Deface de revista-sl.org

Written by k001 on 2007.04.04

El día de ayer como eso de las 6 me dicen, “No mames defacearon a revista-sl.org” y yo que o.0??

Y me jui a ver el web y si u.u efectivamente estaba defaceada, otra del kiddo del Zeus.

Bueno el día de hoy analizando sus logs con la ayuda del Roa, empezamos a ver que estaban borrados. Simple mente borraroó sus huellas, pero lo mas interesante de esto es como hizo todo, bueno empecé a tratar de explotar el server y encontré:

1.- No tiene mod_security su apache.

2.- Usan cpanel.

3.- Tiene un usuario que no tiene shell pero que tiene root (raro raro).

Bueno entonces siguiendole la pista al “endividuo” si efectivamente se colaron por php, metiendo un exploit quizá del cpanel o del mismo php con esto del mes de bugs en php :-P, la neta dudo que los sepa.

Bueno en fin se analizó, y pues ya esta se está instalando mod_security al apache, lamentablemente no se pudo hacer mas, bueno si tratar de recuperar los logs pero mmm weba anyway.