11:58
19/5/2010

Włamano się do Carders.cc, niemieckiego forum internetowego zrzeszającego cybeprzestępców handlujących kradzionymi numerami kart kredytowych. Baza danych serwisu carders.cc (hasła, adresy IP, numery kart) jest teraz publicznie dostępna na rapidshare oraz sieciach P2P.

Carders.cc straciło wszystko

Carders.cc liczyło ok. 5 000 użytkowników. Teraz ich adresy IP, hasła, e-maile, posty i prywatne wiadomości, które przesyłali do siebie za pomocą serwisu są dostępne w sieci. Na pewno będzie to ciekawa lektura… (pomyślcie tylko o adresach serwerów FTP na wrzutki i innych serwisach na których mogą mieć konta z tymi samymi danymi — prawdziwy raj dla funkcjonariuszy).

Jeden z plików opisujących szczegóły włąmania na carders.cc

Niestety w opublikowanych przez włamywaczy plikach znajdują się też dane niewinnych osób (numery kont i kart, PIN-y, hasła) — szczęście w nieszczęściu; te dane i tak były już wykradzione i znajdowały się już w niepowołanych rękach.

Teoretycznie, każdmy ma do nich dostęp, więc możecie sami sprawdzić, czy ktoś z carders.cc nie handlował waszymi danymi… :>

Jak doszło do włamania na carders.cc?

Włamanie na carders.cc było możliwe, ponieważ administratorzy przestępczego forum nie mieli poprawnie ustawionych praw do plików na serwerze:

They actually managed to chmod and chown nearly everything to 777 and www-user readable. Including their /root directory.

Pamiętacie co mówiłem o JennyCreature na Infoshare? :)

Informacje o włamaniu zaprezentowano w e-zinie Owned and Exposed… z którego wynika, że to wydanie nie będzie pierwszym i ostatnim. Kto będzie następny?

Przeczytaj także:



30 komentarzy

Dodaj komentarz
  1. Widze, ze do dzisiaj lekarstwem na ‘cos nie dziala’ lub ‘permission denied’ jest ‘chmod 777 -R /*’, czy nawet odpalanie php z roota, coby mial wszedzie dostep. Wannabe sysadmins wymiataja.

  2. Co mówiłeś o JennyCreature na Infoshare? Nie byłem, wideo też nie ma, a z chęcią bym się dowiedział.

  3. Nosił wilk razy kilka, ponieśli i wilka… ;]

  4. http://rapidshare.com/files/388909832/dump.sql.gz

  5. Link do torrenta, link :).

  6. Google -> carders dump sql gz ;)

  7. @jurant -Z czym Ci się kojarzy nazwa JennyCreature – przekręcona zmyślona nazwa na wzór sławnego serwisu Jo.Mo…… Jest to tu w archiwum niebezpiecznika. Z tym, że troche dziwne się wydaje to, że pozornie mocno undergroundowe forum, które powinno być dobrze zamknięte w taki sam niemalze sposów zostało rozwalone – a może dywersja … ?

  8. Internetowi paladyni walczą ze złem ;) Czekam na atak na /b/ :P

    • Atak na /b/ i rozpoczeła by się internetowa wojna :)

    • >porównywanie /b/ do forum carderów
      To już nawet nie jest nieśmieszny żart.

  9. Moze mi ktos wyjasnic jak dokonac wlamania jak ma sie chody na 777???
    sam czasami tak ustawiam bo nigdy nie widzalem w tym zagrozeina :P
    ale ja nie jestem zadnym adminem :p

  10. Zapis do katalogu zawsze jest niebezpieczny, o ile jest to powiedzmy jeden katalog (np:upload) to można w samym skrypcie ustawić odpowiednie rygory itp.
    Trywialny atak może wyglądać chociażby tak: wysyłamy plik xxx.php o treść ; i o ile puści nam skrypt wystarczy go teraz tylko uruchomić :)

  11. Wycięło treść skryptu, niepotrzebnie dodałem tagi php ;-)
    exec(‘rm -f /’); (treść skryptu)

  12. @patryk: Sposobów jest zapewne wiele. Wystarczy że ktoś miał dostęp do shell’a, sprawdził czy root może logować się przez ssh (jeśli wszystko było na 777 mógł czytać każdy plik), następnie odczytał skrót hasła root’a, użył tablic tęczowych, wygenerował odpowiednik hasła i tadaaa! Sposobów jest pewnie od groma, ale ja nie wiem, nie znam się, jestem małym grzecznym i dobrym żuczkiem. Nie robię takich rzeczy, niech inni się wypowiedzą.

  13. Chyba żartujesz z tym exec(‘rm -f /’); Powodzenia rzycze, jak ktos w /var/www/htdocs/strona.php ma taki wpis i chmod 777
    to powodzenia w usuwaniu glownej partycji

    no chyba, ze Twoj apache, lighttpd, czy co tam masz dziala na roocie :)

  14. Cóż za tragedia, okradziono złodzieji, ciekawe kiedy złożą doniesienie do prokuratury o to że zostali z hackowani ;p

    Jakby takie coś wydarzyło się w polsce – zdziwilibyście się bardzo jakby policja próbowała złapać hakerów, złapała by i ich skazała? ja nie…

  15. … i jeszcze ma odblokowane exec(); bądź inne ciekawsze funkcje “systemowe”.

  16. Jak widać nawet sami cyberprzestępcy nie zawsze potrafia dostatecznie zabezpieczyc swoje dane. W tym przypadku to oczywiscie dobrze, bo policja i inne słuzby ma dowody podane na tacy. Ludzie juz pewnie dawno pozmieniali karty.

  17. Pozwolę sobie zostać nadwornym poprawiaczem błędów, w razie czego po poprawkach można moje komentarze wywalać. :>
    “Złodziei”, nie “złodziejów”, ani “złodzieji”. :)

    A rapidshare już przypilnował i każe mi ściągać filmy, pomimo tego, że wyraźnie prosiłem o dane. ;)

  18. Misiaczki, ‘rm -f /’ nic nie zrobi, co najwyzej wypluje, ze / jest katalogiem, rowniez ‘rm -rf /’ nic nie zrobi, (zmiany w coreutils pare lat temu). by to ‘dzialalo’ trzeba ‘rm -rf/*’. Co do 777 wszedzie, @OkropNick: Po co uzywac teczowych tablic? Skoro masz zapis do shadow, podmienic na jakis wlasny hash i juz. Tak czytam wasze komentarze i widze, ze wiecej takich ‘adminow’ jest…

  19. @SlashBeast: “Skoro masz zapis do shadow, podmienic na jakis wlasny hash i juz” – no właśnie, po co “odgadywać” które hasło pasuje do skrótu skoro można je nadpisać. Btw. nie jestem adminem, ani hackerem, ani crackerem, tylko zwykłym użytkownikiem, “administruję” swoim komputerem i wyznaję prostą zasadę: “Nie znasz się, to się zapoznaj albo nie ruszaj bo popsujesz”. Zwyczajnie nabijam się z tego artykułu i tyle.

  20. Jesli serwer www nie bedzie dzialal na prawach roota (mowie o standardowej instalacji systemu to chmod 777 nic wam nie da! nie zobaczycie zadnych shadow, nie skasujecie /, nie wylistujecie roota!

  21. No toć przecież już tutaj http://defcon.org/html/links/dc-archives/dc-15-archive.html#Gutmann Peter Gutmann zdradzał, że włamywacze komputerowi nie trudzą się zabezpieczaniem łupów. Skupiają się na zdobywaniu dostępu do cudzych komputerów, a nie zabezpieczaniu swoich repozytoriów i takie przejęcia są częstsze. “Security researcherzy” robią takie figle, rywalizujące grupy przestępcze robią i służby dostają się do składów takich danych, ażeby uchronić ofiary i ująć złoczyńców. Tylko co prawda, nie rilisują tego przez Rapidshare w eter.

  22. Właśnie sobie ściągnąłem tego dumpa. Niezła baza maili :) Sporo z Rosji jest…

    Trochę IP’ków konkretnych użytkowników też można zebrać z danych sesyjnych (carders_smf_sessions).

    No ładnie.

  23. http://tasteless.back2hack.cc/wp-content/uploads/2010/05/exp01.txt – Tutaj chyba część tej bazy jest :P

    Ja jestem tylko ciekaw czy opłacił ich jakiś wkurzony typek któremu coś ważnego ukradli czy sami z siebie to zrobili ^^

  24. @Michał Jakies fest glupoty opowiadasz, nie musi dzialac jako root serwer www, skoro chmod 777 to kazdy ma tam i zapis i odczyt wiec oczywiscie, ze dobierzesz sie do shadowa, tak jak zwykly nie uprzywilejowany uzytkownik moze sobie po prostu wyswietlac pliki z 644 i listowac katalogi z 755.

  25. @SlashBeast Własnie mówie o tym co Ty, a to nie są głupoty.
    Panowie powyżej twierdzą, że da sie zrobić wszystko, a nie da sie zrobić nic w shadow ani rm -rf /* ;D
    tylko pliki 644 i katalogi 755 poogladac, tylko albo az :)

  26. no, ale jak masz 777 to poza poogladaniem, mozesz rowniez zapisywac [do shadow], wrzucic tam swoj hash i juz sie na roota czy innego usera zalogowac.

  27. DOBRE :)

  28. […] jak zapowiadali w maju, kiedy to po raz pierwszy legło forum carders.cc, tak zrobili… Hackerzy odpowiedzialni za […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: