Este informe es una lista de todos los sitios web que Shadowserver (o sus socios colaboradores) han podido identificar y verificar que están comprometidos.
Estos sitios web pueden usarse para enviar spam, participar en ataques DDoS, redirigir a los usuarios a kits de explotación, etc. Esta información aparecerá en el campo «categoría» del informe.
Un gran subconjunto de estos compromisos es causado por versiones desactualizadas de CMS, como Joomla/Drupal/Wordpress (o complementos para estos) y credenciales de FTP débiles o registradas.
Como siempre, no hay garantía de que no haya infecciones adicionales o compromisos en ninguna IP sobre la que se informa. Se han visto varios grupos criminales diferentes que abusan del mismo sistema comprometido para diferentes propósitos; la misma IP/dominio que aloja un spambot también puede usarse para infectar a usuarios desprevenidos. Recomendamos investigar los sistemas con la suposición de que hay más compromisos en los sistemas de los que se informan.
Puede obtener más información sobre el informe en el tutorial Informe de sitio web comprometido .
Puede obtener más información sobre los informes en general en la presentación Descripción general de los informes gratuitos de Shadowserver de beneficio público , que también explica ejemplos de casos de uso.
Nombre(s) de archivo: compromised_website
CAMPOS
timestamp | Marca de tiempo de la última vez que se vio/verificó que la URL está comprometida en UTC+0 |
ip | IP que aloja el sitio web comprometido |
port | Puerto en el que se sirve el sitio web comprometido |
hostname | DNS inverso de la IP del sitio web comprometido |
tag | Nombre de la familia/tipo de malware con el que el sitio web está comprometido/por |
application | Protocolo de capa 7 (HTTP/HTTPS) |
asn | ASN de la IP que aloja la URL comprometida |
geo | País de la IP que aloja la URL comprometida |
region | Estado o provincia de la Geo |
city | Ciudad desde el Geo |
url | Ruta URI del componente que indica el compromiso del sitio web |
http_host | Parte de dominio/IP de la URL |
category | Tipo de malicia para el que se utiliza el sitio web comprometido |
system | Sistema operativo en el servidor que aloja el sitio web comprometido (Windows/Linux) |
detected_since | Marca de tiempo en la que la URL se vio/verificó por primera vez como comprometida en UTC+0 |
server | Software del lado del servidor como Apache/Nginx |
cc_url | En el caso de que se trate de un servidor C&C, la URL de ese servidor |
EJEMPLO
"timestamp","ip","port","hostname","tag","application","asn","geo","region","city","url","http_host","category","system","detected_since","server","cc_url"
"2014-06-16 00:16:33","23.80.185.68",80,"23.80.185.68.rdns.as15003.net","hacked-webserver-stealrat-t1","http",15003,"US","NEW YORK","NEW YORK CITY","sslcVv.php","000628.com","spam","WINNT","2014-06-04 00:15:09",,""
"2014-06-16 00:16:33","108.171.205.43",80,,"hacked-webserver-stealrat-t1","http",18450,"US","MISSOURI","PIERCE CITY","wp-content/plugins/jifen/modules/donate/test.php","003la.com","spam","Linux","2014-05-18 00:16:35",,""
"2014-06-16 00:16:33","108.171.205.43",80,,"hacked-webserver-stealrat-t1","http",18450,"US","MISSOURI","PIERCE CITY","wp-includes/returnV04Z.php","003la.com","spam","Linux","2014-03-08 01:16:06",,""
"2014-06-16 00:16:33","108.171.205.43",80,,"hacked-webserver-stealrat-t1","http",18450,"US","MISSOURI","PIERCE CITY","ibcd/newsHlwJ.php","003la.com","spam","Linux","2014-04-10 00:17:06",,""
"2014-06-16 00:16:33","123.196.112.160",80,,"hacked-webserver-stealrat-t1","http",4847,"CN","BEIJING","BEIJING","wp-includes/Text/Diff/Renderer/inc.php","0-00.cn","spam","Linux","2014-05-17 00:16:09",,""
"2014-06-16 00:16:33","108.171.205.43",80,,"hacked-webserver-stealrat-t1","http",18450,"US","MISSOURI","PIERCE CITY","wp-includes/js/tinymce/plugins/wpgallery/gallery.php","003la.com","spam","Linux","2014-05-09 00:16:15",,""
"2014-06-16 00:16:33","74.220.202.17",80,,"hacked-webserver-stealrat-t1","http",46606,"US","UTAH","PROVO","accountQpS.php","007sales.com","spam","Linux","2014-06-05 00:16:07",,""
"2014-06-16 00:16:33","108.171.205.43",80,,"hacked-webserver-stealrat-t1","http",18450,"US","MISSOURI","PIERCE CITY","wp-includes/pomo/index21V2.php","003la.com","spam","Linux","2014-03-14 00:17:06",,""
"2014-06-16 00:16:33","108.171.205.43",80,,"hacked-webserver-stealrat-t1","http",18450,"US","MISSOURI","PIERCE CITY","wp-content/plugins/wordpress-popular-posts/lang/returnkhy.php","003la.com","spam","Linux","2014-03-04 01:15:06",,""