23:22
27/12/2010

W świąteczny poranek, kilka znanych serwisów dowiedziało się, że ktoś zrobił im kuku. Poniżej szczegóły ataków na carders.cc, największego forum carderów oraz na serwisy należące do twórców dystrybucji Backtrack, a także projektu Ettercap — chociaż właściwie należałoby napisać “platformy Sourceforge”, bo to dzięki dziurom w Sourceforge, włamywaczom udało się wstrzyknąć backdoora do Ettercapa …a kto wie, do czego jeszcze?

Co i dlaczego zostało zaatakowane

Tak jak zapowiadali w maju, kiedy to po raz pierwszy legło forum carders.cc, tak zrobili… Hackerzy odpowiedzialni za ezin Owned and Exp0sed znów uderzyli. Tym razem ich celem stały się strony, jak to sami określają, “skupiające script kiddies“:

  • carders.cc — forum służące do handlu kradzionymi kartami kredytowymi
  • exploit-db.com oraz backtrack linux — serwisy dla “pentesterów”
  • inj3ct0r.com — serwis aspirujący do miana następcy milw0rma

Backdoor w Ettercapie (i dziura w Sourceforge)

Dodatkowo, z zinu Owned and Exp0sed dowiadujemy się, że najprawdopodobniej od 5 lat projekt ettercap posiada backdoora. Ale to nie jest najciekawsze — okazuje się, że Ettercap został “trzaśnięty” dzięki dziurom w sourceforge.net, czyli platformie na której hostuje się wiele projektów Open Source (m.in. Vim).

carders.cc hacked

Dump nazw użytkowników i hashy haseł z zaatakowanych serwerów

Kim są atakujący?

W ezinie określają się mianem “happy ninjas”, a swoją misję kreślą w następujący sposób:

We are the watchmen, the hackers who quietly observe the scene. If any skiddy community gets too big, we shut them down. If any lamer causes too much trouble, we shut them down. If any group keeps fucking stuff up, we stop them

Happy ninjas nie zdradzają zbyt wielu szczegółów na temat dziur/ataków, które wykorzystali, żeby przejąć w/w serwisy. Jeśli do swoich włamań wykorzystują 0day’e, każdy z nas może być następną ofiarą. Lepiej więc zawczasu pogódźmy się z myślą, że kiedyś i my będziemy “bohaterami” zinu Owned and Exp0sed (albo podobnego). I zróbmy w końcu backupy. I ustawmy w końcu unikalne hasła. I sprawdźmy, co “kompromitującego” trzymamy na serwerze…

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. gazetka wspomina o vimie, ale nie widzę żeby coś hostowali na sf. szybko zmienili adresy?

  2. Potrzebne CSI, niech ktoś rozkmini czy to 0day’e oraz o co chodzi z tylna furtka w etterze

  3. Vim od kiedy pamiętam, że cokolwiek brałem z ich site siedział poza sourceforgem. Nie lubie ludzi próbujących coś udowodnić, a nie wiedzących nawet co.

  4. host http://www.vim.org
    http://www.vim.org is an alias for vhost.sourceforge.net.
    vhost.sourceforge.net has address 216.34.181.97

    Dreadlish, kogo nie lubisz?

  5. s/za wczasu/zawczasu/

  6. Dobra, z vimem się pomyliłem, aleeeee ich ftp i tak sourców nie trzymają na sourceforgu, tylko na nluug.nl ( patrz nslookup). Po prostu się zastanawiałem co im zrobili “script kiddies”, że aż musieli robić atak na sourceforga, który wg. mnie do nich ma tyle co piernik do sedesu.

  7. Ohhh pewnie słynny J4ck czuł się załamany gdy zobaczył, że jego źródła upadły ; (

  8. W Polsce również powinna działać taka inicjatywa, katujaca wylęgarnie lamerów, czyli chociazby forum dtteam, czy inne; pokrewne :)

  9. Ma ktoś więcej informacj na temat potencjalnego backdoor’a w ettercap od 5 lat?
    Czy tylko wersje z SF czy też te dołączone do repo różnych dystrybucji?

  10. @OkropNick
    O ile ettercap nie publikuje innych wersji gdzie indziej, to wszystkie wersje mają tego backdoora. Paczki w repo dystrybucji to są wersje binarne aplikacji skompilowane z ogólnodostępnych źródeł.

  11. Backdoor w ettercapie nie brzmi dobrze…

  12. @Dreadlish – ja też się zastanawiam, komu przeszkadzał SF. Jak dla mnie to zwyczajnie “stary Github”, nic specjalnego.

  13. Moim zdaniem atak był skierowany nie tyle w SF, co w użytkowników Ettercapa, zwłaszcza tych o zbyt wygórowanym mniemaniu o sobie(And to all Ettercap users: arp poisoning is *not* hacking.) a że przy okazji dostało się SF, no cóż przypadkowa ofiara wojny :)

  14. Jesteśmy hakieramy i ….
    a łyżka na to nie możliwe ;
    Trzeba być wyjątkową lamą żeby nazwać się hakierem
    kolesią się ego tak napompowało że nie długo odFróną
    Sądze że mają od 15 w porywach do 19 lat
    i wpisują się w tradycje światecznych haków podpieranych
    wielkimi ideami heh

  15. O ile nie miałem ambiwalentne uczucia w stosunku do haczenia jp, to haczenie SF uważam za chamskie(koszulka JH by tu pasowała).
    Jednak stamtąd wiele bardzo fajnych programów pochodzi, więc jakikolwiek “dobroczynny”(w przypadku jp ciężko było mi to stwierdzić) motyw odpada.

  16. Nie działa też 4chan.

  17. To be fair, the
    Ettercap project is dead. Most of the admins have been inactive for a
    few years now, but that is no excuse for such a security mess.
    Especially since the server was compromised some five years ago.

    Chyba mają coś do perla:P

  18. Btw. ktoz by pomyslal – 4chan dolaczyl do paczki zDDoSowanych ;)

    “Site is down due to DDoS. We now join the ranks of MasterCard, Visa, PayPal, et al.—an exclusive club!”
    @ http://status.4chan.org/

  19. Teraz czekać, aż ktoś shaczy 0wned and exp0sed.

  20. Ja, jak każdy sfrustrowany użytkownik Windy po kolejnej zwałce twardziela przechodzę na Ubuntu i ściągam programy diagnostyczno – naprawcze do Linuxa, jak na razie to na Sourceforge jest ich najwięcej. Może to jest przyczyną działań malwarowych na tym hostingu.

  21. […] autorzy zinu Owned & Exp0sed, mają już na swoim koncie 2 jego wydania. exp01 dotyczyło ataków na znane serwisy a exp02 serwisu dla […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.