COMPROMISED WEBSITES En este reporte se mostrará una lista de todos los sitios web que nosotros o nuestros colaboradores hemos sido capaces de identificar y verificar y que se han visto comprometidos. Estos sitios web pueden ser utilizados para el envío de spam, participación en ataques DDoS, redirigiendo a los usuarios a aprovechar kits etc. La vulnerabilidad se muestra en el campo "categoría" del informe. Un gran subconjunto de estas webs comprometidas son causados por versiones no actualizadas de sistemas CMS como Joomla / Drupal / Wordpress (o plugins para éstos) y credenciales FTP débiles o keylogged. Como siempre, no hay garantía de que no haya infecciones / sitios comprometidos adicionales sobre cualquier IP reportada. Hemos visto que varios grupos criminales abusan de diferentes maneras en el mismo sistema comprometido para diferentes propósitos. La misma IP / dominio que aloja un robot de spam también puede ser utilizado para infectar a los usuarios desprevenidos. INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Field Description
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
TIMESTAMP_ECUCERT Tiempo en que la IP fue probada por el ECUCERT
AS_name Nombre del ASN
STATUS_ECUCERT Estado de la vulnerabilidad
timestamp Tiempo en que la IP fue probada por el Shadow server UTC 0
ip Dirección IP del dispositivo en cuestión
port Puerto que la respuesta NTP vino
hostname Nombre DNS inversa del dispositivo en cuestión
tag Nombre de la familia o tipo del malware por el cual fue comprometido el sitio web
application Protocolo de capa 7 (http/https)
asn ASN en donde el dispositivo en cuestión se aloja
geo País en donde el dispositivo en cuestión reside
region Provincia
city Ciudad en donde el dispositivo en cuestión reside
url Ruta URI del componente que indica el sitio web comprometido
http_host Parte del Dominio/IP de la URL
category Tipo de daño que está siendo usado por el sitio web comprometido
system Sistema operativo en el servidor que aloja el sitio web comprometido (Windows / Linux)
detected_since Marca de tiempo que la URL fue visto por primera vez o verificada que fue comprometido en UTC + 0
server Software del lado del servidor como Apache / Nginx
Como recomendación es que se debe actualizar los sitios web tanto en sistema operativo como las plataformas web lo más pronto posible para evitar cualquier tipo de ataque. Enlaces de interés: https://www.shadowserver.org/wiki/pmwiki.php/Services/Compromised-Website Links de descarga:
Compromised Descripción
MD5: 24b9e17e70311e50a19425d5f3ae8e33
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT