19:32
14/8/2014

Cyber Berkut nie ustaje w “atakach” na krytyczną polską infrastrukturę. Teraz ich celem są m.in. hakobo.art.pl, dagami.lodz.pl, bilgoraj.cerkiew.pl czy usgtarczycy.pl. Ale trzeba przyznać, że kunszt ataków jednak rośnie, z gimnazjalnego DDoS-u berkutowcy przeszli już na poziom script-kidderskich deface’ów.

Cyberberkutowa propaganda umieszczana na podrzędnych stronach internetowych, które udało się podmienić

Cyberberkutowa propaganda umieszczana na podrzędnych stronach internetowych, które udało się podmienić

Pełna lista zaatakowanych stron, na których umieszczono powyższe treści to:

bilgoraj.cerkiew.pl
straszow.pl
green-light.pl
klr-lodz.pl
nbas.edu.pl
scm-elamed.pl
szkolenia-pth.pl
endo.szczecin.pl
ptt.edu.pl
new.coi.pl
dagami.lodz.pl
modapolka.com
gregorgonsior.com
herzlichwillkommen.pl
frommoon.pl
ol-ptendo.org.pl
zielonirp.org.pl
wunderteam.pl
usgtarczycy.pl
ckp.bialystok.pl
ab-ba.com.pl
bacieczki.cerkiew.pl
bialowieza.cerkiew.pl
bractwocim.cerkiew.pl
cieplice.cerkiew.pl
dojlidy.cerkiew.pl
festiwal.cerkiew.pl
elester-pkp.com.pl
bartoszlipowski.com
hakobo.art.pl
maua.pl
bonusmedicus.pl
playablog.pl
joannawider.com
peperoncini.pl
pisera.com.pl
studyinpoland.pl

Dlaczego ofiarą ataków padły te, a nie inne strony? Bo wszystkie są hostowane na tym samym typie serwera shared hosting w Nazwa.pl — celem więc była tylko jedna serwerownia, a atak powiódł się zapewne tylko u tych klientów, którzy zapomnieli zaktualizować swojego CMS-a (na tych stronach, które sprawdziliśmy stała dziurawe Joomla lub WordPress).

Unikatowe IP dla powyższych domen to: 85.128.168.30, 89.161.220.40, 85.128.138.78 i parę innych, ale nie mamy siły ich resolvować bo a) weekend b) dalej pękamy ze śmiechu z doboru ofiar.

Co ciekawe, te same strony już raz zostały przez “ukraińskich anonimowych” podmienione. Widać nawet autorzy zaatakowanych serwisów internetowym uważają je za nieistotne, skoro od tamtego czasu dalej ich nie załatali.

Czy kiedykolwiek odwiedziłeś jakąkolwiek z podmienionych przez Cyber Berkut stron internetowych?


Przeczytaj także:



63 komentarzy

Dodaj komentarz
  1. Dziady ukradli mojego shella z cerkiew.pl – a tak go lubilem

    • ja mam shella w piwnicy, mogę podesłać … ?

    • Ja mam shella w łazience. Robi za dekorację w morskich klimatach.

    • A ja na shellu kupuję piwo i paliwo..

  2. Jakies ogorkowe te strony.

  3. Tylko doilidy znam przez piwo zubr ale tu chodzi o cerkiew ogolnie zal mi nich nie maja czego hakowac. To jest poziom gimbow z afera acta hakowali jakies smieszne strony i annonymous xd.

  4. Pękać z doboru ofiar oczywiście można…
    Ale prezydent.pl do teraz (19:50 14 VIII) leży…

    • To nie były ataki hakerów tylko duże zainteresowanie stronami rządu.

    • @LuQ
      Propaganda…
      Celem było zablokowanie prezydent.pl.
      Cel został osiągnięty skutecznie: 15 VIII 8:20 strona nadal leży.
      Wzmożone zainteresowanie jest elementem takich ataków.
      BTW, jeśli po rzuceniu petardy ludzie zaczną się tratować przy wyjściu, to nadal jest skutek tego wybuchu.

    • 15 VIII – 11:33, bez zmian :D

    • Godz. 19:24 strona prezydent.pl już działa

  5. usgtarczycy.pl rozłożyło mnie całkiem na łopatki :D

  6. Cześć z tych zdjęć latały już w necie jakoby było dowodem zbrodni na Ukrainie przez separatystów. Szkoda ze szybko wyszło ze zdjęcia są całkiem innych wydarzeń (jak się walki handlarzy narkotyków w Meksyku) a ich umieszczanie zajmowali się Rosjanie.

    Zatem rośnie nam drugi kraj totalitaryzmu jak w Chinach, gdzie ich naród żyję w kłamstwie. Witamy nowe chiny – Rosję

    • Racja oczywiście, ale nie zapominaj że taką sama propagandę serwują nam Ukraińcy w druga stronę. Prawda jak zwykle – leży pośrodku.

    • Prawda leży po środku może w Twojej dziwacznej logice, ale wg logiki greckiej prawda leży tam gdzie leży – pamiętaj o tym zawsze i nie powtarzaj tych komunałów więcej…

    • To prawda, prawda leży a jak wiadomo leżącego wszyscy kopią.

    • Włącz TVN lub TVN24 – masz przykład propagandy w swoim kraju. A smiejesz sie z Rosyjskiej propagandy? Moze znajdź przykłady debilizmu w naszej rodzimej TV?
      Ludzie obudźcie sie – kogo popieracie?

  7. “(…) atak powiódł się zapewne tylko u tych klientów, którzy zapomnieli zaktualizować swojego CMS-a (na tych stronach, które sprawdziliśmy stała dziurawe Joomla lub WordPress).”

    O którą wersję WordPressa chodzi? I jakie dziury wykorzystano?

  8. CYBER TERROR, POLSKIE STRONY PADAJĄ JAK MUCHY JEDNA PO DRUGIEJ.

  9. W polskich konsulatach na ukrainie od jakiegoś czasu zablokowany jest system składania wniosków wizowych – podobno przez hakerow

    • Ukraińskie embargo na polskie mięso też zapewne hakerzy załatwili ;)

    • Putin to hacker. SocjalNeo.

  10. […] Link 2 – atak na kilka stron […]

  11. ofiary raczej nie nauczyły się po 1 ataku :D

    https://niebezpiecznik.pl/post/ukranscy-anonimowi-podmienili-kilkanascie-polskich-stron-www/?similarpost

  12. Proponuję zmienić odpowiedzi w ankiecie na “tak, nie odwiedziłem” i “nie, nie odwiedziłem” :)

  13. No dobrze, ale czy to znaczy, że na Ukrainie nie giną z rąk własnego rządu niewinni ludzie?

    • Niestety, tak bywa gdy terroryści ukrywają się pośród normalnych ludzi.

    • jest wojna to są ofiary po co ukranicy brali jeńców powinni wybić wszystkich separatystów i po sprawie a jak się bunkruja to spalić cały budynek najlepiej bu rzucili troche napalmu

    • A niby dlaczego miałoby tak znaczyć???

    • @Marcin, płytki i głupi. Kto to są separatyści ? Kim byli separatyści w 1981 ? Może po drugiej stronie barykady ktoś widzi swojego brata lub ojca.
      Łatwo kogoś zabić, jak nie ma się bladego pojęcia o sytuacji, siedzi się w domu i grzeje dupsko w fotelu.
      Może część ludności Ukrainy chce przyłączenia do Rosji (co akurat nie było by niczym dziwnym bo na tym terenie żyją niemal wyłącznie Rosjanie) ? Tego się nie dowiesz bo każda propaganda ciągnie w swoją stronę.

      Wsiądź do samochodu i sprawdź, dopiero wtedy będziesz miał prawo cokolwiek powiedzieć.

      Takie brednie przywodzą mi na myśl wywody pana Macierewicza, nie ma pojęci o czym plecie ale plecie.

  14. Odpowiedź w ankiecie: TAK.
    …dzisiaj ;d

  15. Właściwie to 2 rzeczy: Pierwsza to to,że Cyber-Berkut głupotę robi z tym masowym atakiem,bo przy okazji hackerom GRU będzie trudniej – rządowi admini mogą teraz zacząć przyglądać się dokładniej swoim systemom i może nawet coś znajdą… A przejęcie systemu jest dużo gorsze niż deface. Druga sprawa to, można by rzec odbicie lustrzane tej pierwszej kwestii – jutro będzie dobry dzień dla adminów stron rządowych na próbę przeforsowania korekt systemu bezpieczeństwa,np. wprowadzenia tego dwustopniowego uwierzytelnienia i innych drobiazgów.Może szef im za jakiś czas każe zlikwidować (znając życie ludzkie lenistwo i lenistwo biurw) ale przynajmniej na “gorący okres” będzie jak znalazł,a może nawet coś zostanie “siłą biurokratycznego bezwładu”

    • Jakieś rozsądne słowa wreszcie w komentarzu. O to chodzi, oby Polacy wykorzystali tę pomoc do uodpornienia na powazniejsze ataki wraz z tymi.
      Poza tym – każdy z Was może w tej sprawie się z nimi kontaktować. Jeśli ktoś wie jak to zrobić – piszcie do nich lub dzwońcie. Będziecie mieli wpływ na losy kraju. Więcej ludzi, którzy coś potrafią powinno zaczynać działać! Inicjatywa nie boli, a możecie zostać wynagrodzeni.

  16. Skisłem z atakowania prawosławnych stronek. Właściwie całe to prawosławie to jest śmieszna religia, zwłaszcza na podlasiu (Bielsk, Białowieża, Hajnówka, Białystok) jest nas od cholery :)

  17. niezalezna.pl leży, jest tylko napis “niezalezna.pl”

  18. Trzecie zdjęcie od lewej w pierwszym rzędzie to fotografia zrobiona na samym początku września w 1939 roku w Warszawie przez Juliana Bryana – amerykańskiego korespondenta, który przebywał wtedy w atakowanym przez NIEMCÓW (nie Ukraińców) mieście. Pewnego dnia widział atak hitlerowskich samolotów na kobiety kopiące w polu ziemniaki! Na zdjęciu jest jedna z nich. Pochyla się nad nią jej 10-letnia siostra, przerażona i zszokowana tym, co się stało. Wg. Bryana miała szlochać: o moja siostro, dlaczego się zmieniłaś, dlaczego nie jesteś już taka piękna.
    Nie potrafię rozpoznać pozostałych zdjęć, ale nie zdziwiłbym się, gdyby się okazało, Że też pochodzą z zupełnie innych czasów i miejsc. Zwykła sowiecka metoda – bezczelnie łgać i manipulować faktami. Brakuje jeszcze tylko trzeciego elementu – obwiniania ofiary, że to ona jest sprawcą.

  19. “Atak” okazał się najlepszą reklamą jaką te serwisy mogły kiedykolwiek otrzymać. Pageviews over 9000%

  20. Konieczny w TVN :)
    http://puu.sh/aThJx/45a0d6d4e4.png

  21. Tu chyba nie chodzi o brak aktualizacji cms-a (no moze jednego z nich), ale jesli to sharehosting to pewnie admin servera nie wie co to uprawnienia do plikow. Wjechali na jedna strone (albo jakies darmowe konto testowe sobie zalozyli), wgrali php shella czy inne cholerstwo i juz dalej z gorki po configach.
    Typowy problem na sharehostingach.

    • Problem uprawnień?
      Zielonego pojęcia nie masz o środowiskach hostingowych.

      Jak ktoś kupuje konto hostingowe, to dostaje konto na serwerze. Interpreter PHP jest na takim koncie uruchamiany z prawami tego konta.
      Powiedz mi, jakim cudem zmiana uprawnień plików coś da, skoro wszystko dzieje się w zakresie jednego konta systemowego?

      Jedna dziurawa apka na koncie hostingowym umożliwia modyfikację wszystkich plików na nim – tak jest wszędzie. I nie da się przed tym bronić, nie stosując separacji na poziomie systemu operacyjnego – czyli jedna apka=jedno konto hostingowe.

    • pojecia jak to wyglada nie masz Ty.
      To co opisales to dobra konfiguracja serwera, ktora malo kiedy jest spotykana. Ostatnio z duzej firmy hostingowej w uk, byla seria wlamow i przerobienie serwera na maszynke do rozsylania spamow. Zwyklym php shellem w katalogu usera mozna bylo sobie powchodzic do kazdego vhosta i zczytac configi.
      Jakby kazdy konfigurowal sharehostingi jak opisujesz to problemu by nie bylo.

    • Konto na shared hostingu owszem, jest tworzone, ale PHP uruchamia się z reguły z uprawnieniami webserwera, który je wywołuje (przynajmniej w CGI). Czyli z reguły chroot i user=nobody. Ale to nie wystarcza, jedynym zabezpieczeniem, które poskutkowałoby przeciwko zwykłemu chodzeniu po katalogach webshellem, to open_basedir. Tylko, że mało kto go używa, a wystarczy tylko wykonać odpowiedni własny php.ini i wrzucić go w ~/public_html. (No i musiałby to zrobić każdy dziurawy, bo jeden nie zrobi i jest punkt wejścia.)

    • Open_basedir zwykle w niczym nie pomoże.

      Atakujący pierwsze co zrobi po wbiciu się na serwer, to wywoła ini_seta z resetowaniem open_basedira.
      Owszem, można wyłączyć ini_set, ale żaden admin nie zrobi tego globalnie na shared hostingu, bo zbyt wiele idiotycznych aplikacji z tego korzysta.

    • Na swoim serwerze (VPS) włączyłem open_basedir per kategoria, ini_set też używam (tylko na dev-grupie, osobne php.ini), ale ini_set’owanie ustawień typu open_basedir mam wycięte przez Suhosin. Póki co wystarczy, testowałem trochę webshelli i żadnym nie da rady ominąć “izolatki”.

  22. hehehe. Czekamy na wyższe loty. może onet, albo wp. To by było ciekawsze :)

  23. Może atak hakerski przeprowadzają amerykanie albo ukraincy by ośmieszyc rusków – jaka to propaganda – patrz zdjęcia.
    Gimbus czy nie gimbus ale takiej gapy by nie popełnił.

  24. http://cyber-berkut.org/admin.php

    500 Internal Server Error

    nginx

    Węszę dziurawy skrypt.

  25. ostatnia strona to projekt wspierany przez Minsterstwo Nauki i Szkolnictwa Wyższego. Brawo…

  26. Panowie czy potraficie sie tu polaczyc .Bo ja nie potrafie .Chyba jakis problem ze stronami jest.

    http://niezalezna.pl/
    http://www.prezydent.pl/

    • Niezlezna.pl smiaga a prezydent.pl muli.

  27. http://www.cyber-berkut.org (104.28.11.106)
    Host is up (0.034s latency).
    Other addresses for http://www.cyber-berkut.org (not scanned): 104.28.10.106
    Not shown: 998 filtered ports
    PORT STATE SERVICE
    80/tcp open http
    8080/tcp open http-proxy
    Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
    Aggressive OS guesses: Linux 2.6.32 (93%),

    • To niewiarygodny wynik , dlatego że strona jest za ” buforem ” cloudflare a tam może być ustawiony redirect dla wybranych zapytań.

  28. Piotrek właśnie Cie widziałem w faktach widzę ze to chyba już tradycja jak coś z IT w mediach to Konieczny.

  29. Prezydent.pl znów #down albo CyberBerkut albo ktoś poczuł wiatr we włosach ^^

  30. Zamiast gdybania zrobmy to co potrafimy… rozwalmy ich infrastrukture w odwecie – zaczynajac od firm oligarchow – a na rzadowych konczac. Tylko nie blaznijmy sie jak oni… niech poznaja sile polskiego pana.

    • Szacunek dla przeciwnika to podstawa i warunek sukcesu, Polski Panie Tomasz.
      Rzeczywiście zbłaźnili się – 16 sierpnia 4:00 prezydent.pl nadal leży…
      W sumie rozumiem, admini prezydenta pojechalli na pielgrzymkę do Częstochowy.
      Cyber-berkut zaatakował jakieś “ogórkowe” (wg vidara) strony, gpw.pl czy prezydent.pl.
      Polski Pan Tomasz już pewnie atakuje kremlin.ru – informuj nas na bieżąco o postępach!
      Dzieciaki…

    • @p6mlz
      bilgoraj.cerkiew.pl
      usgtarczycy.pl
      bacieczki.cerkiew.pl
      bialowieza.cerkiew.pl
      bractwocim.cerkiew.pl
      cieplice.cerkiew.pl
      dojlidy.cerkiew.pl
      festiwal.cerkiew.pl

      atakowanie jakichś stronek cerkiewnych, ohoho poważni hakierzy na burzliwe czasy xD

  31. @papierz
    Spokojnie można założyć, że ten atak to pierwszy etap, po którym może dojść (i pewnie dojdzie) do eskalacji. Takie pogrożenie paluszkiem.
    Oczywiście zarówno Ty, jak i sam niebezpiecznik “zapomniał”, że pierwszymi i głównymi celami tego ataku był prezydent.pl (prestiżowo najważniejsza strona w Polsce!) oraz gpw.pl (kulawe, ale jednak “serce” polskiej kapitalistycznej gospodarki).
    To był ten sam atak – opisany w jednym dokumencie na stronie cyber-berkutu.
    Największym policzkiem były prawie dwie doby padaczki prezydent.pl.
    I nie piszcie już do znudzenia o wzmożonym zainteresowaniu stroną, to stała część takich ataków.
    Ale oczywiście nasze “rycerzyki” widzą tylko stronki cerkiewne…
    Jednak prestiżowo atak był celny, bolesny i skuteczny (prezydent, giełda). Wywyższanie się poprzez wyśmiewanie tego ataku źle o Was świadczy (o fachowości niestety również). Rozumiem “Panów Polaków” jak luQ, ale że niebezpiecznik artykułem wywołał takie emocje? To jest zaproszenie cyber-berkutu do poważniejszego ataku – na poważniejsze cele. Być może nie tylko deface – wszyscy znamy poziom adminów na państwowym garnuszku…
    Niebezpiecznik powinien jednak bacznie i holistycznie analizować fakty i skutki, zanim zacznie ośmieszać i banalizować. Bez tego nie ma bezpieczeństwa w IT

    • prezydent.pl najważniejszą stroną w polsce?
      Przecież stronami rządowymi zajmują się admini, którzy są za słabi, żeby pracować w poważnej firmie za poważne pieniądze.
      Włamać się na taką stronę to jak zabrać dziecku lizaka – bardzo prosto i poważny przestępca nie zniży się do takiego poziomu…

    • @minister lol
      Wyraźnie pisałem “prestiżowo najważniejsza”. Trudno, wytłumaczę jak dziecku (za wiki):
      prestiż – ” – autorytet, poważanie, szacunek innych osób do danej osoby.”
      Ja rozumiem, że możesz nie mieć szacunku do prezydenta, ale statystycznie 74% Polaków ma do niego zaufanie. Strona zwierzchnika sił zbrojnych była niedostępna w Dniu Wojska Polskiego – trudno o bardzej trafny i bolesny atak!
      Co według @minister lol jest ważniejsze prestiżowo z punktu widzenia szarego obywatela?
      Lizak odebrany dziecku? Raczej nie stosuje się najmocniejszych narzędzi, kiedy można zaledwie ośmieszyć… Nie warto pokazywać wszystkie karty – lepiej mieć coś w zanadrzu.
      Moim zdaniem najlepszym dla Was jak widać rozwiązaniem jest udawać, że deszcz pada…
      Tą brutalną prawdą kończę przekonywanie kogokolwiek, że to jednak nie był deszcz.
      Ech, harcerzyki…

  32. studyinpoland ciągle leży (12:09 17 VII) xD

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: