{"id":19628,"date":"2018-06-12T01:00:27","date_gmt":"2018-06-11T23:00:27","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=19628"},"modified":"2020-08-26T01:12:52","modified_gmt":"2020-08-25T23:12:52","slug":"malware-raspberry-pi-linux-muldrop-14","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/malware-raspberry-pi-linux-muldrop-14\/","title":{"rendered":"Malware en Raspberry Pi | Linux.MulDrop.14"},"content":{"rendered":"<h2>Hace un tiempo que se conoce la existencia de un <strong>malware que infecta las Raspberry Pi<\/strong> utilizando fallas de seguridad de <strong><a style=\"color: #3366ff;\" href=\"\/open-ssh-server-linux\/\" rel=\"noopener noreferrer\" target=\"_blank\">SSH<\/a><\/strong>, y las utiliza para minar <span style=\"color: #3366ff;\"><a style=\"color: #3366ff;\" href=\"https:\/\/es.wikipedia.org\/wiki\/Criptomoneda\" target=\"_blank\" rel=\"noopener noreferrer\">Criptomonedas<\/a><\/span> (Bitcoin y otras <em>AltCoins<\/em>).<\/h2>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Pues hoy vamos a hablar de este malware: <em><strong>Linux.MulDrop.14<\/strong><\/em>, veremos un caso real de <strong>Raspberry Pi infectada con malware<\/strong>, y las causas y posibles soluciones de seguridad (ya os anticipo que dejar las claves por defecto es lo peor que podemos hacer)&#8230;<\/p>\n<p>&nbsp;<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter wp-image-19649\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/malware-raspberry-pi.jpg\" alt=\"malware raspberry pi\" width=\"770\" height=\"399\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/malware-raspberry-pi.jpg 960w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/malware-raspberry-pi-300x155.jpg 300w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/malware-raspberry-pi-768x398.jpg 768w\" sizes=\"(max-width: 770px) 100vw, 770px\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<br \/>\nEn este art\u00edculo:<\/p>\n<ul>\n<li>1. <a href=\"#que_hace_malware_raspberry\">Qu\u00e9 hace el <strong>Malware <em>Linux.MulDrop.14<\/em><\/strong> en la <strong>Raspberry Pi<\/strong><\/a><\/li>\n<li>2. <a href=\"#caso_real_infeccion_malware_raspberry_pi\">Un caso real\u00a0de infecci\u00f3n en Raspberry Pi con el Malware\u00a0<em><strong>Linux.MulDrop.14<\/strong><\/em><\/a><\/li>\n<li>3. <a href=\"#pruebas_infeccion_malware_raspberry_pi\">Pruebas de la infecci\u00f3n y de movimientos extra\u00f1os en nuestra Raspberry Pi<\/a>\n<ul>\n<li>&#8211;&gt; 3.1 El archivo <em><a href=\"#var_log_syslog\">\/var\/log\/syslog<\/a><\/em><\/li>\n<li>&#8211;&gt; 3.2 El archivo <em><a href=\"#var_log_auth_log\">\/var\/log\/auth.log<\/a><\/em><\/li>\n<li>&#8211;&gt; 3.3 El archivo <em><a href=\"#var_log_btmp_log\">\/var\/log\/btmp.log<\/a><\/em><\/li>\n<\/ul>\n<\/li>\n<li>4. <a href=\"#analisis_avanzado_acciones_malware_raspberry_pi\">AN\u00c1LISIS AVANZADO de las acciones que realiza el MALWARE <em><strong>Linux.MulDrop.14\u00a0<\/strong><\/em>en la Raspberry Pi<\/a>.<\/li>\n<li>5. <a href=\"#solucion_malware_ssh_raspberry_pi\">SOLUCI\u00d3N<\/a><\/li>\n<li>6. <a href=\"#conclusion\">CONCLUSI\u00d3N<\/a><\/li>\n<li>7. <a href=\"#info_extra_malware_ssh_raspberry_pi\">INFO EXTRA sobre el Malware por SSH en Raspberry Pi<\/a><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"que_hace_malware_raspberry\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">1. Qu\u00e9 hace el Malware <em><strong>Linux.MulDrop.14<\/strong><\/em> en la Raspberry Pi<\/span><\/h3>\n<p>&nbsp;<\/p>\n<p>El <a href=\"https:\/\/vms.drweb-av.es\/virus\/?_is=1&#038;i=15389228\" target=\"_blank\" rel=\"noopener noreferrer\"><em>Malware Linux.MulDrop.14<\/em><\/a> es un malware\/troyano, que cuando se lanza en un equipo, apaga varios servicios del sistema, instala varias librerias que necesita para ejecutarse, lanza el proceso <em>zmap<\/em> para buscar m\u00e1s nodos en la red y replicarse, lanza el proceso <em>sshpass<\/em> para acceder a los hosts por medio de ataques de fuerza bruta, y comienza un loop eterno siguiendo este gui\u00f3n, para replicarse por toda la red si es posible.<br \/>\n&nbsp;<br \/>\nDespu\u00e9s, se supone que utiliza el equipo infectado para <a href=\"https:\/\/es.bitcoinwiki.org\/wiki\/Miner%C3%ADa\" target=\"_blank\" rel=\"noopener noreferrer\">&#8220;<em>minar<\/em>&#8221; criptomonedas<\/a> (aunque nosotros no hemos detectado el proceso &#8220;<em>minero<\/em>&#8220;, quiz\u00e1s se encuentre oculto de alguna forma).<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"caso_real_infeccion_malware_raspberry_pi\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">2. Un caso real de infecci\u00f3n en Raspberry Pi con el Malware\u00a0<em><strong>Linux.MulDrop.14<\/strong><\/em><\/span><\/h3>\n<p>&nbsp;<br \/>\nPong\u00e1monos en situaci\u00f3n:<\/p>\n<p>Un <strong>cl\u00faster de Raspberrys<\/strong>, tras meses de correcto funcionamiento, de repente <strong>comenz\u00f3 a caerse cada 24-48 horas<\/strong>.<br \/>\n<\/br><\/br>&nbsp;<br \/>\nEl Log del cl\u00faster dejaba claro que una de las Raspberrys era la que estaba haciendo caer el cl\u00faster . Esa Raspberry ten\u00eda acceso al exterior, a trav\u00e9s de una DMZ creada en el router, que hac\u00eda dicha Raspberry accesible desde Internet (en concreto por medio de una VPN), pero sin cortafuegos ni reglas de seguridad creadas .. ejem &#8230; bravo! &#8230; (no se puede ser tan happy, hay que cuidar un poco m\u00e1s la seguridad)<br \/>\n<\/br><\/br>&nbsp;<br \/>\nInvestigando en dicha Raspberry, ejecutando el comando <em>top<\/em>, para mostrar los procesos, aparecieron algunos procesos &#8220;<em>nuevos<\/em>&#8220;, como por ejemplo el proceso <em><strong>zmap<\/strong><\/em> y <em><strong>sshpass<\/strong><\/em>.<br \/>\n<\/br><\/br>&nbsp;<br \/>\nResulta que el proceso <em><strong>zmap<\/strong><\/em> (que hab\u00eda sido instalado por el malware) busca nodos en la red que tengan el <strong>puerto 22 abierto<\/strong> (el puerto por defecto para SSH), y luego el proceso <em><strong>sshpass<\/strong><\/em> inicia sesi\u00f3n por <strong>SSH<\/strong> con las <strong>credenciales por defecto en Raspbian<\/strong>: <em>pi<\/em> \/ <em>raspberry<\/em><br \/>\n<\/br><\/br>&nbsp;<br \/>\nO sea, que el malware ya hab\u00eda entrado en la Raspberry desprotegida, que ten\u00eda visibilidad directa con el exterior, y estaba buscando otras m\u00e1quinas en la red para intentar replicarse en ellas &#8230;<br \/>\n<\/br><\/br>&nbsp;<br \/>\nY debido a las acciones que realiza el malware, el cl\u00faster se ca\u00eda, ya que entre otras cosas se paraban diversos procesos.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"pruebas_infeccion_malware_raspberry_pi\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">3. Pruebas de la infecci\u00f3n y de movimientos extra\u00f1os en nuestra Raspberry:<\/span><\/h3>\n<p>&nbsp;<br \/>\nVeamos algunas capturas de pantalla que demuestran que tenemos uno o varios visitantes indeseables en nuestra Raspberry Pi:<\/p>\n<p>&nbsp;<\/p>\n<p id=\"var_log_syslog\" style=\"text-align: left;\"><span style=\"text-decoration: underline;\">&#8211;&gt;\u00a0 3.1 El archivo <em><strong>\/var\/log\/syslog<\/strong><\/em><\/span> ten\u00eda m\u00e1s movimiento que una autopista en fechas de puente y vacaciones.<br \/>\n&nbsp;<br \/>\nNormalmente, si la Raspberry no est\u00e1 ejecutando nada, el syslog est\u00e1 bastante quieto.. pero en este caso, a cada segundo aparec\u00edan unas 100 l\u00edneas.<\/p>\n<p>&nbsp;<br \/>\n<span style=\"text-decoration: underline;\">\u00bfY qu\u00e9 dec\u00edan esas l\u00edneas?<\/span><\/p>\n<p>Pues que se estaban a\u00f1adiendo decenas de hosts conocidos al archivo de <em><strong>known_hosts<\/strong><\/em>. Tambi\u00e9n que se est\u00e1 intentando acceder con clave p\u00fablica pero no se consigue.<br \/>\n&nbsp;<br \/>\nTambi\u00e9n vemos que el atacante est\u00e1 utilizando <em>StorReduce<\/em>, que parecen ser servidores Cloud al estilo de <em>AWS<\/em>.<\/p>\n<p>Desde luego que si vemos que se est\u00e1n realizando (o intentando realizar) decenas de conexiones por segundo a nuestra m\u00e1quina, se trata de un ataque.<br \/>\n&nbsp;<br \/>\n<img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-19642\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/malware-raspberry-pi-syslog.jpg\" alt=\"malware raspberry pi syslog\" width=\"960\" height=\"788\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/malware-raspberry-pi-syslog.jpg 960w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/malware-raspberry-pi-syslog-300x246.jpg 300w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/malware-raspberry-pi-syslog-768x630.jpg 768w\" sizes=\"(max-width: 960px) 100vw, 960px\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Otras l\u00edneas del archivo<em> <strong><a href=\"\/journalctl-logs-systemd-linux\/\" title=\"Journalctl y los logs de Systemd en Linux\" rel=\"noopener noreferrer\" target=\"_blank\">\/var\/log\/syslog<\/a><\/strong><\/em>\u00a0tambi\u00e9n mostraban que el proceso <em><strong>zmap<\/strong><\/em> estaba haciendo de las suyas (escaneando la red y buscando <em>gateways<\/em>, nodos, y otros <em>hosts<\/em> en la red &#8230; ):<\/p>\n<pre lang=\"javascript\">\r\nJun 6 21:06:38 mihostname zmap: zmap: zmap main thread started\r\nJun 6 21:06:38 mihostname zmap: zmap: Loaded configuration file <strong>\/etc\/zmap\/zmap.conf<\/strong>\r\nJun 6 21:06:38 mihostname zmap: zmap: syslog support enabled\r\nJun 6 21:06:38 mihostname zmap: zmap: requested ouput-module: default\r\nJun 6 21:06:38 mihostname zmap: zmap: no output module provided. will use csv.\r\nJun 6 21:06:38 mihostname zmap: fieldset: probe module does not supply application success field.\r\nJun 6 21:06:38 mihostname zmap: zmap: requested output field (0): saddr\r\nJun 6 21:06:38 mihostname zmap: zmap: scan will abort if more than 1 sendto failures occur\r\nJun 6 21:06:38 mihostname zmap: constraint: Painting value 1\r\nJun 6 21:06:38 mihostname zmap: constraint: 3702243328 IPs in radix array, 26977448 IPs in tree\r\nJun 6 21:06:38 mihostname zmap: constraint: 3702258432 addresses (86% of address space) can be scanned\r\nJun 6 21:06:39 mihostname zmap: zmap: no interface provided. will use default interface (eth0).\r\nJun 6 21:06:39 mihostname zmap: zmap: no source IP address given. will use default address: 192.168.0.181.\r\nJun 6 21:06:39 mihostname rc.local[449]: Jun 06 21:06:39.005 [INFO] zmap: output module: csv\r\nJun 6 21:06:39 mihostname zmap: zmap: found gateway IP 192.168.0.1 on eth0\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>Aunque en este punto sabemos que estamos bajo ataque y nos han entrado hasta la cocina, vamos a revisar alg\u00fan archivo de log m\u00e1s, para aportar datos:<br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p id=\"var_log_auth_log\" style=\"text-align: left;\"><span style=\"text-decoration: underline;\">&#8211;&gt; 3.2 El archivo <em><strong>\/var\/log\/auth.log<\/strong><\/em> monitoriza todos los intentos de autenticaci\u00f3n.<\/span><\/p>\n<p>&nbsp;<br \/>\nY en este caso podemos ver c\u00f3mo hay movimientos que implican al archivo <em><strong>\/etc\/hosts.allow<\/strong><\/em> , probablemente para intentar permitir\u00a0replicarse a otros hosts de la red. Adem\u00e1s vemos que se est\u00e1 intentando acceder con el usuario &#8220;<em>admin<\/em>&#8221; y el usuario &#8220;<em>root<\/em>&#8221; (usuarios muy t\u00edpicos) desde IP\u00b4s p\u00fablicas muy diversas ..<br \/>\n&nbsp;<br \/>\nTambi\u00e9n el mensaje de <em><strong>POSSIBLE BREAK-IN ATTEMPT<\/strong><\/em>\u00a0 (POSIBLE INTENTO DE INTRUSI\u00d3N) nos est\u00e1 dejando claro una vez m\u00e1s que estamos bajo ataque y nos est\u00e1n bombardeando con decenas de intentos de login por segundo &#8230;<br \/>\n&nbsp;<\/p>\n<p>&nbsp;<br \/>\n<img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-19643\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/raspberry-malware-auth-log-.jpg\" alt=\"raspberry malware auth log\" width=\"1024\" height=\"608\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/raspberry-malware-auth-log-.jpg 1024w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/raspberry-malware-auth-log--300x178.jpg 300w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/raspberry-malware-auth-log--768x456.jpg 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p id=\"var_log_btmp_log\" style=\"text-align: left;\"><span style=\"text-decoration: underline;\">&#8211;&gt; 3.3 El archivo <em><strong>\/var\/log\/btmp.log<\/strong><\/em> muestra los intentos de inicio de sesi\u00f3n fallidos.<\/span><\/p>\n<p>&nbsp;<br \/>\nDe nuevo podemos ver en este archivo cientos de l\u00edneas con cientos de IP\u00b4s que han intentado acceder de forma fallida en el sistema (Caracter\u00edstico de los <a href=\"\/evitar-ataques-fuerza-bruta-wordpress\/\" target=\"_blank\" rel=\"noopener noreferrer\">ataques de FUERZA BRUTA<\/a>). Tambi\u00e9n aparecen algunos nombres de host (servidores) nada nada fiables. De hecho algunos de ellos son perfectamente conocidos por el plugin de seguridad <a href=\"\/evitar-ataques-fuerza-bruta-wordpress\/#Wordfence\" target=\"_blank\" rel=\"noopener noreferrer\">Wordfence<\/a> para WordPress, que directamente los bloquea porque los detecta como bots malignos.<br \/>\n&nbsp;<br \/>\n<img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-19641\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/raspberry-malware-log-btmp.jpg\" alt=\"raspberry malware log btmp\" width=\"1024\" height=\"422\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/raspberry-malware-log-btmp.jpg 1024w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/raspberry-malware-log-btmp-300x124.jpg 300w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/raspberry-malware-log-btmp-768x317.jpg 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><br \/>\n&nbsp;<br \/>\nTambi\u00e9n hemos de tener en cuenta que si el archivo <em>\/var\/log\/btmp.log\u00a0<\/em>es muy grande, es otra prueba m\u00e1s de que somos el blanco de un ataque, y que se est\u00e1 intentando acceder y encontrar la contrase\u00f1a por el m\u00e9todo de fuerza bruta, a base de intentos y combinaciones de contrase\u00f1as.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"analisis_avanzado_acciones_malware_raspberry_pi\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">4. AN\u00c1LISIS AVANZADO de las acciones que realiza el MALWARE <em><strong>Linux.MulDrop.14 <\/strong><\/em>en la Raspberry Pi<\/span><\/h3>\n<p>&nbsp;<\/p>\n<p>Tal y como coment\u00e1bamos al principio del post, este malware instala varias librerias, el proceso zmap y ssh pass, y adem\u00e1s puede realiza otros cambios en el sistema de forma que dificulta la limpieza, incluso el acceso. Veamos una lista de acciones que realiza:<br \/>\n&nbsp;<\/p>\n<ul>\n<li>Copia la ruta del archivo infeccioso que ejecuta, y a\u00f1ade una l\u00ednea con esa ruta en \/etc\/rc.local<\/li>\n<li>Mata varios procesos del sistema<\/li>\n<li>A\u00f1ade contenido en el archivo \/etc\/hosts<\/li>\n<li>Elimina \/root y pi.bashrc<\/li>\n<li>Cambia la contrase\u00f1a del usuario pi, para que no podamos acceder (solo podremos acceder si tenemos configurada clave p\u00fablica).<\/li>\n<li>Crea\u00a0<em>authorized_keys<\/em> para root<\/li>\n<li>Crea el archivo\u00a0\/tmp\/public.pem<\/li>\n<li>Escanea todos los dispositivos en el mismo rango y luego inicia sesi\u00f3n en ellos con el usuario &#8220;pi&#8221; y comienza a copiarse en ellos &#8230;<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>En el siguiente enlace podemos ver una explicaci\u00f3n m\u00e1s detallada, y adem\u00e1s una copia del supuesto c\u00f3digo que se ejecuta al infectar la Raspberry Pi:<\/p>\n<ul>\n<li class=\"entry-title\"><a href=\"https:\/\/erawanarifnugroho.com\/2017\/08\/25\/raspberry-pi-exploited-cryptocurrency-mining.html\" target=\"_blank\" rel=\"noopener noreferrer\">Raspberry pi exploited for cryptocurrency mining<\/a><\/li>\n<\/ul>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-19645\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/linux-muldrop-14-raspberry-malware.jpg\" alt=\"linux muldrop 14 raspberry malware\" width=\"972\" height=\"781\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/linux-muldrop-14-raspberry-malware.jpg 972w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/linux-muldrop-14-raspberry-malware-300x241.jpg 300w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/linux-muldrop-14-raspberry-malware-768x617.jpg 768w\" sizes=\"(max-width: 972px) 100vw, 972px\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"solucion_malware_ssh_raspberry_pi\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">5. SOLUCI\u00d3N<\/span><\/h3>\n<p>&nbsp;<br \/>\nCuando ya estamos infectados, no parece haber una soluci\u00f3n facil.. al menos no una que deje el sistema inntacto como antes de la infecci\u00f3n ..<\/p>\n<p style=\"text-align: center;\">Se puede intentar descargar el <a href=\"https:\/\/download.drweb.com\/linux\/?lng=en\" target=\"_blank\" rel=\"noopener noreferrer\">software de\u00a0DrWeb, versi\u00f3n de prueba<\/a>.<\/p>\n<p>&nbsp;<br \/>\n<img decoding=\"async\" loading=\"lazy\" class=\"aligncenter wp-image-19646\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/dr-web-antimalware.jpg\" alt=\"dr web antimalware\" width=\"545\" height=\"307\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/dr-web-antimalware.jpg 800w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/dr-web-antimalware-300x169.jpg 300w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2018\/06\/dr-web-antimalware-768x433.jpg 768w\" sizes=\"(max-width: 545px) 100vw, 545px\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\">Tambi\u00e9n podemos probar con Maldet y ClamAV. Hace un tiempo hablamos de <a href=\"\/maldet-antimalware-antivirus-linux\/\" target=\"_blank\" rel=\"noopener noreferrer\">Maldet<\/a> en El Taller del Bit.<\/p>\n<p>&nbsp;<br \/>\n<img decoding=\"async\" loading=\"lazy\" class=\"aligncenter wp-image-16703\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2017\/08\/maldet-linux-malware-detect.jpg\" alt=\"maldet linux malware detect\" width=\"526\" height=\"372\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2017\/08\/maldet-linux-malware-detect.jpg 650w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2017\/08\/maldet-linux-malware-detect-300x212.jpg 300w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2017\/08\/maldet-linux-malware-detect-600x425.jpg 600w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2017\/08\/maldet-linux-malware-detect-610x432.jpg 610w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2017\/08\/maldet-linux-malware-detect-400x284.jpg 400w\" sizes=\"(max-width: 526px) 100vw, 526px\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Pero lo que parece m\u00e1s adecuado, es la prevenci\u00f3n y anticipaci\u00f3n. Y lo conseguiremos por medio de estas medidas:<\/span><\/p>\n<p>&nbsp;<br \/>\nHay varios pasos que podemos realizar para conseguir una <a href=\"https:\/\/makezine.com\/2017\/09\/07\/secure-your-raspberry-pi-against-attackers\/\" target=\"_blank\" rel=\"noopener noreferrer\">tapar los agujeros de seguridad de SSH<\/a> en nuestra <a href=\"\/comandos-tips-raspberry-pi\/\" target=\"_blank\" rel=\"noopener noreferrer\">Raspberry Pi con Raspbian<\/a>:<br \/>\n&nbsp;<\/p>\n<ul>\n<li>Cambiar el username o nombre de usuario (el usuario &#8220;<em>pi<\/em>&#8221; es el usuario por defecto, deber\u00edamos utilizar otro)<\/li>\n<li>Eliminar el usuario pi, o al menos cambiar la contrase\u00f1a por defecto.<\/li>\n<li>Exigir que al usar sudo, se requiera introducir el password.<\/li>\n<li>Esto lo podemos cambiar modificando el archivo\u00a0 \u00a0\/etc\/sudoers.d\/010_pi-nopasswd<\/li>\n<li>y modificando el usuario pi o los que usemos, con lo siguiente:\u00a0\u00a0pi ALL=(ALL) PASSWD: ALL<\/li>\n<li>Actualizar a menudo y obtener las \u00faltimas actualizaciones de seguridad.<\/li>\n<li>Modificar el archivo \/etc\/ssh\/sshd_config de <a href=\"\/open-ssh-server-linux\/\" target=\"_blank\" rel=\"noopener noreferrer\">Open SSH Server<\/a>, y permitir el login solo a ciertos usuarios, con la directiva <a href=\"\/permisos-usuarios-grupos-ssh-server\/\" target=\"_blank\" rel=\"noopener noreferrer\">AllowUsers<\/a><\/li>\n<li>Desactivar la autenticaci\u00f3n con contrase\u00f1a y usar la <a href=\"\/ssh-clave-publica-privada\/\" target=\"_blank\" rel=\"noopener noreferrer\">autenticaci\u00f3n SSH con clave p\u00fablica<\/a>.<\/li>\n<li>Instalar un firewall.<\/li>\n<li>Instalar <em>Fail2ban<\/em>.<\/li>\n<li>Procurar no abrir puertos en el router a no ser que sea estrictamente necesario, en cuyo caso ser\u00e1 imprescindible que nuestra Raspberry tenga una buena configuraci\u00f3n de seguridad cumpliendo con los puntos que acabamos de ver.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"conclusion\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">6. CONCLUSI\u00d3N<\/h3>\n<p>&nbsp;<\/p>\n<p>No seas dejado, <strong>no dejes tu Raspberry Pi sin securizar<\/strong>. Mol\u00e9state en testear y configurar correctamente tu Raspberry Pi y a\u00f1adir un poco de seguridad siguiendo los consejos que hemos dado en este post, para evitarte posibles desagradables sorpresas, porque el d\u00eda que te entre el Malware Linux.MulDrop.14 puede que te haga mucha pupa&#8230;<br \/>\n&nbsp;<br \/>\nPuede que tengas copia de seguridad de tu Raspberry, pero una intrusi\u00f3n siempre duele, puede que pierdas datos y seguro que pierdes tiempo en reconfigurar todo de nuevo, y adem\u00e1s puede dejar restos de malware en alg\u00fan equipo de la red que no sepas que est\u00e1 infectado ..<br \/>\n&nbsp;<br \/>\nEn definitiva, sigue este art\u00edculo y a\u00f1ade un poco de seguridad a tu Raspberry Pi !<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"info_extra_malware_ssh_raspberry_pi\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">7. INFO EXTRA sobre el <strong>Malware por SSH en Raspberry Pi<\/strong><\/span><\/h3>\n<p>&nbsp;<br \/>\n&#8211;&gt; Otros enlaces interesantes acerca del Malware en Raspberry Pi:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.theregister.co.uk\/2017\/06\/13\/linuxmuldrop14_malware_for_raspberry_pi\/\" target=\"_blank\" rel=\"noopener noreferrer\">Raspberry Pi sours thanks to mining malware<\/a><\/li>\n<li class=\"entry-title\"><a href=\"https:\/\/itsfoss.com\/raspberry-pi-malware-threat\/\" target=\"_blank\" rel=\"noopener noreferrer\">This Linux Malware Targets Unsecure Raspberry Pi Devices<\/a><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&#8211;&gt; Archivo <em><strong>\/var\/log\/syslog<\/strong><\/em>, en el que se puede ver las conexiones y la actividad del malware de Raspberry Pi:<\/p>\n<pre lang=\"javascript\">\r\nroot@mihostname:~# tail -f \/var\/log\/syslog\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '45.32.133.4' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '207.246.119.248' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '52.66.110.28' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '107.148.142.219' (RSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '52.66.110.28' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '128.199.242.255' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:43 mihostname rc.local[449]: Warning: Permanently added '45.32.133.4' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '184.103.150.246' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '128.199.242.255' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '184.103.150.246' (ECDSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '61.215.195.168' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '61.215.195.168' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '120.132.53.10' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '221.131.144.208' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '221.131.144.208' (RSA) to the list of known hosts.\r\nJun 6 21:05:44 mihostname rc.local[449]: Warning: Permanently added '120.132.53.10' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '12.227.47.56' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '12.227.47.56' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '187.17.198.54' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '178.60.25.229' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Warning: Permanently added '187.17.198.54' (RSA) to the list of known hosts.\r\nJun 6 21:05:45 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:45 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:45 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:45 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:45 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:45 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:45 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:45 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: ssh: connect to host 188.245.81.131 port 22: No route to host\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password,keyboard-interactive).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password,keyboard-interactive).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:46 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:46 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:47 mihostname rc.local[449]: Permission denied (publickey,password).\r\nJun 6 21:05:47 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (publickey,gssapi-with-mic,password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (publickey,gssapi-with-mic,password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Warning: Permanently added '178.60.25.229' (RSA) to the list of known hosts.\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: Permission denied (password).\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: ssh: connect to host 46.62.196.135 port 22: Connection timed out\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: ssh: connect to host 188.245.81.131 port 22: Connection timed out\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:05:48 mihostname rc.local[449]: ssh: connect to host 46.62.196.135 port 22: Connection timed out\r\nJun 6 21:05:48 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:33 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:06:33 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:33 mihostname rc.local[449]: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\nJun 6 21:06:33 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:33 mihostname rc.local[449]: ssh_exchange_identification: read: Connection reset by peer\r\nJun 6 21:06:33 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:34 mihostname rc.local[449]: ssh_exchange_identification: read: Connection reset by peer\r\nJun 6 21:06:34 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:34 mihostname rc.local[449]: ssh_exchange_identification: read: Connection reset by peer\r\nJun 6 21:06:34 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:34 mihostname rc.local[449]: ssh: connect to host 181.199.128.197 port 22: Connection timed out\r\nJun 6 21:06:34 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:34 mihostname rc.local[449]: Connection timed out during banner exchange\r\nJun 6 21:06:34 mihostname rc.local[449]: lost connection\r\nJun 6 21:06:38 mihostname zmap: zmap: zmap main thread started\r\nJun 6 21:06:38 mihostname zmap: zmap: Loaded configuration file <strong>\/etc\/zmap\/zmap.conf<\/strong>\r\nJun 6 21:06:38 mihostname zmap: zmap: syslog support enabled\r\nJun 6 21:06:38 mihostname zmap: zmap: requested ouput-module: default\r\nJun 6 21:06:38 mihostname zmap: zmap: no output module provided. will use csv.\r\nJun 6 21:06:38 mihostname zmap: fieldset: probe module does not supply application success field.\r\nJun 6 21:06:38 mihostname zmap: zmap: requested output field (0): saddr\r\nJun 6 21:06:38 mihostname zmap: zmap: scan will abort if more than 1 sendto failures occur\r\nJun 6 21:06:38 mihostname zmap: constraint: Painting value 1\r\nJun 6 21:06:38 mihostname zmap: constraint: 3702243328 IPs in radix array, 26977448 IPs in tree\r\nJun 6 21:06:38 mihostname zmap: constraint: 3702258432 addresses (86% of address space) can be scanned\r\nJun 6 21:06:39 mihostname zmap: zmap: no interface provided. will use default interface (eth0).\r\nJun 6 21:06:39 mihostname zmap: zmap: no source IP address given. will use default address: 192.168.0.181.\r\nJun 6 21:06:39 mihostname rc.local[449]: Jun 06 21:06:39.005 [INFO] zmap: output module: csv\r\nJun 6 21:06:39 mihostname zmap: zmap: found gateway IP 192.168.0.1 on eth0\r\nJun 6 21:06:39 mihostname zmap: send: gateway MAC address 8c:34:fd:58:82:8c\r\nJun 6 21:06:39 mihostname zmap: zmap: output module: csv\r\nJun 6 21:06:39 mihostname zmap: zmap: Isomorphism: 12\r\nJun 6 21:06:39 mihostname zmap: send: srcip_first: 3036719296\r\nJun 6 21:06:39 mihostname zmap: send: srcip_last: 3036719296\r\nJun 6 21:06:39 mihostname zmap: send: will send from 1 address on 28233 source ports\r\nJun 6 21:06:39 mihostname zmap: send: no source MAC provided. automatically detected b8:27:eb:59:b1:10 as hw interface for eth0\r\nJun 6 21:06:39 mihostname zmap: send: source MAC address b8:27:eb:59:b1:10\r\nJun 6 21:06:39 mihostname zmap: zmap: Pinning receive thread to core 0\r\nJun 6 21:06:39 mihostname zmap: recv: recv thread started\r\nJun 6 21:06:39 mihostname zmap: recv: capturing responses on eth0\r\nJun 6 21:06:39 mihostname kernel: [ 244.452056] device eth0 entered promiscuous mode\r\nJun 6 21:06:39 mihostname zmap: recv: duplicate responses will be excluded from output\r\nJun 6 21:06:39 mihostname zmap: recv: unsuccessful responses will be excluded from output\r\nJun 6 21:06:39 mihostname rc.local[449]: 0:00 0%; send: 69 0 p\/s (749 p\/s avg); recv: 0 0 p\/s (0 p\/s avg); drops: 0 p\/s (0 p\/s avg); hitrate: 0.00%\r\nJun 6 21:06:39 mihostname zmap: zmap: 2 sender threads spawned\r\nJun 6 21:06:39 mihostname rc.local[449]: 0:00 0%; send: 585 102 Kp\/s (6.03 Kp\/s avg); recv: 0 0 p\/s (0 p\/s avg); drops: 0 p\/s (0 p\/s avg); hitrate: 0.00%\r\nJun 6 21:06:39 mihostname zmap: zmap: Pinning a send thread to core 1\r\nJun 6 21:06:39 mihostname zmap: send: send thread started\r\nJun 6 21:06:39 mihostname zmap: send: source MAC address b8:27:eb:59:b1:10\r\nJun 6 21:06:39 mihostname zmap: zmap: Pinning a send thread to core 2\r\nJun 6 21:06:39 mihostname zmap: zmap: Pinning monitor thread to core 3\r\nJun 6 21:06:39 mihostname zmap: send: send thread started\r\nJun 6 21:06:39 mihostname zmap: send: source MAC address b8:27:eb:59:b1:10\r\nJun 6 21:06:40 mihostname rc.local[449]: 0:01 11%; send: 46521 45.9 Kp\/s (42.4 Kp\/s avg); recv: 0 0 p\/s (0 p\/s avg); drops: 0 p\/s (0 p\/s avg); hitrate: 0.00%\r\nJun 6 21:06:41 mihostname rc.local[449]: 0:02 21%; send: 94052 47.5 Kp\/s (44.8 Kp\/s avg); recv: 0 0 p\/s (0 p\/s avg); drops: 0 p\/s (0 p\/s avg); hitrate: 0.00%\r\nJun 6 21:06:41 mihostname zmap: send: send thread 0 finished (max targets of 50000 reached)\r\nJun 6 21:06:41 mihostname zmap: send: thread 0 finished\r\nJun 6 21:06:41 mihostname zmap: send: send thread 1 finished (max targets of 50000 reached)\r\nJun 6 21:06:41 mihostname zmap: send: thread 1 finished\r\nJun 6 21:06:41 mihostname zmap: zmap: senders finished\r\n<\/pre>\n<p>&nbsp;<\/p>\n\n<div style=\"font-size: 0px; height: 0px; line-height: 0px; margin: 0; padding: 0; clear: both;\"><\/div>","protected":false},"excerpt":{"rendered":"<p>Hace un tiempo que se conoce la existencia de un malware que infecta las Raspberry Pi utilizando fallas de seguridad de SSH.  Vamos a ver un caso real de infecci\u00f3n con este malware en Raspberry Pi y las causas y posibles soluciones de seguridad.<\/p>\n","protected":false},"author":1,"featured_media":19649,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false},"categories":[1280],"tags":[706,1128,1119],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/19628"}],"collection":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/comments?post=19628"}],"version-history":[{"count":0,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/19628\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media\/19649"}],"wp:attachment":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media?parent=19628"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/categories?post=19628"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/tags?post=19628"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}