in

Se detectó una botnet de servidores Linux

¿Cómo? Eso suena más a plataformas Windows, en eso todos estamos de acuerdo, pero recientes informes de varios sitios diferentes han revelado la existencia de unabotnet que ha tomado bajo su control a aproximadamente cien servidores Linux de diferentes distros. La botnet estaría infectando a sistemas Windows, entregando contenido a través de un servidor web que utiliza el puerto 8080. Muchos se han apresurado a decir que Linux al final no es tan seguro como sus usuarios dicen, pero lo cierto es que sólo una cosa puede haber provocado que cien servidores terminen infectados, y es un mal administrador de sistema. Si siempre se preguntaron por qué las distros insisten en no usar la cuenta root para tareas mundanas, esta es una de las razones.

La situación es muy poco clara, pero trataremos de pasarla en limpio lo mejor posible. Aparentemente, un total de cien servidores Linux ejecutando Apache y conteniendo páginas web legales fueron penetrados de forma tal que fueron infectados con un segundo servidor conocido como ngnix, y comenzaron a distribuir malware a través del puerto 8080. La gran pregunta que mantiene en velo a los expertos es cómo fue que estos servidores terminaron siendo infectados desde el principio. De acuerdo a la robustez de las plataformas Linux y de su inmunidad ante la gran mayoría de los virus existentes, todos están aplicando un poco de la Navaja de Occam aquí, llegando a la conclusión más sencilla: La culpa fue de los administradores de sistema.

Todavía no se sabe con exactitud si esto fue llevado a cabo para probar que es posible llevarlo a término, o si realmente es un malware que persigue un fin comercial, pero si realmente este nodo de servidores esclavizados se encuentra diseminando malware, entonces se deberían esperar reacciones que estén en sintonía con la infección. Una de las teorías menciona que los asaltantes lograron tener acceso debido a que algún administrador despistado habilitó el acceso abierto al FTP para el usuario root. Los hackers sólo tuvieron que obtener la contraseña del root a través del FTP, y el resto es más o menos historia conocida.

El malware utiliza sistemas como DynDNS.com y No-IP.com, dos sitios que ya han respondido de forma adecuada para contrarrestar los efectos de la botnet. Pero todos concuerdan con que no se debe tomar como una emergencia ni nada parecido. La botnet apenas cuenta con cien ordenadores, muy pequeña en comparación con otras botnets, por eso es tan fuerte la teoría de algún experimento hecho por un hacker. Sin embargo, esto nos recuerda el grado de responsabilidad que debemos tener con nuestros sistemas operativos, ya sean Windows, Mac OS o alguna distro de Linux. Contraseñas fuertes y no almacenadas ayudan mucho, al igual que utilizar el perfil de usuario correspondiente, en vez de estar jugando con la cuenta root.

Reportar

¿Qué te pareció?

Escrito por Lisandro Pardo

45 Comments

Leave a Reply
    • estoy de acuerdo contigo, ningun SO trae virus, hay que "instalarlos", y los sistema siempre pregunta antes de hacer modificaciones.

      Como los cohes, unos mas seguros que otros, pero si el que maneja es medio peligroso, igual pasan accidentes.

      • Pues en windows metes una memoria USB infectada y no te pregunta nada de si deseas modificar el Explorer.EXE

        pero aun así estoy de acuerdo en que cualquier sistema operativo necesita atención y no dejarlo a su suerte solo porque sea GNU o Apple

  1. Lo visteis en The Register?????
    O lo copiasteis de algun sitio????
    (La noticia es del 12 de septiembre…. hace 3 dias.)

    Creo que muchas de las noticias que publicais huelen un poco a reseso, mucha copia de otros blogs…

    • si tienes tantas quejas de esta pagina ¿que haces visitándola día a día? mejor vete a ver esos "otros blogs" y deja de quejarte tanto que nadie te obliga a leer lo que aquí publican.

      • @rick – Si me he leido todo el post por eso me permito el "lujo" de comentarlo sino no lo haria.
        @hwangk – Creo que todo el mundo es libre de opinar al respecto de los comentarios vertidos por los editores, me parece una postura dictatorial el descatalogar o censurar las opiniones desfavorables a un comentario.

        P.D: mi comentario es basado a que la mayoria de comentarios posteados en este blog estan desfasados, es decir la mayoria han sido posteados en otros medios como minimo con 3 o 4 (sino una semana o mas) dias de antelacion, lo que conlleva a como decis, dejar de visitar el mismo en favor de aquellos que presentan la informacion con mayor grado de actualizacion.
        En fin… visto lo visto espero que todo les vaya muy pero que muy bien.

        Un saludo y AU REVOIR!

  2. Creo que la moraleja de este asunto es que cualquier SO va a ser tan seguro en la medida de quien lo administra sepa lo que hace, así sea un Windows, MacOS o cualquier distro de Linux como en este caso.
    La mayor vulnerabilidad de cualquier sistema siempre serán sus usuarios.

    • asi es, aunque como mencionan, no se ha confirmado que haya sido asi, pero pues igual ya muchos lo han comentado, cualquier sistema operativo es seguro si es administrado por una persona con el conocimiento suficiente.

  3. Recuerden que no existe ningun sistema 100% seguro y solo es cuestion de tiempo que los hackers destrocen a linux y sepamos cuan seguro es, esperemos que de verdad sea seguro no le vaya a pasar como firefox que ahora lo atacan mucho por su poularidad

    • al contrario, el unico sistema destruible es windows, es el unico sistema operativo hecho para monousuario, tooodooos los demas SO se hicieron para redes, pensando en la seguridad, estabilidad y rapidez.
      Los hacker de los que hablas no nienen ni puta idea de gnu/linux, no durarian ni 30 segundos con un gentoo o arch. ellos usan windows para hackear windows.
      si se infectaron de botnets, fue porque los administradores se estuvieron descargando fuentes, y sin revisarlos los compilaron y corrieron sin darse cuenta, porque en gnu/linux todo se instala desde los repositorios…
      espero que hayan despedido a esos idiotas, son una vergüenza para el software libre.

      • XXD, amigo todos los sistemas son destruibles, ahora los hackers mencionados antes de ser cualquier cosa son seres humanos con el gran talento de aprender, siendo así, dale una distro cualquiera a un hackers y en una semana descubrirá importantes huecos de seguridad y los aprovechara para lo que sea.

        Yo creo lo que todos, que si fue error humano al igual que suele pasar en Windows los virus en general no se instalan sin que el usuario lo autorice, por eso tanto win como GNU/Linux u otros SO’s son 99% seguros hasta que llega un usuario con una mente frágil.

      • te recuerdo que linux fue creado por hacker lee información de la historia de linux.

        sobre un bootnet no es ninguna sorpresa todo sabemos que no existe seguridad 100% pero si hay sistema operativos uno mas seguro que otro por la estructura que tienen etc……. y por supuesto tambien lo que haga el usuario.

      • segun wikipedia:
        En plataformas Windows, se puede utilizar un firewall, un antivirus, instalar programas que sólo provengan de fuentes fiables, evitar abrir ejecutables enviados por email, no permtir que se ejecuten contenidos desde internet ActiveX y mantener las actualizaciones al día.

        En plataformas GNU/Linux, UNIX, BSD y similares basta con mantener actualizado el sistema y que los usuarios elijan contraseñas robustas. Otras soluciones mejores pasan por usar un sistema de llave pública/llave privada para las autenticaciones y usar firewalls o cerrar servicios no utilizados (como el SSH) y en caso que resulte necesario tenerlos abiertos, cambiar el puerto estándar de la aplicación, demonio o servicio. Desde luego no resulta nunca recomendable el uso de telnet ya que las contraseñas viajan sin cifrar y ya ha sido sustituido por el nuevo protocolo SSH.

      • Todo es relativo mi amigo, es decir el presidente de los estados unidos tiene guarda espaldas y yo no, decir eso no me hace invulnerable a las balas ni a él muy frágil, Windows es atacado por todas partes por su popularidad mientras que otros más reservados no les pasa eso, como ejemplo esta Mac que una de sus mejores frases era “en mac no hay virus” y con esto de los ipod´s e iphones, se fue popularizando un poco mas su SO y al día de hoy ya están pensando en meter antivirus (aunque no estoy muy bien informado en cuanto a leopard a lo mejor y ya hay antivirus para este).

        Recuerden que decir, “en tal SO no hay viruz” es lo mismo que decir que no hay aplicaciones ya que un virus es eso, una aplicación y al día de hoy hasta los móviles corren aplicaciones o sea que asta en los móviles puede entrar un virus, la cuestión es que nadie se a interesado firmemente en este reservorio cibernético XXD.

        Pd. No te creas todo lo que lees en la wiki.

    • El superusuario es el dios y el diablo en un sistema como Linux, una metida de pata y … bueno pasan cosas como esta…. sin duda culpa del admin….

  4. Un dia me pregunte ya que hay tanta gente maliciosa por ahi no sera posible que alguien de la "competencia" de linux (gnu/linux como quieran) se mande instalando botnets, spywares y otro que virus en distros linux sin darnos cuentas. Y si es asi como se que existen en mi sistema, lo digo porque no soy usuario experto en linux y otra pregunta ¿¿ a quien mi**da demando si esto es asi??.

  5. Ya claro, cuando Linux/GNU se cuelga es culpa del hardware, cuando se cae la red es culpa del switch, cuando las cosas no salen como quieres (digamos una actualización) es culpa de quien creo el parche, si hay virus es por el administrador…

    Windows es inseguro porque se permite instalar cuanta porquería se encuentra en la red, quienes ya sabemos, no lo instalamos, pero un usuario novel lo hará, de igual forma en entornos Linux/GNU ya sea por descuido o ignorancia terminaria hecho una piltrafa. Chistoso que el servidor que tengo no este contaminado (sé, es windows)

    Lo que me sorprende es la relativa facilidad con que se infectaron de bots… a mi se me hace que fue con mala maña y se dice que fueron 10 servidores, pero esos a su vez contaminaron terminales windows.

  6. para neoteo es…
    si hay un botnet en windows es culpa de bill.
    si hay un botnet en linux es culpa de "un mal administrador de sistema"
    en neoteo matan a vista por el UAC, pero para linux dan catedra pidiendo no usar el root.

  7. Yo uso GNU/Linux y reconozco que el error es compartido, en parte por la gente de Linux (o los que programaron la distribución) por añadir medidas de seguridad que hayan fallado, y por parte del administrador, por poner de contraseña para el usuario raíz algo del estilo 123123.

    Linux es el programa más seguro que existe hoy día, y eso da rabia, pero el usuario a veces al tener una herramienta tan potente se cree Dios y olvida los pasos claves y simples, una contraseña segura es más efectivo que 50 cortafuegos el 90% de las veces.

    • siento contradecirte pero los hackers (los verdaderos y no los lammers) son capaces de obtener contraseñas mucho mas complejas que las del estilo que mencionas.

      • Creo que no has entendido lo que he dicho, no he catalogado ningún de estilo de contraseña en concreto cómo seguro, pero si es recomendable que la contraseña:

        1) Tenga más de 15 carácteres entre a-z, A-Z, 0-9, y símbolos.
        La razón es que la mayoría de los "hackers" (si bien, los hackers no atacan, protegen, y generar un botnet es un ataque) atacan con fuerza bruta, esto es generar el mayor número de contraseñas y probarlas, si se sigue este paso, el número de combinaciones posibles sería alrededor de 109350, y generarlas todas tardaría bastantes días. Por lo que al final el lammer renegaría.

        2) No estén apuntadas en archivos dentro de la computadora, usar papeles es más efectivo. Porque entrar a una computadora no es tan complicado (en GNU/Linux si no te das cuenta puedes tener el servidor SSH abierto).

        3) Si han de ser enviadas por la red, cifrarlas (usar métodos propios o usar páginas web seguras (HTTPS)).

        Por supuesto, aún así pueden robarte la contraseña, pero la posibilidad es ínfima.

  8. Ja de verdad estoy de acuerdo en la mayoría de los comentarios , el mejor sistema de seguridad en cualquier sistema operativo aunque sea telefonico es el usuario y me da gracia pues me recuerda aquella noticia sobre como "hackearon" el telefono de Paris Hilton y en realidad no fue algo tanto asi como hackear , si no simple Ingeniería Social , pregunta secreta :
    ¿cuál es el nombre de su mascota favorita? xD !
    http://www.hispasec.com/unaaldia/2318 , Saludos !

    • algo asi le acaban de hacer a Lindsay Lohan, la muy tontita publico su numero de celular en twitter y a algun listillo se le ocurrio que la contraseña para su buzon de voz era algo como 1234 y eureka, obtuvo todos sus mensajes y los subio a la red.

  9. Jaaaaa jajajajajajajaja-…!!!1

    Cual es el nombre de su mascota? RE= Tinkerbell.

    Ups..!!

    Tendre que cambiar mi pregunta secreta ( Cual es tu Pseudonimo?)

    Jajajajajajajaajajaja….

    K mal lo de Linux…..pero que mal Administrador…Xiale..!!

  10. Botnet, término que hace referencia a una colección de robots de software, o bots, que se ejecutan de manera autónoma (normalmente es un gusano). El artífice de la botnet puede controlar todos los ordenadores y servidores infectados de forma remota y normalmente lo hace a través del IRC. Dicho esto se encuentra la primera Botnet en Linux, al menos eso asegura un grupo de seguridad ruso.

    Esta botnet en Linux descubierta por un grupo de seguridad rusa no ha sido creado por software, malware ni por una vulnerabilidad de SO, sino por hackeo físico.

    Más concretamente Denis Sinegubko ha sido el descubridor del clúster de 100 máquinas Linux ejecutando como una “botnet”, si habéis leído bien una botnet en Linux.

    Como bien comentamos anteriormente los servidores Linux han sido hackeado físicamente. Al ser este tipo de modificación da igual el SO que tengamos.

    Sabréis que deberemos de actualizar software, contraseñas triviales, configuraciones nulas de firewall, etc.… Ya que si no lo hacemos correremos el peligro de tener un ordenador inseguro 100%.

  11. masterjedi los hacker que tu debes conocer deben usar windows , porque desde que soy programador nunca he conocido a nadie que use windows para hacer algo, ya que windows es muy basico para muchas cosas, si quieres hacer algo, aprender como minimo funciones de D.O.S, y mas adelante lee mas y sabras que sistemas te conviene para penetrar o vulnerar redes, pero esa ya es arena de otro costal.

  12. Por alguna razón, por mi cabeza siempre cruzo la idea que todo SO puede tener alguna entrada a infecciones.
    Y que Linux seria el único que se salve ya que los fanáticos de este SO sean los creadores de tanto desmane hackeriano.
    Tal vez la siguiente campaña de Microsoft sea tratar de infectar los SO Linux y demostrar que ellos también tienen esos huecos que tanto hablan.

  13. Es verdad eso que dijo alguien antes… ¿por qué a windows vista lo mataron con su control de cuenta de usuario (UAC) insistiendo hasta el hartazgo en muchos sitios (inclusive en este) que era pesimo y habia que desactivarlo?, y ahora resulta que no dicen lo mismo de Linux. La UAC de vista y el trabajar en linux sin ser root es lo mismo. La ventanita de permisos administrativos es tan molesta en uno como en otro sistema operativo.

    • No es tan así. Tú usas la cuenta root para administrar la cuenta, con la responsabilidad de saber lo que haces, te metes y no te molesta. El UAC simplemente está molestandote por cada click que haces, sepas o no lo que haces.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Ahorra batería, ¿con un navegador web?

Excalibur: Sorprendente “drone” de vuelo vertical