8:28
14/12/2011

Serwis internetowy katalog.gazeta.pl został wczoraj podwójnie zdeface’owany. Atakujący umieścili na nim dane wykradzione z serwisu forum.podrywacze.pl — loginy, hasła, e-maile a także wiadomości użytkowników.

Ataki na katalog.gazeta.pl

Za wczorajszą podmianę strony serwisu katalog.gazeta.pl odpowiedzialni są punkG i hardstyle77, znani z wrześniowych masowych podmian BIP-ów. Podobnie jak wtedy, tak i teraz, defacerzy opublikowali na zaatakowanym serwisie swój manifest — tym razem przeciw pedofilii i pornografii dziecięcej:

katalog.gazeta.pl hacked punkG hardstyle77

katalog.gazeta.pl hacked punkG hardstyle77


Screenshot dzięki uprzejmości serwisu tophack.pl

Podmieniona strona katalogu gazety.pl nie utrzymała się jednak długo w powyższej formie bo… po chwili została podmieniona raz jeszcze. Przez kolejnego atakującego, który zasugerował, że o podatności w serwisie katalog.gazeta.pl wiedziało od dawna wiele osób.

katalog.gazeta.pl - druga podmiana strony

katalog.gazeta.pl - druga podmiana strony

Strona katalog.gazeta.pl wisiała podmieniona przez kilka godzin. Wróciła do oryginalnego wyglądu dopiero dzisiaj, we wczesnych godzinach porannych. Oba ataki najprawdopodobniej skorzystały z tej samej podatności w serwisie katalog.gazeta.pl — serwisie, jak odnosimy wrażenie, tak mało popularnym (zapomnianym?), że atak nie został zauważony przez pracowników portalu gazeta.pl przez długi czas. Szczerze mówiąc, my o katalog.gazeta.pl po raz pierwszy usłyszeliśmy właśnie wczoraj… ;)

Wszystkim konkurencyjnym do Gazeta.pl redakcjom, szukającym sensacji w powyższym wpisie warto uświadomić, że katalog.gazeta.pl i strona główna gazety to 2 odrębne serwisy. Atak na pierwszy, nie ma bezpośredniego wpływu na drugi. Na razie nic nie wskazuje na to, że atakujący znaleźli sposób na eskalację ataku z serwerowni OVH do serwerowni Agory.

P.S. Pomimo przywrócenia oryginalnego wyglądu strony, administratorzy Gazety dalej nie usunęli wstrzykniętego przez atakujących webshella… będzie jeszcze jedna podmiana?

Przeczytaj także:



44 komentarzy

Dodaj komentarz
  1. Pierwszy screenshoot ma ładnie zacieniowane md5, a hasła w plain text już nie :D

  2. A pierwszy ma takie samo haslo jak login ;)

  3. @ Vandervir – na tophack jest screen bez cieniowania :)

    • …podkusiło mnie… losowy login i hasło działają bez problemu… :|

    • Działają hasła i loginy kont moderatorów – można wysłać w kosmos pół forum ;-)

  4. Jeszcze pół godziny temu udostępniali panel administratora…

  5. Za wszystkim stoją dzieciaki ze skajnet kru, bawią się w hakerkę ostatnio nie wąsko. Chcecie coś o nich wiedzieć ciekawego? :>

  6. Nie chcemy.

  7. O ile pierwsza podmiana miała jakiś sens (antypedo), o tyle druga była żałosna. Jakiś gimbus stwierdził, że też jest pr0h4x0r i pokaże wszystkim wokół jaki to on nie jest fajny – przy okazji zmieniając manifest na swoje “ej, ja też umiem! Też jestem fajny! Patrzcie na mnie, ja też chcę swoje 5 minut sławy!”.

    • Nie wiem czy pierwsza podmiana byla antypedo:

      “Pedofilii i pornografii dziecięcej STOP!
      Dla dobra wyżej wymienionych ludzi, wyczyściliśmy ich wiadomości z nastolatkami z bazy danych.”

      Z jednej strony antypedo, a z drugiej niby uratowali dupe pedofilom.

    • To drugie coś jest żałosne, co zresztą na pierwszy rzut oka poznać po nadmiarze emotikonek.

  8. ze stylu wypowiedzi (tresc ownedu katalog.gazeta.pl) smiem twierdzic, ze to elusiven haha

  9. katalog.gazeta.pl działa na słynnym wśród pozycjonerów skrypcie seokatalogi.pl? Chyba wiele katalogów może w tej chwili paść…

  10. Katalogi Gazety i innych portali są wykorzystywane przez pozycjonerów, więc bardzo dobrze, że zwykli użytkownicy o nich nie wiedzą, bo i po co skoro są wyszukiwarki?

    Warto też dodać, że katalog Gazety działa na skrypcie kosztującym 120 złotych i tak jak piszecie, nie ma nic wspólnego z CMS-em używanym na Gazeta.pl.

    PS taka ciekawostka: Onet zaczynał od bycia katalogiem (tak, ten Onet ;) ).

    • Wtedy wszystko było katalogiem, a w księgarniach można było znaleźć książki “100 polecanych stron WWW” :-)

    • W /admin/ był plik odpowiedzialny za jakiś skrypt SEO ale wywalało komunikat, że brak licencji :D Jakby ktoś sobie tam ulokował katalog to by miał ładne zaplecze.

  11. Gimnazjum się bawi, ci sami ludzie, tylko nicki inne… n/c

  12. heheh.. no to czekamy kiedy ktoś w końcu walnie “zbiornik”. ;)

  13. ukradziono moje dane osobowe… email wypłynął… z kolejnej strony… na której byłem zarejestrowany…
    pedofilem nie jestem, sumienie mam czyste.

  14. jak zwykłe pobawiłem się z łamaniem haseł. I powiem, że urwało mi dupę przy hasłach ******, *******, ******** i *********. Serio takie hasła tam są. Jak na razie to mam 20104 z 23480 unikatowych haseł.

    • Większość hashy to w Google jest rozkodowanych ;) no sry ale qwerty to nie najlepsze hasło.

    • Prawdopodobnie nie wszyscy traktują poważnie tak jak ty bycie zarejestrowanym na stronie porno… I stosują proste loginy i hasła:) lub nie maja nic do ukrycia…

  15. Ktoś wie, jak konkretnie przejęto kontrole nad stronką? Czy padła ofiarą tylko strona, czy serwer również?

    • wnioskując po tym że nie opublikowali żadnego newsa na ich stronie oznacza że wyciągneli samą baze danych poprzez dziure w forum

  16. Postuluja w stopce “powrot do dawnych czasow”, a strzelaja emotikonami jak 12-letnie, mizdrzace sie panienki. Smutna ta popkultura “hakerska”, jest tak silnie osadzona w popie.

    • A czym emotikonki Ci w czyms przeszkadzaja ? ;x loUl. każdy ma swój pisania… ;f i wypowiadasz sie na temat kultury hakerskiej, a domyślam się, że nawet nie masz pojęcia o czym mówisz. ;) bo śledzisz zapewne tylko to, o czym piszą portale internetowe. :) także, sorry, ale ogarnij się człowieku i nie mów o rzeczach, których nie znasz. ;f

    • tam miało być: każdy ma swój styl pisania. :)

    • Gimbus (“zxc”) detected.

  17. http://forum.podrywacze.pl/viewtopic.php?t=12015 – “Niestety w lutym 2011 roku padliśmy ofiarą hackerów, którzy wykradli całą zawartość forum. Do tej pory nie było żadnych problemów, ale ostatnio te dane zostały opublikowane w kilku miejscach w sieci. Dlatego prosimy wszystkich użytkowników forum o zmianę swoich haseł dostępu do forum. Chodzi o to, żeby nikt się pod Was nie podszywał. Jednocześnie zapewniamy, że wszelkie dziury w oprogramowaniu zostały w swoim czasie wyeliminowane i forum jest bezpieczne.”

  18. Co do prostych haseł to jest jedno dość proste wytłumaczenie – o konto na takim forum się nie dba i służy ono tylko do dostępu, który jest zablokowany dla niezalogowanych. Przynajmniej część przypadku to wyjaśnia. O gościach rejestrujących się ze służbowych adresów się nie wypowiadam…

  19. moj email jest na screenie. w życiu na forum nie napisałem posta, ani nie wysłałem tam wiadomości prywatnej więc jak mogły być skasowane moje wiadomości dla mojego dobra? podobnie pewnie jest z resztą – osoby na tej liście nie mają zapewne nic na sumieniu a jedynie podpadły pod filtr “edu” przy wyszukiwaniu w bazie… poza tym co forum ma z pornografią dziecięca i pedofilią wspólnego?

    • może dlatego, że na forum mogły ogłaszać się osoby nieletnie i co wg. załączonego screena miało miejsce w niektórych wypadkach. :)

    • na tym screenie nie ma nic o takich osobach. są wybrane przypadkowe osoby na podstawie emaila. osoby które (mówię o sobie) mogły w życiu tam nie napisać wiadomości normalnej czy prywatnej. i którym taki screen może zniszczyć życie. ktoś o tym pomyślał? wyszukane maile po w domenach edu i nagle przypadkowo wszyscy z tych domen winni. walka z pedofilią ok – pewnie. ale nie obuchem w niewinnych ludzi.

    • Zaznaczmy, że filtr edu. jest złym filtrem, bo ogranicza adresy do ktoś@edu.kraj a nie do ktoś@studia.edu (IMO kropka jest w złym miejscu, lub należy szukać edu po znaku @ ewentualnie zapytanie bardziej złożone… and+ and+ and not….) tak czy siak w tamtej bazie nie ma rekordu .edu (bez kraju)…

  20. Dla zainteresowanych, jeden z aktorów, który wystąpił w bardzo wielu filmach z powyższego serwisu został zatrzymany za produkcję dziecięcej pornografii.

  21. mayer1?

  22. ciekawe rzeczy mozna w tym internecie znalesc… ze o identycznych haslach na poczcie i nk tych użytkowników nie wspomne…

  23. Widzę panów od stron BIPa przerzucili się na kategorie porno.

  24. Według mnie akcja ma sens, nauczy wielu użytkowników używać mocniejszych haseł, korzystania z innego adresu e-mail na tego typu forach. Dobrze że usuneli ich wiadomości, przynajmniej część z bazy ponieważ do końca nie chcieli zniszczyć ich kariery. A dać tylko ostrzeżenie (przynajmniej tak uważam). Co prawda każda ich akcja ma swoje plusy i minusy (jak każda rzecz), starają się chłopaki. Pozdro dla nich :)

  25. Hmm – czyżby katalog.gazeta.pl postanowił spróbować swoich sił zabezpieczając “bardziej” swój serwis?

    http://img338.imageshack.us/img338/4655/kataloggazetapl.jpg

  26. Wygooglowane:
    http://www.youtube.com/watch?v=T6tB6UkNbM4
    “Przesłane przez HackinQPL dnia 5 gru 2011”

    • Ostatnio (przedwczoraj) też było przekierowanie na jakąś strone. Oni wkońcu coś naprawili? Bo jak narazie widać, to nadal te “Skynet Crew” ma tam wjazd.

  27. […] tygodnie temu opisywaliśmy atak na jeden z serwerów należący do Gazety Wyborczej. Atakujący podmienił wtedy zawartość strony internetowej i udostępnił bazę danych z pewnego […]

  28. mamy 16 grudnia 22:00 i nadal blad serwera ….

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: