Tentativo di hacking riuscito ai danni della piattaforma di creazione blogs italiana più famosa. Gli hackers avrebbero potuto cancellare tutti i blogs, ma si sono limitati a lasciare la firma del loro passaggio.
Nella notte di Halloween un gruppo di hackers brasiliani ha trovato una falla su Splinder, una delle piattaforme che permette di creare blogs gratuiti: parafrasando un comico di Zelig, “poteva essere una strage” (di blog). Ma gli hackers hanno solamente lasciato la firma in home page, senza cancellare blogs, commenti, files, eccetera. Questa l’immagine del defacement (violazione al sito riuscita) della home page di splinder dopo la notte di Halloween:
Come spesso accade in questi attacchi, i lamers (hackers che utilizzano uno script che, sfruttando una falla del sistema, riescono ad accedere all’amministrazione) si limitano a lasciare traccia del loro passaggio nella home page vittima dell’attacco (di fatto la sostituiscono) e a lasciare un indirizzo di chat, spesso senza provocare danni irreversibili o ingenti (a parte far passare delle brutte giornati agli amministratori e a minare il buon nome del sito).
Cosa puo’ fare l’utente del blog in questi casi? Nulla, se non sperare che gli hackers si limitino a sostiutire la home page del sito senza fare altri ben più gravi danni (spesso agli hackers interessa dimostrare di essere riusciti ad entrare, non fare danni effettivi). E sperare che gli amministratori riescano a capire dove si trovi la falla e a mettere una protezione (oltre che aver fatto una copia di backup dei dati, come senz’altro hanno fatto).
Oggi 1 novembre Splinder è stata violata (defacement) 2 volte, segno tangibile (purtroppo) che per gli amministratori non è (stato) così facile sistemare il problema. O almeno essere sicuri di averlo sistemato bene.
Un esperto svizzero (che parla italiano benissimo) di sistemi Unix e di internet ha contattato in chat questi hackers e, oltre a carpire qualche info tecnica su questo attacco e possibilit? simili, si è dilettato a dialogare con espressioni romano-inglesi, alias Totti language (vedasi anche dizionario totti-inglese / inglese-pupone). Il nickname di questa persona è Pascal (che ha finto di non sapere l’italiano quando un altro blogger si è inserito nella chat chiedendo aiuto per il proprio blog su splinder oscurato), e questo è il dialogo in chat avuto con uno della crew (=ciurma, membro del gruppo degli hackers) del Zoroca Team (il gruppo brasiliano responsabile dell’attacco).
La chattata tra Pascal e l’hackers (nella chat: Audio_Track) è interessante per alcuni motivi: fa capire come potenziali hackers si scambino informazioni per capire le falle del sistema utilizzato e/o come entrare (effettivamente il miglior modo per rendere sicura una macchina è quella di capire dove fa acqua); il lamer offre più volte di defacciare anche un altro sito; si tiene un breve corso di Totti language. Abbiamo evidenziato in grassetto queste parti.
-:- pascalbrax [[email protected]] has joined #zoroca
-:- Topic (#zoroca): last: tipic.com
-:- Topic (#zoroca): set by Audio_Track at Mon Oct 31 06:4:32 2005
-:- [Users(#zoroca:8)]
[ pascalbr] [@Audio_Trac] [ _lord_daem] [vlord_daemo] [@AcidBurnn_]
[@LorD_n1c0w] [@Mente-Digi] [ ezrah ]
-:- Channel #zoroca was created at Thu Oct 13 04:28:43 2005
-:- BitchX: Join to #zoroca was synched in 0.673 secs!!
pascalbrax: hi all
pascalbrax: grats noobs 4 defacing splinder
Audio_Track: auheuaheaue
Audio_Track: thanx
Audio_Track: splinder its a big server?
Audio_Track: blog server ahn pascalbrax?
Audio_Track: program brax; uses crt;
Audio_Track: do you program in pascal pascalbrax ?
pascalbrax: lol
-:- ddterror [[email protected]] has joined #zoroca
pascalbrax: irc spam bot or something?
Audio_Track: no
* LorD_n1c0w/#zoroca <0uvindO> Rage Against The Machine – Kick Out The Jams (Live)
Audio_Track: haha
Audio_Track: seriously
pascalbrax: splinder is an italian lame blog hosting service
Audio_Track: ahh
Audio_Track: do you know motime?
pascalbrax: yes
Audio_Track: yes known?
Audio_Track: is*
pascalbrax: but i usually dont care blogs
Audio_Track: must i have deface motime?
Audio_Track: (damn my english)
Audio_Track: its suck
Audio_Track: must i deface… *
pascalbrax: what’s your main language?
Audio_Track: portuguese
Audio_Track: we are brazilians
Audio_Track: and script kiddies
Audio_Track:
pascalbrax: i see
pascalbrax: fullgames.biz/zoroca_main.swf
pascalbrax: this looks like made with swish
Audio_Track: what means swish?
pascalbrax: swishzone.com
pascalbrax: tools for noobs for creating Flash animations
Audio_Track: let me see
Audio_Track: ahhhh
Audio_Track: so aren’t you a blogger
Audio_Track: what do you do?
pascalbrax: not an hard-core blogger
* LorD_n1c0w/#zoroca <0uvindO> Rage Against The Machine – Wind Below
pascalbrax: i would never put my blog on splinder, anyway
pascalbrax: it sucks
Audio_Track: are you italian?
pascalbrax: no
.—————————————– — –
| Audio_Track ([email protected]) (unknown)
: ircname : parc
| register : Audio_Track – is a registered nick
| channels : @#zoroca
| server : FooNet.USA.GigaChat.net (GigaChat FooNet IRC Server)
[GigaChat] *** Audio_Track ([email protected]) did a /whois on you.
pascalbrax: lol
pascalbrax: nice
Audio_Track: program brax;
Audio_Track: uses crt;
Audio_Track: var a: integer;
pascalbrax: i use putty
Audio_Track: hehe
Audio_Track: me not
Audio_Track: plx no ping me ou like this
pascalbrax: i’m not pingin
Audio_Track: syn me (ack me)
Audio_Track: hahaha
Audio_Track: i know
Audio_Track: i am desprotected
Audio_Track: understood?
pascalbrax: lol desprotected!
pascalbrax: unprotected
pascalbrax: protected != unprotected
pascalbrax: des -> un
pascalbrax: shield != unshield
Audio_Track: oh thanx
Audio_Track: auheuaeh
pascalbrax: holy != unholy
Audio_Track: i am learning
pascalbrax: bravo
Audio_Track: i will try remember later
pascalbrax: try TO remember
Audio_Track: hey fucks noob, i will hack you!!!
Audio_Track: omg
Audio_Track: yeah
Audio_Track: to
pascalbrax: c’mon, hack me
Audio_Track: your native language is english?
Audio_Track: im joking
Audio_Track: im invading you now fucking noob
Audio_Track: auhuehue
Audio_Track: your native language is english?
Audio_Track: what means pascal in your nick pascalbrax?
* LorD_n1c0w/#zoroca <0uvindO> Rage Against The Machine – Without A Face
pascalbrax: pascal il my realname
Audio_Track: ohhh
Audio_Track: haha
Audio_Track: adn brax?
pascalbrax: i don’t program in pascal or turbo pascal
Audio_Track: haha
pascalbrax: brax it’s a secret
Audio_Track: borland turbo pascal its a language?
Audio_Track: a variety
pascalbrax: yes, an educational purpose language
Audio_Track: pure pascal and turbo pascal
pascalbrax: i prefer C
Audio_Track: i prefer python
pascalbrax: python rocks
Audio_Track: yeah!
-:- SignOff _lord_daemon: #zoroca (Ping timeout)
pascalbrax: my xchat scripts are in python
Audio_Track: wow
Audio_Track: nice
Audio_Track: my pc is a pentium 166
Audio_Track: with 32 ram
Audio_Track: 64 (but i can use only 32)
pascalbrax: pascalbrax.com/sysinfo that’s my pc
-:- _lord_daemon [[email protected]] has joined #zoroca
Audio_Track: do you use microsoft windows?
pascalbrax: my firewall and router
pascalbrax: it’s an old debian and php is bugged
pascalbrax: put an “owned” page on it
Audio_Track: The internet is closed. Please go away.
Audio_Track: oohhh, yeah, i got, im in in you system
pascalbrax: add /sysinfo
Audio_Track: yeah
pascalbrax: pascalbrax.com/sysinfo
Audio_Track: oh my sniffer killed
Audio_Track: wtf
pascalbrax: lol
Audio_Track: hey stop!
Audio_Track: stop now!
pascalbrax: uh?
Audio_Track: i can see now
Audio_Track: 3.1
Audio_Track: yeah
Audio_Track: me too
Audio_Track: sarge
* LorD_n1c0w/#zoroca <0uvindO> Rage Against The Machine – Bulls On Parade
Audio_Track: MHz del Chip 132.87 MHz
Audio_Track: what means that?
Audio_Track: (this)*
pascalbrax: it’s a pentium 133mhz
Audio_Track: oh lol
Audio_Track: you r web server?
pascalbrax: you can select spanish from the bottom
pascalbrax: apache of course
Audio_Track: pt-br
pascalbrax: 200.149.94.104 telemar.net.br – lol that’s you
pascalbrax: you are hacking me!
pascalbrax: omg!
Audio_Track: ohh, i know a bug in phpsysinfo
Audio_Track: humm
Audio_Track: where is my exploit ?
Audio_Track: i found
Audio_Track: ./home/user/scripts/kiddies/phpsysinfo.pl
Audio_Track: hey plx
Audio_Track: my ip
Audio_Track: i have dial conexion
Audio_Track: 56kbps plx no ping me
pascalbrax: i’m not a lamer
Audio_Track: i need a tcp blocker
pascalbrax: i don’t ping
Audio_Track: firewall
Audio_Track: heheh just joking
Audio_Track: i will ddos this machine ok?
Audio_Track: where is my shells
* LorD_n1c0w/#zoroca <0uvindO> Rage Against The Machine – Down Rodeo
pascalbrax: i have only 256kb upload, don’t ddos pls
Audio_Track: joking joking
Audio_Track: i dunno do this
pascalbrax: jajajajaja
Audio_Track: i just a script kiddie
Audio_Track: serious
pascalbrax: ok
Audio_Track: im trying do any py scripts for automatize any functions
Audio_Track: and i got knowledgment on this way
pascalbrax: ok
Audio_Track: understood?
pascalbrax: tell me if you can deface my server
Audio_Track: lol
Audio_Track: off course no
Audio_Track: i dont have knowledgemetns
pascalbrax: it’s kinda easy, mod_php is bugged
Audio_Track: humm
Audio_Track: Scan Result…
Audio_Track: Opened Ports…
Audio_Track: 22
Audio_Track: 80
Audio_Track: …
Audio_Track: lol
Audio_Track: joking
Audio_Track: mod_php
Audio_Track: humm
Audio_Track: where where?
Audio_Track: i will have permissions?
pascalbrax: sure
pascalbrax: so we can test if debian is secure
Audio_Track: in the blogger i had permission
-:- JB27 [[email protected]] has joined #zoroca
Audio_Track: so tell me how and i can try
Audio_Track: hehe
Audio_Track: so we can test if your configuration is secure
pascalbrax: pascalbrax.com/permission
Audio_Track: wow
Audio_Track: my nick Audio_Track
Audio_Track: i will post in zone-h
pascalbrax: lol
Audio_Track: auehaeuahe
pascalbrax: hell yeah
Audio_Track: subdirs
Audio_Track: Audio_Track and deface
Audio_Track: perfect for zone-h bot
* LorD_n1c0w/#zoroca <0uvindO> Rage Against The Machine – People Of The Sun
Audio_Track: yeah im trying like a script kiddie use any root local exploits
Audio_Track: now a little bit of privilege elevation
Audio_Track: a buffer overflow here
Audio_Track: Sending Shellcode…
Audio_Track: yeah
-:- RAM_mit [[email protected]] has joined #zoroca
Audio_Track: uid=root gid=root groups=nobody
Audio_Track: so im in pascalbrax
Audio_Track: oh my god my gnu debugger is bugged
Audio_Track: i need a shell code fastly
-:- Anem [[email protected]] has joined #zoroca
pascalbrax: you can use gcc it’s on pascalbrax.com
Anem: scusate ragazzi
Anem: siete voi
Audio_Track: i am not executing commands
* LorD_n1c0w/#zoroca <0uvindO> Rage Against The Machine – Revolver
Anem: hello sorry
Audio_Track: traduce plx pascalbrax
Audio_Track: hello
pascalbrax: scusate ragazzi, siete voi = sorry guys, you are…
Audio_Track: auheuahea
Audio_Track: scusate = excuse
Anem: u have take the splinder domain??
pascalbrax: Anem si siamo noi, noi lecchiamo le palle
Audio_Track: yeah Anem
pascalbrax: Audio_Track poi ha fatto il resto con l’ingoio
RAM_mit: lol
RAM_mit: hello
Anem: ahh ne potete liberare solo uno?
Audio_Track: how?
Audio_Track: english pls
pascalbrax: ok
Anem: perche mi serve per lavoro?
Audio_Track: hello
Anem: u can put up one only blog?
pascalbrax: Anem is asking to un-deface his blog, he need it for work
Audio_Track: what url?
Audio_Track: its defaced??
Audio_Track: i just defaced main domain
Anem: thefairynails.splinder. com
Anem: this sorry but is
Audio_Track: oh
Anem: for work to make see my work
RAM_mit: and how long will it stay defaced?
pascalbrax: omg this blog is gay
RAM_mit: the main domain I mean
Anem: if is possible always
Anem:
Audio_Track: main domain dont works???
Audio_Track: damn lag
Anem: my blogs don’t work
Audio_Track: my processor
pascalbrax: this blog is made with foots
RAM_mit: the edit-my-blog shtick
pascalbrax: but woman never wing!
Anem: sorry but i ask friendly a solution+
Audio_Track: i did not know
Audio_Track: how i can help u?
Audio_Track: ahh
Audio_Track: let me see
-:- SignOff JB27: #zoroca (Quit: )
Anem: yes
RAM_mit: it just turns out this graphic that turns here
pascalbrax: dick! my cpu is tirando le cuoia on that dick blog!
RAM_mit: bwahahah
Audio_Track: are you trying to access splinder.com Anem
pascalbrax: Audio_Track anem needs just his subdomain on splinder.com:
thefairynails.splinder.com
* LorD_n1c0w/#zoroca <0uvindO> Rage Against The Machine – Roll Right
Anem: no trying to access to blog
Anem: subdomain
Audio_Track: in which url??
Audio_Track: i cant understood
Anem: pascalbrax sei ita?
pascalbrax: nein
Anem: ok
pascalbrax: but i understand totti language
Audio_Track: totti
pascalbrax: vammori’ ammazzato = go to die killed
Audio_Track: who are totti?
pascalbrax: oggi nun e’ giornata = today is not day
Audio_Track: LorD_n1c0w tibia plx
Anem: pascalbrax i’m of one other crew i think u know
Anem: i ask a friendly solution only for my blog
pascalbrax: nun ce trippa pe’ gatti = there is no food for cats
Spesso i codici per violare i sistemi meno sicuri si trovano già pronti su internet. E’ il caso, ad esempio, di PhpNuke, il CMS (Content Management Systems) che permette di creare in pochi minuti un proprio sito interattivo con forum, news, gallerie fotografiche, ecc. PhpNuke non è un CMS ben fatto, e ha molti bugs, con grossi rischi di defacements (violazioni). Se il webmaster non mette le opportune patch (correzioni), il sito è bucabile inserendo una semplice riga di istruzione all’interno di un form presente nel sito. Su Zone H potete vedere la lista degli attacchi hackers nel mondo (spesso sono gli stessi lamers a segnalare il proprio successo nell’essere riusciti a violare un sito).
Nel 2004 su Zone-H c’eravamo anche noi: la colpa era del vecchio hoster, che aveva lasciato una porta aperta su un gruppo di server che conteneva centinaia di siti, tutti bucati sempre da hackers brasiliani. Una vecchia regola del marketing dice “non è importante come se ne parla, l’importante è che se ne parli”. Sarà, ma quel giorno ho amato un po’ meno il Brasile.
[www.magnaromagna.it] – Resoconto attacco: Zone H., blog di pascalbrax