Detectan un script malicioso en un servidor del MIT

La compañía Bitdefender ha identificado un scrip malicioso en uno de los servidores del Massachusetts Institute of Technology (CSH-2.MIT.EDU). Los ciberdelincuentes usan ese scrip para localizar sitios web vulnerables.

 

Actualmente se desconoce cómo llegó el robot rastreador hasta el servidor del MIT, pero lo cierto, según BitDefender, es que rastrea la web en busca de las cuentas de hosting que vienen con una versión vulnerable de phpMyAdmin, la popular interfaz de base de datos para servidores MySQL. Los dominios .edu son capaces de transmitir peticiones maliciosas a miles de usuarios por segundo, por eso son tan solicitados por los hackers.

Cuando el rastreador alojado en el MIT encuentra una versión vulnerable de PHPMyAdmin, trata de obtener privilegios administrativos para inyectar una consulta SQL en la base de datos. Si el sitio web ha sido alcanzado con éxito, el rastreador deja tras de sí una carpeta llamada "muieblackcat", un mutex que actúa como un signo de infección. Este no es el único daño al servidor atacado; dependiendo de su solidez, la multitud de peticiones GET por segundo podría paralizarlo.

Un servidor del MIT alberga script malicioso “PHPMyAdmin es utilizado por los desarrolladores web y los administradores del sitio para conectar y llevar a cabo operaciones específicas de SQL a través de Internet, tales como crear, leer, actualizar y eliminar la información de la base de datos. Nuestra información muestra que las versiones vulnerables de PHPMyAdmin van de 2.5.6 a 2.8.2”, explica Jocelyn Otero Ovalle, directora de Marketing de Bitdefender España.

Como dominio de nivel seguro, .edu es utilizado principalmente por instituciones educativas en Estados Unidos y otras organizaciones de confianza. Un trackback desde este dominio es un voto de confianza para un artículo, un blog, toda una web, e incluso de una institución. En resumen, un sitio del tamaño de MIT.edu no es sólo garantía de un ancho de banda suficiente para transmitir miles de peticiones maliciosas por segundo, sino que es también una buena manera de evadir los firewalls que, obviamente, aceptan tráfico de MIT.edu como legítimo.

Esto explica el interés de los ladrones por reorientar los ataques a sitios registrados con este dominio u otros de confianza para que participen, por ejemplo, en la promoción de mercancía ilegal o de dudoso contenido.


TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper