Resguardos contra ALFA TEaM Shell - Comunicado
CND24-00131Desde el CSIRT de Gobierno te informamos lo siguiente:
Hemos observado la actividad de actores de amenazas utilizando una shell conocida como “ALFA TEaM Shell”. Esta amenaza consiste en un script malicioso que puede ser subido a un servidor web, permitiendo la administración del servidor remoto. Los atacantes suelen instalar este web shells a través de vulnerabilidades o problemas de configuración.
Recomendaciones
- Mantener todos sus sistemas y aplicaciones actualizados.
- Configurar permisos de archivos y directorios de los servidores de manera que solo los usuarios autorizados pueden modificar los archivos.
- Deshabilitar configuraciones innecesarias o los plugin de CMS que no se utilicen.
- Generar una revisión o auditoria de los sistemas y servidores expuestos a internet.
- Implementar un firewall de aplicaciones web (WAF) y monitorear tráfico.
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
SHA256 | 48a8dfd52e13e4fc8da37b5e682cc32ce2fafb015d4c08c61461fc1c28374f70 | Nombre: db.php |
SHA256 | 5c2d714f1db9e17c7e3bd8e627115835ec06e4fff1b9e7598d4a02b5d1d7c7f8 | Nombre: alfa-shell-v4.1-tesla-decoded.php |
SHA256 | 6a4fa6ed62102d67ebb08f7ad73b4c5f31d3e5de59c260d99c11bb606fca3dec | Nombre: lock360.php |
SHA256 | 9937aec82fd2dd2a2615b6fabce0e3b3664f03dd8b9abd0a2486c509e2a77922 | Nombre: edit.php |
SHA256 | ac894fd8fbb673e2b67cd3f2ea3580099152f50e81ac7cda1df3024618e71110 | Nombre: about.php |
SHA256 | af02d0590043160393f739598156a0e078563882bb78ea132d92b83db7963863 | Nombre: index.php |
SHA256 | b11463f641626666f5659d4bf1f99d5de2889fbea79c879c4105e23d52d723ee | Nombre: up_sc.php |
SHA256 | b827cdd9d417abaf9050bc1377aa67127a12f0128f59391714239668c03a011d | Nombre: alfav4.1-tesla.php |
SHA256 | d3a5466d936e6fc742f965ae2c76d0d73faca7a9e17321718367afc0b5ac5df5 | Nombre: up.php |
SHA256 | e7806d6ee26a8252478bee22a8a39f2f0754f31a993882c55c848e7b4e8de5f9 | Nombre: wp-signin.php |
SHA256 | f1c7e62eafe8416501162aed8faf8bc2ee0a3420565fe7396ff78419e52aa18a | Nombre: parbada.php |