Připomínky, názory, dodatky posílejte na adresu autora článku, nebo redakci.
|
Mr. Linx hacknut !
Mr. Linx hacknut!
Po nedávné aféře s medializovaným odchodem několika významných členů má Mr. Lin(x) další závažný problém: Byl hacknut. Víme jak a zdá se, že na českém Internetu o technice hacku informujeme jako první. DOPLNĚNO o vyjádření provozovatele!
Vydáno dne (5.8.2000)
Je sobota, 5. srpna 2000, 4:44. Reklamní síť Mr. Linx už od půlnoci místo bannerů svých členů a zákazníků zobrazuje jedinou věc: červený banner “OWNED BY CORONER”. Banner odkazuje na http://mr.linx.sk.
Všechny servery uživatelů byly přejmenovány, jmenují se – jak jinak – “OwneD By CORONER”. Členské bannery byly přemazány, všechny účty zobrazují Coronerův banner.
Tento banner viděl dnes asi hodně lidí ...
Na českém Linxovi nebyly změněny žádné stránky. Na slovenském je hacknuta titulka a je zaměněno pozadí.
Nejste si jisti zda právě ten váš IIS 5.0 netrpí stejnou bezpečnostní chybou? Využijte SECURITY NAMODRO a otestujte si svůj server.
Klikněte ZDE a v rozbalovacím menu vyberte jako typ testu "Translate:f":
Podle mnou provedených bezpečnostních testů je na slovenském serveru neošetřená chyba Translate: F, která umožňuje získat zdrojový kód ASP skriptů. Pomocí této bezpečnostní díry lze získat obsah souboru globa.asa, který obsahuje hesla pro přístup k SQL databázi. Alarmující je, že pro přístup k databázi je použit uživatel “sa”, tedy účet administrátora SQL serveru!
Český server je na tom jenom o chlup lépe: Bezpečnostní díra tam je stejná, jenom se pro připojení k databázi používá uživatel “www_host”, ne “sa”. Následuje malý úryvek z kódu global.asa českého Lin(x)e:
Zdá se mi, že k hacknutí Lin(x)e nebylo třeba nižádného velkého umění – prostě stačilo zaklepat a dveře se otevřely.
Co mne na celé věci zaráží je, že tato bezpečnostní díra je už dost stará, Microsoftem oficiálně uznaná, zveřejněná a hlavně – zazáplatovaná. Jenomže pokud někdo ignoruje oznámení o chybách a patche, nepomůže ani svěcená voda (leda dostatečně velké množství a utopit :-) Jedná se tedy jednoznačně o chybu administrátora.
Takto vypadá účet všech uživatelů po útoku...
Pokusili jsme se kontaktovat pana Kubu z firmy Clark NetProject, ale bohužel není v tuto brzkou ranní dobu k zastižení, což mu jenom těžko lze mít za zlé. Nicméně očekávám, že celá akce bude úspěšně vyřešena během chvíle a databáze obnovena ze zálohy.
Lin(x) nyní může mít problému ještě jednoho typu, a to s ukradením skriptů, které v dané chvíli nejsou nijak chráněny. Nicméně každý pokus o stažení bude zaznamenán v logu web serveru, takže to radši ani nezkoušejte :-)
(článek byl převzat z www.asp.cz)
Redakční dodatek, sobota 13:35 - Informace o napadení serveru Mr.Lin(x) a průbehu nápravy stavu - oficiální vyjádření provozovatele Mr.Linx služby.
Vít Dlouhý
|