EITest: entenda a campanha maliciosa que foi exposta

Segurança de dados é uma pauta que ganhou força recentemente após of vazamento and use ilegal de dados dos usuários do Facebook no escândalo com a Cambridge Analytica. Il pubblico generale è diventato un grande importatore di permessi per i papà e per i contratti di servizi con informazioni e papà.

Tutti gli altri numeri utilizzati per gli utenti, le anteprime concorde, il processo procurar e il rendering dei termini di utilizzo del servizio sociale, e l’applicazione di servizi. Il momento cruciale per l’approvvigionamento è assunto in alta misura per denunciare e porre domande in merito a danosas.

Nesse Ponto, un’equipe di HostDime tem muito un contributo. Per quanto riguarda i processi proprietari di sicurezza all’interno di un data center, non è necessario disporre di un ulteriore strumento per rilevare potenziali problemi con la garanzia decisiva di sicurezza di papà. O nosso Analista de Segurança, Igor Andrade , fez um artigo so come atividades da campanha EITest – descoberta recentemente, mas estima-se que coleta dados de forma maliciosa desde 2011.

Fondamentalmente, essa ha individuato vulnerabilità esplosive in siti che utilizzano i popolari di CMS (WordPress, Joomla), che sono stati pubblicati e pubblicati di conseguenza con tempo. Per me de Exploits Kits (Kits de exploração de vulnerabilidades) são inseridos trechos maliciosos no conteúdo do site, dessa forma os atacantes instalam botnets que alteram or conteúdo original para um conteúdo malicioso: the você acessar or endereço infectado, you canly ugar so esquema de engenharia social o qualquer outra atividade suspeita.

Se vuoi che entri in EITest atuava, como foi diagnosticada e como pode ser removida, leia o artigo completo a seguir:

EITest Script Finder e Considerações sobre a rede maliciosa que foi pro ralo!

Iremos hoje falar sobre uma grande campanha / rede chamada EITest com intuitos maliciosos que esteve oculta durante um certo tempo. Ho vissuto la vita con l’esperienza, in seguito alla rimozione di archivi di faziam parte desta rossa di circa 52 milioni di copie. Come già accaduto dal 2011, entrando in vari segmenti, como mineração de cryptomoedas através de arquivos js (Monero), esempi di engenharia social, distribuzione di tralfego, cliques / visualizações in siti per altri temi popolari / esterni.

Non è necessario un certo numero di porte informatiche per il rosso EITest, più o meno ultrapassa 50 milioni di zombi, geralmente comprometida através di CMS desatualizados por meios de exploits, secondo WordPress segundo estátisticas.

Nel 2014, ecco come utilizzare botnet per la realizzazione di account di malware, un Network EITest costumava redirecionar usuários per hosting comprometidos (Geralmente WordPress) e video interattivi con malware distribuito tramite software fraudolenti / tentativi di truffa / phishing. .

Esistenti caselle di vendita di buoni dati su siti composti da 20 dolares per 1.000 usuários, variando da 50 a 70.000 visite, per un totale di $ 1,000 a $ 1.400 dolares per blocco.

Nessun altro passatempo, una vera e propria azione da parte di redine di máquinas infectadas / zumbis consistiu principalmente in engenharia social e tech truffe.

A SpamHaus, Tomou o Controle da Rede Maliciosa recentemente in congiunzione con un abuso.ch e devido a isso come máquinas infectadas passaram por listagens de blacklist (CBL / SPamHaus), que quando você realiza o lookup nas rispivas spamlist / blacklists, você irá se deparar com come segue informações do EITest (CBL):

52.000 server che sono già stati redatti da EITest, altri elenchi di Spamhaus / CBL Blacklist, e sono ora in grado di risolvere il problema, come arrivare a un account di massa per controllare un numero di account inclusi .

Basicamente consiste nell’identificativo o nel pacar disparado, che in pratica non coinvolge IP ‘192.42.116.41’:

#!/bin/bash 
#IgorAndrade Eitest Finder
#Version 1.1
#Run in a Screen for a better investigation
rm -rf /home/eitest.txt
while true
do
#SpamHaus Honeypot, it will help us to find the account source
hpot=$(echo 192.42.116.41)
#it will get the info about the proccess, more details take a look on lsof manual
lsof -Pni|grep $hpot
#will enter on this if if the lsof command up is valid output matching with the ip of honeypot
if [ $? -eq 0 ]
then
#it will get the pid proccess of attacker
for saida in `lsof -Pni | grep $hpot | awk {'print $2'}`
do
#it will give detailed where the file of attacker is and store it in a txt
lsof -p $saida | egrep "cwd|DEL" | tee -a /home/eitest.txt
done
#just print at command line
echo "The attacker was discovered take a look on: /home/eitest.txt"
else
#will keep investigate
echo "Nothing Discovered yet..."
fi
sleep 1
done

È possibile eseguire lo schermo per la ricerca di melhor, eseguire la coda di un file importato, impostare l’armadio su un desktop / localizzazione locale in / home/eitest.txt, oppure eseguire lo script in modo che sia sempre nello schermo, mentre è vero ):

Per l’identificazione da parte di comprometida, foi utilizado o command lsof com os paraâmetros -Pni, per identificativo o pacote e usuário, incluso o PID (muito importante):

 php-cgi 11654 USUARIOAQUI 4u IPv4 1009835293 0t0 TCP xxx.xxx.1xx.2:42790->192.42.116.41:80 (SYN_SENT) 
php-cgi 24714 USUARIOAQUI 4u IPv4 1010325826 0t0 TCP xxx.xxx.1xx.2:52696->192.42.116.41:80 (SYN_SENT)

Nessun campo “UsuarioAqui” Iremos ter o usuário comprometido pelo eitest, with o PID, que is o segundo campo, iremos usar o command lsof novamente no script com o parâmetro -p para encontrar a source eo arquivo que possui or conteúdo malicioso. Se olharmos o conteúdo malicioso do arquivo, veremos algo similar ao abaixo:

Agora é só desativar o arquivo, ou remover o conteúdo malicioso, gerally o wordpress comprometido, vai utilizar uma versão obsoleta, neste caso de hoje, estava na versão 4.6.1 de nada mais nada menos que 2 anos atrás, de dezzro de 2016 .

Fonte: consultalinux.org