28/1/2010
Jeden z poczytniejszych serwisów w U.S.A został zaatakowany. Włamywacz podmienił główną stronę serwisu. A potem zrobił to jeszcze raz.
Ok. godziny 6:00 czasu polskiego, TechCrunch przywitał czytelników komunikatem:
hi
Następnie, atakujący podmienił treść strony na:
Ekipa TechCruncha nie od razu przywróciła serwis do życia. Najpierw pojawił się komunikat:
We’ll be back shortly.
Później:
Earlier tonight techcrunch.com was compromised by a security exploit. We're working to identify the exploit and will bring the site back online shortly.
Dopiero o 11:00 czasu polskiego serwis został przywrócony. W krótkim komunikacie potwierdzającym włamanie, TechCrunch napisał:
At this point we’re still gathering information on how the site was compromised, and will update this post with additional information.
Serwis może mówić o dużym szczęściu, że atak nastąpił przed relacją na żywo z eventu Apple, na którym premierę miał tablet iPad. Niestety, zaraz po relacji, TechCrunch został ponownie zaatakowany:
“So Arrington, how much did all the media coverage yesterday brought you in trough the welcome.html ad
you forced people to? What a fucking retarded move was that you twat. You should be thanking me and
sucking on my fucking ballsack for not deleting everyone on the box and publishing the mysql, if that’s
what you want O.K, I can do that. Also, you fucking dickwads from sites like Yahoo!, BBC and plenty
more, where the FUCK do you see adult content on http://dupedb.com/ ????????
I mean honestly, are you fucktards also in just for the money?!?!?!”
Wygląda więc na to, że oba włamania to sprawka tego samego atakującego. Wg jego relacji, ma dostęp do bazy danych serwisu. Zapewne TechCrunch po pierwszym włamaniu nie był w stanie wykryć przyczyny ataku i dostatecznie się przed nią zabezpieczyć — zakładam, że zmienili hasła i dane dostępowe do bazy. Wygląda więc na to, że atakujący sprytnie ukrył backdoora na serwerach TechCruncha lub skorzystał z 0day’a w oprogramowaniu WordPressa…
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
“bazy danej serwisu” ;d
@trooy – mógłbyś nie zaśmiecać Internetu takimi komentarzami? Ludzie nie czytają komentarzy po to żeby dowiedzieć się gdzie autor wpisu zrobił błąd…
Zapewnie? Wyspijcie się ;)
A Tx Fail baaardzo
“Wg jego relacji, ma dostęp do bazy danych serwisu.” skoro włamał sie na serwer i miał dostęp do plików strony to wystarczyło pewnie znaleźć plik konfiguracyjny, w którym znajdowały sie hasła do bazy – myślę, że śmiało można stwierdzić że miał dostęp do bazy ;)