Desde hace unas semanas DroneBL ha sufrido un ataque distribuido de denegación de servicio procedente de una botnet llamada 'psyb0t'. Nada nuevo si tenemos en cuenta que DroneBL ofrece un servicio gratuito de publicación de listas negras de IP en tiempo real, lo cual no es precisamente una manera de ganarse admiradores entre las filas de creadores de malware, spammers, etc. Lo interesante del asunto se lo encontraron cuando recabaron información sobre su atacante.
El gusano que teje 'psyb0t' no tiene como objetivo los ordenadores personales o servidores. El binario ni tan siquiera está compilado para la omnipresente arquitectura x86. Su foco de infección se encuentra en los routers y modems ADSL con Linux y procesador MIPS. El gusano efectúa un barrido por rangos de IP escaneando los puertos 22, 23 y el 80, buscando una vulnerabilidad que expone la administración remota del dispositivo a través de telnet, ssh e interfaz web inclusive con los permisos por defecto. Si la configuración ha sido modificada, lo intentará por fuerza bruta.
Por eso, es conveniente NO permitir el acceso al módem desde Internet.
Mucha gente usa el módem tal como se lo suministra el proveedor de Internet, no cambia las contraseñas y tampoco impide que se pueda acceder a él desde "afuera".
Saludos.
http://www.hispasec.com/unaaldia/3805