On 07/10/2016 01:42 PM, Pinguino Patagonico wrote:
El día 7 de julio de 2016, 22:58, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-08 02:22, Pinguino Patagonico wrote:
El día 6 de julio de 2016, 15:15, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-06 15:16, SATOF wrote:
Hola,
estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux:
http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e...
Pero si, uno de los links del artículo:
A ver.
Detectado por ESET como Linux/Filecoder.A, este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos.
Vale, eso ya lo sabíamos. Pero antes de hacer eso tiene que entrar. ¿Como lo hace?
En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root.
Pues claro.
Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor.
¡Pero no dice como entra!
http://www.welivesecurity.com/la-es/2015/11/09/linux-ransomware-que-apunta-a...
Otro link de este ultimo:
Tras analizar su proceso de infección a través de correos electrónicos con metodologías de Ingeniería Social,
Eso no es un ataque a un servidor.
realizaremos un análisis más detallado del otro vector de propagación que utiliza, que hasta el día de hoy es la amenaza predilecta de los atacantes para propagar a Locky: un código malicioso detectado por las soluciones de ESET como JS/TrojanDownloader.Nemucod.
Nemucod es un malware desarrollado en JavaScript y por lo tanto no tiene ninguna complicación para ser ejecutado en sistemas operativos Windows,
Windows.
gracias al Windows Script Host. Pero, ¿qué acciones realiza esta amenaza? En líneas generales, se encarga de descargar a Locky y efectuar su ejecución.
http://www.welivesecurity.com/la-es/2016/05/20/nemucod-aliado-ransomware-loc...
Nada, todo eso no sirve de nada para saber como entran en el servidor y por tanto, que hacer para evitarlo. Dicen obviedades.
La posibilidad está en un CMS que posea ciertas vulnerabilidades y mal configurado. Por ejemplo, Drupal años atras, a pesar de que estaba considerado "uno de los mejores CMS", si uno no prestaba atención a la creación de usuarios nuevos, por defecto quedaban seteados en autorización automática, y con el perfil de administrador. Te puedes imaginar de lo que eso implica.
Me extraña eso que comentas de Drupal. Yo usé intensivamente Drupal 5, 6 y 7. Incluso la versión 4, creo recordar. En todas ellas el primer usuario se creaba como administrador (evidentemente, era el primero) y los demás no. De hecho, para configurar Drupal de modo que crease administradores por defecto era necesario instalar y configurar un módulo adicional. Saludos. -- Ancor González Sosa YaST Team at SUSE Linux GmbH -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org