A continuación les dejo el post de Lisandro Lizaeta donde expone una investigación sobre Mauro Torres, creador de la distribución Tuquito y supuesto administrador de al menos un sitio dedicado al robo de cuentas de MSN.
…………………..
A continuación el post de Lizandro Lezaeta: (fuente)
Hola a todos, escribo este artículo para evidenciar públicamente la total y absoluta falta de etica del supuesto «Experto en Seguridad» Argentino y desarrollador de Tuquito Linux, Mauro torres.
Junto a Daniel Godoy continuamos una investigación iniciada por un tercero (a quien nombraré si es que me da su autorización), de universomsn.com, un sitio de pishing de correo electrónico. Este sitio utiliza el «Quien te admite» para robar emails, acceder a ellos y robar lista de contactos, además almacena todas las contraseñas y los emails robados en una base de datos.
En la IV Jornadas de Software Libre realizamos, en vivo y en directo, una demostración que relacionaba a Mauro Torres con Universomsn.com, una web de pishing de msn. Además accedimos al servidor de universomsn y dumpeamos la base de datos demostrando a todos los espectadores que el sujeto había robado más de 3500 mails.
Nos guardamos la guinda para publicar por internet, ahora es el turno de msnsinadmision.com subida en el mismisimo servidor de tuquito. Sin duda propiedad de Mauro Torres, al igual que Universomsn, en este caso no ha tenido ni siquiera la dignidad de ocultar el sitio, publicandolo directamente en el SERVIDOR DONADO que recibió para tuquito.org.ar. Encontramos montones de backups subidos que van desde los 81mb comprimidos (500 mb reales) con unos 100mil mails/contraseña hasta un backup (que dejo al final) de más de medio giga.
http://www.youtube.com/watch?v=U4u9v5VHTbwNo tengo posibilidad de reportar 100mil mails robados, por eso decido hacerlo público antes de que sigan sirviendo a las malas intenciones del ladrón.
Personalmente no voy a denunciar, pero si alguno de los afectados está interesado en hacerlo, no dude en contactar conmigo para recibir toda la información relevante.
Acá dejo un log interesante:
/var/www/tuquito.org.ar/public_html/videos/wp-content/themes/classic
cd /var/www/tuquito.org.ar/public_html/hack
ls -la
total 527052
drwxrwxrwx 4 root root 4096 Nov 3 17:31 .
drwxr-sr-x 99 www-data root 4096 Oct 21 16:34 ..
-rw-rw-rw- 1 www-data root 162242 Oct 30 2008 c99shell.txt
-rwxrwxrwx 1 www-data root 122 Mar 13 2008 cmd.gif
-rwxrwxrwx 1 www-data root 122 Mar 13 2008 cmd.gif.php
-rwxrwxrwx 1 www-data root 122 Mar 13 2008 cmd.jpg.php
-rwxrwxrwx 1 www-data root 122 Mar 12 2008 cmd.php
-rw-rw-rw- 1 www-data root 409 Aug 21 17:10 cookie.php
-rw-r–r– 1 www-data root 12080 Nov 25 2008 e.php
-rw-r–r– 1 www-data root 10875 Nov 25 2008 e.pl
-rw-r–r– 1 www-data root 45 Oct 30 2008 echo.txt
-rw-r–r– 1 www-data root 44624 Apr 25 2008 erne.php
-rw-r–r– 1 www-data root 44624 Apr 25 2008 erne.txt
-rw-r–r– 1 www-data root 85 Aug 21 17:07 fotolog.js
-rw-r–r– 1 www-data root 313 Aug 21 16:56 fotolog.php
-rw-r–r– 1 root root 79 Oct 31 15:28 fotolog.txt
drwxrwxrwx 2 www-data root 4096 Oct 30 2008 hack
-rw-r–r– 1 www-data root 18 May 30 2008 index.php
-rw-r–r– 1 www-data root 538618251 May 19 2008 msn2DB-120508.sql
-rw-r–r– 1 www-data root 1905 Apr 24 2008 nc.pl
-rw-r–r– 1 www-data root 414 Apr 25 2008 next.php
-rwxrwxrwx 1 www-data root 400 Nov 1 19:54 passwords.txt
-rw-r–r– 1 www-data root 291 Apr 25 2008 personal.html
-rw-r–r– 1 www-data root 454 Oct 31 2008 personal.php
drwxrwxrwx 4 www-data root 4096 Oct 31 2008 php-mailer
-rw-r–r– 1 www-data root 1465 Oct 30 2008 phpbb.pl
-rwxr-xr-x 1 www-data root 10393 Apr 24 2008 prueba
-rwxr-xr-x 1 www-data root 19242 Apr 24 2008 r0nin
-rw-r–r– 1 www-data root 38548 Apr 25 2008 safe0ver.php
-rw-r–r– 1 www-data root 38548 Apr 25 2008 safemode.txt
-rw-r–r– 1 www-data root 45746 Mar 12 2008 shell.php
-rw-r–r– 1 www-data root 19224 Mar 13 2008 shellbot.pl
Curiosidades con las que nos topamos: El experto no pone password de root a mysql, el experto hacer correr apache con suid (root), el experto sube shells sin contraseña para administrar sus servidores y ensima las sube con nombres sencillos como «cmd.php» o «shell.php».
La falta de etica no es nada nuevo hoy en día, pero la hipocresía con la que este personaje se autodenomina «ético» es increible.
Si alguien quiere continuar la investigación (o hacer algo peor) puede facilmente pasar un nmap y localizar algo que alguien olvidó cerrar :P
/root
total 1352636
drwxr-xr-x 37 root root 4096 Oct 30 11:28 .
drwxr-xr-x 24 root root 4096 Oct 29 23:15 ..
drwx—— 2 root root 4096 Dec 10 2008 .aptitude
-rw——- 1 root root 7972 Oct 31 21:39 .bash_history
-rw-r–r– 1 root root 412 Dec 15 2004 .bashrc
drwxr-xr-x 4 root root 4096 Dec 10 2008 .gem
drwx—— 2 root root 4096 May 22 18:19 .links2
drwxr-xr-x 3 root root 4096 Oct 31 18:56 .mc
-rw——- 1 root root 7432 Sep 10 01:17 .mysql_history
-rw-r–r– 1 root root 110 Nov 10 2004 .profile
-rw——- 1 root root 1024 May 31 2008 .rnd
drwx—— 2 root root 4096 Feb 12 2009 .ssh
drwxr-xr-x 3 root root 4096 Jun 6 2008 .subversion
-rw——- 1 root root 9115 Oct 30 11:28 .viminfo
-rwx—— 1 root root 6413 Jan 10 2008 1.png
-rwx—— 1 root root 6739 Jan 10 2008 2.png
-rwx—— 1 root root 6988 Jan 10 2008 3.png
-rwx—— 1 root root 2126779 Feb 28 2008 BajaRemeras.3gp
drwx—— 2 root root 4096 Jan 17 2007 EGG-INFO
-rwx—— 1 root root 165069 Jan 10 2008 Minty_Pligg_Template.zip
drwx—— 2 root root 4096 Jun 11 2006 NX
-rwx—— 1 root root 6248172 Jan 16 2007 NX-tuquito.tgz
-rwx—— 1 root root 62267 Jan 17 2007 TracAccountManager-0.1.2-py2.3.egg
-rwx—— 1 root root 112205 Jan 17 2007 TracWebAdmin-0.1.2dev_r4240-py2.3.egg
drwx—— 4 root root 4096 Jan 17 2007 TracWebAdmin-0.1.2dev_r4429-py2.3.egg
-rw-r–r– 1 root root 932528 Mar 18 2009 Tuquito-2.0-r5.iso
-rwx—— 1 root root 1191455 May 30 2008 all-db
drwxr-xr-x 2 root root 4096 Jun 6 16:37 apache-confs
drwxr-xr-x 7 root root 4096 Jun 2 2008 apache2
-rw-r–r– 1 root root 24193 Jun 6 02:16 apache2.conf
drwx—— 3 root root 4096 Jul 12 2007 apf-0.9.6-3
-rwx—— 1 root root 105119 Feb 12 2008 apf-current.tar.gz
drwx—— 2 root root 4096 Feb 12 2008 back
drwx—— 3 root root 4096 May 30 2008 backup-apache
drwx—— 2 root root 4096 Jul 1 16:22 backup-db
drwx—— 2 root root 4096 May 30 2008 backup-dbs
-rwx—— 1 root root 18268 Feb 12 2008 bannerMSN.png
-rwx—— 1 root root 20250 Feb 12 2008 bannerMSN2.png
drwx—— 2 root root 4096 Dec 14 2007 bot
-rwx—— 1 root root 8 Jan 10 2008 caca
-rwx—— 1 root root 319 Jan 26 2008 check
-rwx—— 1 root root 137 Apr 25 2008 clave
-rwx—— 1 root root 210944 May 30 2008 databasebackup.sql.bz2
-rwx—— 1 root root 2 Apr 22 2008 done
-rw-r–r– 1 root root 3319 Nov 25 2008 e.php
-rwx—— 1 root root 19707 Dec 15 2007 email
-rw-r–r– 1 root root 1185 Feb 12 2009 example.rb
-rwx—— 1 root root 1687 Nov 9 2007 extrae7
-rw-r–r– 1 root root 0 Oct 30 11:21 fastcgi-php.pid
drwx—— 12 www-data root 4096 Jun 9 08:51 fastcgi_temp
drwx—— 13 root root 4096 Jan 29 2008 ffmpeg
-rwx—— 1 root root 173219 Jan 10 2008 futurepligg_03.zip
-rw-r–r– 1 root root 351 Jan 6 2009 google_data_extractor_export.rb
-rw-r–r– 1 root root 145917 Mar 13 2009 grit-1.0.1.gem
-rw-r–r– 1 root root 316136 Mar 13 2009 grit-1.0.1.gem.1
-rw-r–r– 1 root root 1862144 Feb 2 2009 grit-1.0.1.gem.2
drwx—— 12 501 staff 4096 May 31 2008 httpd-2.2.8
-rwx—— 1 root root 4799055 May 31 2008 httpd-2.2.8.tar.bz2
-rwx—— 1 root root 0 Apr 25 2008 john.pot
drwx—— 13 deploy deploy 4096 Jan 29 2008 lame-3.97
-rwx—— 1 root root 510240 Jan 29 2008 lame-3.97.tar.gz
-rwx—— 1 root root 1328058 Jan 29 2008 lame-3.97.tar.gz.0
drwxrwxrwx 7 16424 users 4096 Jun 7 13:16 lighttpd-1.4.18
-rw-r–r– 1 root root 803361 Sep 9 2007 lighttpd-1.4.18.tar.gz
-rw-r–r– 1 root root 592 Apr 1 2009 list-gem
-rwx—— 1 root root 34 Jul 24 2007 mauro
-rwx—— 1 root root 21848020 Feb 1 2008 msn-db
-rwx—— 1 root root 25584900 Feb 5 2008 msn-db2
-rwx—— 1 root root 88017348 May 12 2008 msn2DB-120508.sql.bz2
-rw-r–r– 1 root root 432214081 May 21 23:01 msn2sql-210509.sql.bz2
-rw-r–r– 1 root root 542418329 May 21 23:09 msn2sql-210509.tar.gz
-rwx—— 1 root root 4693 Mar 28 2008 not_found.html
-rwx—— 1 root root 9359 Jan 12 2007 opcion2nuevo.png
drwx—— 9 deploy deploy 4096 Apr 13 2008 passenger-1.0.1
-rwx—— 1 root root 1668684 Apr 13 2008 passenger-1.0.1.tar.gz
drwx—— 3 root root 4096 May 31 2008 postfix
-rw-r–r– 1 root root 307 Jan 6 2009 prueba.rb
-rw-r–r– 1 root root 1811 Apr 1 2009 prueba3.rb
drwx—— 3 root root 4096 May 16 2007 radio
drwxr-xr-x 4 root root 4096 Jun 7 12:45 rails-nginx-passenger-ubuntu
-rw-r–r– 1 root root 9903130 Jun 23 2008 repositorio-ultimo.dump
-rw-r–r– 1 root root 11742245 Jun 23 2008 repositorio.dump
-rw-r–r– 1 root root 6591 Dec 10 2008 ring
-rw-r–r– 1 root root 5360 Jun 2 2008 ring-anda
-rw-r–r– 1 root root 197669784 Oct 2 2008 ring-backup
lrwxrwxrwx 1 root root 38 Jun 7 13:14 ringwii.com -> /opt/nginx/sites-available/ringwii.com
drwxr-xr-x 2 root root 4096 Jan 6 2009 ruby
drwxr-xr-x 4 deploy deploy 4096 Jun 23 2008 ruby-enterprise-1.8.6-20080624
-rw-r–r– 1 root root 6950260 Jun 23 2008 ruby-enterprise-1.8.6-20080624.tar.gz
-rw-r–r– 1 root root 20968910 Jun 23 2008 ruby-enterprise_1.8.6-20080624-i386.deb
drwx—— 11 503 503 4096 Jan 30 2007 rubygems-0.9.1
-rwx—— 1 root root 190688 Jan 16 2007 rubygems-0.9.1.tgz
drwxr-xr-x 8 501 staff 4096 Apr 11 2008 rubygems-1.1.1
-rw-r–r– 1 root root 423308 May 31 2008 rubygems-1.1.1.tgz
drwxr-xr-x 8 501 staff 4096 Oct 25 2008 rubygems-1.3.1
-rw-r–r– 1 root root 263748 Oct 29 2008 rubygems-1.3.1.tgz
-rw-r–r– 1 root root 829 May 31 2008 script.pl
-rwx—— 1 root root 58860 Feb 27 2007 shoutcast-1-9-5-linux-glibc6.tar.gz
-rw-r–r– 1 root root 138059 Mar 8 2009 socializame.tar.gz
drwxr-xr-x 12 500 500 4096 Mar 25 2009 sphinx-0.9.8.1
-rw-r–r– 1 root root 949660 Oct 30 2008 sphinx-0.9.8.1.tar.gz
drwx—— 3 root root 4096 Jun 2 2008 templates
-rwx—— 1 root root 0 Jan 16 2007 tmp
-rw-r–r– 1 root root 5974 Mar 16 2009 tn_madurita amateur gozando01.jpg
drwx—— 5 root root 4096 Jan 17 2007 trac
-rwx—— 1 root root 7915 Mar 6 2008 trac-a.png
-rwx—— 1 root root 296 Feb 28 2008 video
drwx—— 6 root root 4096 Feb 25 2008 webadmin
-rwx—— 1 root root 505319 Jan 10 2008 ygetblue-v3.zip
-rw-r–r– 1 root root 219 Jul 1 22:57 yovideo.yml
-rwx—— 1 root root 406222 Mar 28 2008 zlib1g-dev_1.2.3-13_i386.deb
-rwx—— 1 root root 70528 Mar 28 2008 zlib1g_1.2.3-13_i386.deb
Enlaces interesantes (subidos en su servidor por Mauro Torres, yo solo lo encontré ahí):
http://www.tuquito.org.ar/hack/shell.php
http://www.tuquito.org.ar/hack/shell.php?cmd=dir&dir=./../../../universomsn
http://www.tuquito.org.ar/hack/shell.php?cmd=dir&dir=./../../../msn2/html
http://msnsinadmision.com/msn2sql.tar.gz
http://www.tuquito.org.ar/hack/msn2DB-120508.sql
Les pido a los que lleguen a tiempo para contrastar la información, lo certifiquen en un comentario. Seguramente todo esto deje de estar online en poco tiempo.
———————————-
La gran duda que se me plantea luego de leer el post es si la distribución Tuquito no esconde scripts sucios o artimanias similares para el robo de información de los usuarios. Para contestar esta pregunta, habría que leer el código fuente de la distro en detalle y no solo eso, además se debería chequear que los binarios en la ISO de Tuquito coincidan con los binarios generados a partir del código.
Diego
Terrible info. La verdad es que a veces cosas así nos hacen dudar de distros basadas en otras que no están avaladas por ninguna fundación ni nada.
A ese tipo tienen que mandarlo en cana por estafador.
wow….
zarpado….
diegasooo se bajo mauro torres de las charlas q tenia para el viernes en salta.. no va el cagon ^^
ya la noticia de la investigacion q dani y murder hicieron con lo de tuquitopwn anda por toda la red xDD
¿Seguro que se bajo? ¿Donde dice? Porque en el programa sigue figurando.
http://www.jornadasregionales.org/wp-content/uploads/2009/09/20091007.html
Aclaro de antemano: no conozco a Mauro Torres ni uso Tuquito. Ahora mis hulmides observaciones sobre la supuesta investigación
¿Cómo es esto, hackear una página para demostrar que alguien está haciendo pishing? ¿El que hackea no está en falta también?
¿Por qué no se hizo la demostración con ambiente ficticio? ¿Justo fueron a desenmascarar en público a MT? Olor a vendentta, digamos…
¿Era necesario mostrar las cuentas de corre y sus contraseñas (muchas todavía no fueron cambiadas) para demostrar el pishing?
Esto no me cierra por ningún lado…
Seba:
No puedo responder a todas tus preguntas, pero a algunas si:
«hackear una página» como vos decís o «ownear un servidor» esta muy mal. Pero no fue cualquier servidor, fue el del sitio «universomsn.com» que tenía todos los números de ser un sitio de phising. La segunda pregunta, si, el que hace eso esta en falta también. Luego alguien deberá evaluar los daños de cada acción.
Lo del «ambiente ficticio» me imagino que es referido a demostrar en un server propio lo que se quería demostrar. El problema es que además de demostrar, la intensión del autor de la denuncia fue hacer un «full disclosure» ( o sacarle la careta públicamente) al supuesto acusado.
Mostrar las cuentas sin antes avisar a los dueños fue un error, aunque no era fácil hacerlo, estamos hablando de una BD de 578 MB de usuarios y contraseñas de MSN en texto plano, esea , deben ser MILLONES… ¿cómo harías vos para avisarles? se complica un poquito.
saludos!
Diego
justo en pascuas!!!
!!!EL QUE ESTE LIBRE DE PECADO QUE ARROJE LA PRIMERA PIEDRA!!!
SALUDOS !!!