Ayer los chicos de ADT Team hackearon el sitio del Frente para la Victoria

Lo que llama la atención es que al parecer son TAN RATAS que  no pagan un hosting: usan una conexión hogareña de Arnet para alojar la web:

Traza a la dirección frenteparalavictoria.org
sobre un máximo de 30 saltos:

  1  192.168.1.1
  2  Tiempo de espera agotado para esta solicitud.
  3  RBRCH01-Gi9-1-3922.mrse.com.ar [200.51.233.146]
  4  RBRCH01-Po11.mrse.com.ar [200.51.233.135]
  5  cli02ra-se-4-2-2.tasf.telecom.net.ar [200.3.34.133]
  6  200.117.124.21
  7  host178.200-117-126.telecom.net.ar [200.117.126.178]
  8  200.117.76.90
  9  3380 ms host227.190-138-179.telecom.net.ar
     [190.138.179.227]
 10  2896 ms host227.190-138-179.telecom.net.ar
     [190.138.179.227]

Traza completa.

Wtf!? Esa no es una IP común de usuario de Arnet? Y los DNS!?

AUTHORITY RECORDS:
    ->  frenteparalavictoria.org
        nameserver = ns14.zoneedit.com
        ttl = 1891 (31 mins 31 secs)
    ->  frenteparalavictoria.org
        nameserver = ns1.zoneedit.com
        ttl = 1891 (31 mins 31 secs)

Ya entiendooo ¿para que un hosting? si alojando la web en un ciber sale más barato ¿No?:

Registrant Name:Luis Alberto MAZURIER
Registrant Organization:CiberNet
Registrant Street1:Concejal Veiga 777
Registrant City:CONCORDIA
Registrant State/Province:ENTRE RIOS
Registrant Postal Code:3200
Registrant Country:AR
Registrant *********@ciber.net.ar

Esos datos (Y otros que quite) son de Acceso publico, asi que las quejas a Nic Internacional.

De más esta decir que la IP es dinámica, y  el sitio se mantiene offline por saturación.

Como ven, al parecer no son capaces ni de pagar un hosting como la gente para eso solo existe una palabra: Rataaaas!

Gracias a LocoDelAssembly de Speedy Apesta por darse cuenta de este detalle.

Caiga o no en la trampa, odio (pero mucho) que me envíen programas maliciosos, o para abreviarlo: Virus.
Lamentablemente, alguien parece muy obstinado a que yo, dentro de una gran lista de distribución, ejecute ese exe.

Para que entiendan de que estoy hablando voy a contar lo que ocurrió hoy:

Recibo un mail de “mi amiga” Lorena <lorena@facebook.com> (Wtf!? Trabaja en Facebook ), que quiere compartir unas fotos conmigo, al ver el link a simple vista dice:

http://www.facebook.com/fotos.php?id=0-00123a02as1a12a12a1s32d0a3s

Pero si nos fijamos detalladamente, vemos que en realidad el link apunta hacia otra cosa totalmente distinta, nos lleva a:

http://felipemaia.com.br/arearestrita/sistema_de_banner/_facebook.com-fotos.jpg.exe

Obviamente, hay que desconocer bastante como para ejecutar ese archivo (Si alguno quiere hacerlo, yo no me hago cargo de nada eh )

La Página web en cuestión es la de un Diputado Brasileño, Felipe Maia que al parecer esta bastante mal asesorado en materia de seguridad informática, ya que si bien este mismo sitio al día de hoy esta funcional, fue hackeado hace un mes mostrando un gran “Owned” en la portada, y nunca se tomaron el trabajo de borrar el archivo.

Esto no lo se mágicamente, hace meses recibí mails parecidos al de ahora y también lo investigue. Es porque me rompen las bolas que hago el post

Como soy una buena persona (?) y para evitar que alguién lo ejecute me puse en contacto con el hosting brasileño y con los responsables del sitio, por el momento no recibí ninguna respuesta.

Luego de esto me puse a indagar de donde provenia el mail, acá esta (resumida) la cabecera del mismo:

Delivered-To: info@miguelcosta.com.ar
Return-Path: <root@mx1.giganet.com.ar>
Received:
from mx1.giganet.com.ar (ns1.guby.com.ar [200.49.102.61])
by mx.google.com with SMTP id
22si11529611gxk.37.2009.02.17.13.47.53;
Tue, 17 Feb 2009 13:47:54 -0800 (PST)
Date: 17 Feb 2009 18:44:44 -0300
Message-ID: <20090217214444.5673.qmail@mx1.giganet.com.ar>
To: info@miguelcosta.com.ar
Subject: Nuevas fotos para vos!
X-PHP-Script: ***************** for 190.51.25.241
From: <lorena@facebook.com>
Reply-To: support@hotmail.com
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit

Como ven ahi tenemos algunas cosas bastante interesantes:

• El servidor desde donde proviene el mail: mx1.giganet.com.ar
• El Id del mensaje: 20090217214444.5673.qmail@mx1.giganet.com.ar
• El script utilizado para enviar el mail (Que no lo pongo para que nadie más se aproveche y lo use), y la dirección IP de la persona que lo envió: 190.51.25.241

Esta dirección IP pertenece a Speedy, dentro de la zona de Capital Federal y es dinámica, lo que no garantiza que en este momento este asignada especificamente a la persona que lo hizo, pero si que en algún momento lo estuvo. Por lo tanto, no intenten hacer nada raro.

Agrego además que el script desde donde se envió el mail estaba dentro del dominio btmchile.com cuyos responsables son los mismos que Giganet.

Como con el hosting, también me puse en contacto con estas personas, en primera medida a traves de la página web (Btmchile.com), pero oh, sorpresa:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘http://felipemaia.com.br/arearestrita/sistema_de_banner/_facebook.com-fotos.jpg.’ at line 1

Al parecer no era solo un simple script

Por la web de Giganet los mensajes se envian, de todos modos un Whois y una consulta en Nic.ar revela que efectivamente el director general que aparece en la sección contactanos, Mariano Andrés Giudice, es fehacientemente el responsable del dominio y afortunadamente encontré una dirección de e-mail donde notificar el hecho, ahora que le den bola o no es cosa suya.

No se cuanta importancia le den, pero yo en su posición como webmaster consideraría un problema grave que usen mis servidores smtp, y modifiquen las consultas SQL a lo que se le den las ganas. Supongo que ustedes también.

—-

Lo que me molesta de todo son estos estúpidos que andan dando vueltas pensando que son hackers cuando lo único que hacen son un poquito de ingeniería social para hacer caer a los que menos saben en vez de ponerse a hacer algo util ¡Esto no es ser un hacker! Por ahí si la parte de acceder a un hosting, subir un archivo, y poner un gran owned, pero ¿Y todo ese spam que recibo porque?

Bah. si… Capaz para Clarín no hace falta mucho para serlo, por ejemplo, en esta nota (más allá de la temática principal) considera al que hace Phishing un Hacker hecho y derecho. ¿Se sienten todopoderosos enviando esas porquerías? ¿Si sienten “grosos” por que alguien caiga en algo que ni diseñaron? Si eso les da satisfacción y justifica molestarme por mail, son unos fracasados.

Déjense de joder y consiganse una vida

Mucho cuidado a quien mandan el mensaje

Visto en failtblog.org