defaced-by-codebreak-underlatinoorg/

jajajajajajjja

[Cool Fire]

si ya sabia el analisis que dio mbyte no tenia sentido como un moderador subiria shell Hacer buckup de la DB  :  por el xploit es probable pero es smf si no administra solo modera el segun un moderador havia dado su pass mmh solo un administrador el metodo merece un 10 creo que el nunca penso que se pudiera hacer eso 

[Diabliyo]

Hola:

A mi me interesa la explicacion al 100%, ya que me tiene en duda Como estuvo capturando los valores de dichas variables (del file Settings.php) para posteriormente conectarse a mysql.....

Bueno, espero y lo publique, ya que como muchos sabemos... Se exige TRANSPARENCIA para aprender !!

bye bye

[Nekfé]

GREY MACKANNAN...

Noto que cuando escribiste tu mensaje estabas de muy mal humar ¿eh? Es cierto que está mal conjugado el verbo Educar, pero ¿tanto como para que él tenga un bajo nivel de coeficiente intelectual?

La educación conduce a la formación de un hombre más maduro, más completo y más coherente.

Bien, tú lo haz dicho, y creo que es de lo que te hace falta un poco... Y no a codebreak.

y no proceder como usted lo indica regalando la llave por mensajeria privada.

Vale, creo que es en lo único que estoy de acuerdo.

Me considero uno de los mejores exponentes que existe en mi rubro, luchando constantemente con el extigma que user como ustedes nos legaron por mucho tiempo ,me refiero a la aplicacion del termino "ROBAR", termino que al dia de hoy, nos enrrostran los medios de comunicacion "DELINCUENTES DE LA RED"

¿Y si eso no es robar, entonces qué es? No intentes disfrazar términos. Es la realidad, eso es robar, hurtar... Cosa muy diferente es que por el hecho de que alguien robe no quiere decir que es un delincuente informático.

Dudo mucho que con el animo velisista que lo impulso a actuar de esa manera, tan solo un segundo se halla puesto a pensar que el que ha hierro mata a hierro muere? me explico: su incursion fue hacia la casa que cobija actualmente al Señorito Megabyte, pues bien mi pregunta es la siguiente: cual es la casa desde la cual esta posteando en este momento? le aclaro enseguida, es la misma casa que me cobija a mi y a un centenar de chicos deseosos de aprender, y creame, no quisiera saber que una manga de jilipollas aya querido atacar a CPH, en represalia a sus caprichos y despechos.

Mira, tengo entendido que ésta no es una comunidad de la cuál haga parte codebreak... De hecho aquí no hay algún aquipo especial de "hackers" ¿o sí? Él, por si no te has dado cuenta, sólo está aquí de vez en cuando aportando un poco... Cobarde sería si Megabyte tomara replesalias contar portalhacker.
Ah, y creo que sí pensó lo de que "al que a hierro mata, a hierro muere", ¿sabes por qué? No sé si estás enterado, pero codebreak no fue el que a hierro mató, fue megabyte. codebreak aplicó la segunda parte del dicho y dio muerte a hierro al que a hierro mata.

Se vuelve a equivocar mi señor, en este rubro como todos sabemos, las deudas jamás se saldan solo quedan pendientes.

Puede ser cierto.

Le aconsejo para una próxima oportunidad que aprenda de sus errores, medite como un niño adulto y tome sus acciones en forma anónima, sin comprometer ni hacer participe a gente sin conocimientos del tema, le recuerda esta frase? "UNDREGROUND", pues bien amigo Codebreak, hay mucho que rescatar en vuestra persona por lo que te sugiero que te dediques a compartir vuestros conocimientos y dejar de lado el odio que anida en tu corazón. Mis palabras tómalas como un aliciente a tu ego, y deja ya de andar pregonando lo que hiciste y dejaras de hacer, te invito a que efectúes tus valiosos aportes a nuestros foros.

¿De qué herrores debe aprender? ¿A quién comprometió? Creo que tú eres el que debería meditar como un niño adulto antes de escribir algo como lo que escribiste.

[codebreak]

Para GREY MACKANNAN:

Acaso tu crees que esto es un blog, para que me vengas a filosofear sobre tu definición de lo correcto e incorrecto?. Lo único que puedo ver acá, es que al parecer este deface te ha molestado y te sientes indignado porque no he publicado los detalles, almenos en las áreas en las cuales tu estas libre de leer. El que tu no puedas leer mi explicación, no implica que alguien mas lo hará.

Y para que sepas, yo tengo mucho tiempo en esto... y si vieras mi perfil, sabrías que yo no soy del tipo de personas que tanto comentas... pero me imagino que eso ya lo sabias, no?. Pues veo que tu eres de aquellos que emite una opinión con tan solo una impresión y no ve el trasfondo de las cosas... es decir, no investiga... no se con que pellejo dices que conoces siquiera parte del tema (under)

En fin, yo no tengo porque justificarme ante ti. No tengo por que justificar mis razones, intenciones y siquiera mi perfil en el under.

Saludos,

PS:
- Si publique esto acá, fue porque en el entonces newbytes estaba offline por un ataque DDOS.
- No se porque dices que eres uno de los mejores exponentes del tema v(si tu lo dices ha de ser verdad, no?). Nunca había oído de ti (y eso se debe a que no he visto aportes al tema de ti). Quizás, te dejo, que lo seas en América latina (podría ser), pero a nivel mundial?. Yo conozco gente mucho mas apta y con perfiles notablemente superiores al tuyo (asuminedo que lo tengas)... gente de la cual tu lees guías y aprendes y todos acá también.
- No se si sabes.. si ves esto en perspectiva pequeña... pero acá cayo megabyte, no el hosting. Actualmente estoy ayudando al CEO de 110mb, quien me contacto, para mejorar su seguridad.

[vart001]

codebreak
según tus post, accesaste ó mas bien utilizaste una phpshell.

Pero según recuerdo el servidor ó los servidores de 110mb tenían configuracione s propias de un safe mode.. lo cual no permite la ejecucion de comandos shell.  :

dime si me equivoco, ó acaso nunca tuvieron ese tipo de confirmación?

[codebreak]

codebreak
según tus post, accesaste ó mas bien utilizaste una phpshell.

Pero según recuerdo el servidor ó los servidores de 110mb tenían configuracione s propias de un safe mode.. lo cual no permite la ejecucion de comandos shell.  :

dime si me equivoco, ó acaso nunca tuvieron ese tipo de confirmación?

Claro, en los servidores 110mb.com no se podían utilizar las shells (me imagino que mas de alguno lo habra intentado, sabiendo que megabyte estaba ahi). El hecho es que hay otras alternativas a las shells y otras formas y funciones en PHP, que no estaban bloqueadas. Especificament e por eso fue que me contacto el CEO, porque no podía entender como lo hice... pero ya encontramos el error y estamos trabajando en ello.. asi que lo mas probable, es que entre algunos cambios, 110mb vuelva a tener safe mode on.

Respecto a un tema que he visto, me voy a desviar un poco al comentar.
Dicen por ahi que se elimino el enlace a Zone-H. No se si megabyte usara eso como excusa para decir que nunca hubo tal deface.

El hecho fue que al momento de la publicacion, alguien (ya sabemos quien), publico 1200 defaces FAKES a mi nombre. Lógicamente los administradore s de Zone-H vieron esto como un mass deface o una suerte de spam, y eliminaron todos los defaces a mi nombre a modo de represalia... entre ellos se incluye el que yo coloque.

Pero, la verdad es que no ha sido eliminado.
Asique megabyte dice "Donde esta el enlace de zone-h?"

Le respondo:
Aca:
Para ver este enlace Registrate o Inicia Sesion

http://www.zone-h.net/defaced/2007/04/13/www.underlatino.org/

¿Lo viste ahora megabyte?

En fin.. no me quiero calentar mas la cabeza... este tema mejor lo dejo ahi.
Asique a hablar mejor de lo que nos gusta ajaja.

ASique cualquier pregunta, aca nomas.

[Universal SAC]

Interesante... la verdad es que el procedimiento usado es mucho más simple del que me imaginé.
Yo soy muy torpe en informática y apenas voy aprendiendo a programar, asi que ni se diga sobre informática 'underground', jeje.

Sin embargo, hasta donde yo lo veo fué facil. Aunque es muy extraño poder leer ficheros de otros usuarios en un servidor de alojamiento web gratuito tan popular; hoy en dia, cualquiera sabe modificar una valor booleano en la configuración de PHP para evitar eso. Supongo que lo más dificil fué conseguir la carpeta donde se encontraba el vulgar racista.

Jamaz he apoyado el defacing y esta no será la excepción, aunque bien, te felicito por 'saldar tu cuenta' para abrir una nueva. (Será que el DDoS a la página donde eres miembro (newbytes) tiene algo que ver? Parece lógico...)

En fin... publico 1200 defaces FAKES a mi nombre. Lógicamente los administradore s de Zone-H vieron esto como un mass deface o una suerte de spam, y eliminaron todos los defaces a mi nombre a modo de represalia... jajaja, hay que admitir que eso es muy astuto, jaja.

PD: Nekfé y codebreak, les recomiendo leer varias ocaciones un texto para lograr comprenderlo correctamente. Especialmente a ti, Nekfé... te aconsejo leer más, (no sobre informática, no digo que seas torpe) sino leer cualquier otro texto, de cualquier tipo... libros, libros en internet, etc. Cualquiera. A mi me ha servido mucho y me parece que ahora puedo comprender mejor cualquier texto.

Nos leemos. 

[codebreak]

Interesante... la verdad es que el procedimiento usado es mucho más simple del que me imaginé.
Yo soy muy torpe en informática y apenas voy aprendiendo a programar, asi que ni se diga sobre informática 'underground', jeje.

Sin embargo, hasta donde yo lo veo fué facil. Aunque es muy extraño poder leer ficheros de otros usuarios en un servidor de alojamiento web gratuito tan popular; hoy en dia, cualquiera sabe modificar una valor booleano en la configuración de PHP para evitar eso. Supongo que lo más dificil fué conseguir la carpeta donde se encontraba el vulgar racista.

Jamaz he apoyado el defacing y esta no será la excepción, aunque bien, te felicito por 'saldar tu cuenta' para abrir una nueva. (Será que el DDoS a la página donde eres miembro (newbytes) tiene algo que ver? Parece lógico...)

En fin... publico 1200 defaces FAKES a mi nombre. Lógicamente los administradore s de Zone-H vieron esto como un mass deface o una suerte de spam, y eliminaron todos los defaces a mi nombre a modo de represalia... jajaja, hay que admitir que eso es muy astuto, jaja.

PD: Nekfé y codebreak, les recomiendo leer varias ocaciones un texto para lograr comprenderlo correctamente. Especialmente a ti, Nekfé... te aconsejo leer más, (no sobre informática, no digo que seas torpe) sino leer cualquier otro texto, de cualquier tipo... libros, libros en internet, etc. Cualquiera. A mi me ha servido mucho y me parece que ahora puedo comprender mejor cualquier texto.

Nos leemos. 

Yo los textos los leo hartas veces. Incluso los posts, incluso mis posts los leo hartas veces buscando segundos sentidos que puedan ofender a alguien. 

Encontrar el directorio de su web fue lo mas simple.
Las webs se guardan acorde un cierto patrón, siguiendo ciertas reglas para indexarlas mejor en el servidor. Asi que cree una utilidad, que ingresando la url del usuario y el archivo a espiar, te devuelve la ruta y las variables de dicho fichero (en el caso de ser PHP).

Saludos,

[Nekfé]

Pero, la verdad es que no ha sido eliminado.
Asique megabyte dice "Donde esta el enlace de zone-h?"

Le respondo:
Aca:
Para ver este enlace Registrate o Inicia Sesion

http://www.zone-h.net/defaced/2007/04/13/www.underlatino.org/

Yo no lo puedo ver. : Me aparece una pantalla en blanco. :

PD: Nekfé y codebreak, les recomiendo leer varias ocaciones un texto para lograr comprenderlo correctamente. Especialmente a ti, Nekfé... te aconsejo leer más, (no sobre informática, no digo que seas torpe) sino leer cualquier otro texto, de cualquier tipo... libros, libros en internet, etc. Cualquiera. A mi me ha servido mucho y me parece que ahora puedo comprender mejor cualquier texto.

Yo también leo mucho... ¿Quieres una prueba de ello? Mira, yo sé que tú realmente lees mucho, ¿y por qué sé eso? Por tu ortografía. ¿No crees que yo también al igual que tú leo bastante (y hasta más)?
Claro que si tienes alguna duda sobre mi comentario, dila, y la analizo más a fondo a ver...

[codebreak]

Yo no lo puedo ver. : Me aparece una pantalla en blanco. :

Zone-H no esta cargando.

[OzX]

Grey si te gusta la horrografia pues este no es el foro para criticar segun el sentido del verbo y cuanta tontera ahy, ..

Me considero uno de los mejores exponentes que existe en mi rubro

Que rubro? me imagino que no uno de hacking.... porque no te e visto ni en peleas de perros.

Universal Sac XD¡ q no me vengas q no tienes idea claramente se sabe que tu sabes... o los pdf q e leido por ahy los inventaste XD¡ jejej (saludos bro )


Imagen del DDOS que Solo hizo efecto menos de 15 minutos o diria casi nada.. porque una vez creado el server cerro sus puertas y lo protegio.

[marlochack]

pues asi es...grey es muy bueno en el under...pero creo que estaba enojado por otro motivo...no es asi?...

ahora OzX.....peleas de perros?...hay personas que preferimos estar al margen de algo que considero algo estupido...gue rras de deface??...en fin

Codebreak...ha ckers internacionale s??....sabes cuantas veces he leido eso???...asme un favor enviame un mp de algunos nombres y de los foros donde se reunen...porfa ....

OzX, code...los respeto pero creo que ambos se pasaron en sus post...respete n la diversidad de ideas......y tu grey tambien bajale a tu histeria....

---------------------
unos dicen que estoy loco, otros que soy un genio...yo solo digo que soy un amante del saber...

                   talves me quieran exiliar algunos traidores de Moon´s hack teams....pero yo se que Crafter y CtK-490 estan de mi lado...

[OzX]

no me retracto de nada...
XD¡

[codebreak]

pues asi es...grey es muy bueno en el under...pero creo que estaba enojado por otro motivo...no es asi?...

ahora OzX.....peleas de perros?...hay personas que preferimos estar al margen de algo que considero algo estupido...gue rras de deface??...en fin

Codebreak...ha ckers internacionale s??....sabes cuantas veces he leido eso???...asme un favor enviame un mp de algunos nombres y de los foros donde se reunen...porfa ....

OzX, code...los respeto pero creo que ambos se pasaron en sus post...respete n la diversidad de ideas......y tu grey tambien bajale a tu histeria....

---------------------
unos dicen que estoy loco, otros que soy un genio...yo solo digo que soy un amante del saber...

                   talves me quieran exiliar algunos traidores de Moon´s hack teams....pero yo se que Crafter y CtK-490 estan de mi lado...

Sorry por el atraso.. pero mas vale tarde que nunca.

Acá info de hackers internacionale s los cuales se de primera mano que tanto saben.
Hackers internacionale s:
Ryan, Aelphaeis Mangarae, Preddy, Str0ke, etc.. etc...

Sitios: (donde se juntan)
ha.ckers.org ; w4ck1ng.com (Root@shell & W4ck1ng) ; blackhat-forums.com

Hay muchos sitios mas, claro esta.
Pero los que mas me gustan son los que mencione.. donde mi preferido es w4ck1ng (mi team), ya que ahí se juntan la gran mayoría de ellos... en las áreas privadas claro.

En esos sitios la información esta años luz mas avanzada que en los habla hispana... y puedes hablar con los autores de manera directa.. ya que son sitios de reunión de grupos de muchos lados.

Saludos!

[CHR0N05]

Wenas!!!

O_O... Gracias por la Info. codebreak.... ... aprender Ingles se ha dicho...XD

Saludos