![[RSS 2.0 Valid]](http://freez.security-portal.cz/templates/freez/img/valid-rss.png)
Dnes je 1.1.2007, prave jsem po dlouhotrvajici, temer mesicni odmlce dokoncil novy, lepsi WebLog. Co se stalo s tim minulym? Provozoval jsem ho na WebHostingu, jehoz administratori jsou flegmaticti lameri, tudiz se vykaslali nejen na zabezpeceni, ale predevsim na tuny emailu, upozornujici prave na kriticke bezpecnostni problemy WebHostingu WebZdarma. Dale se doctete kdo je to ve skutecnosti cURLy bOi a DarkCraft
Prakticky zcela zanedbatelny pocet blize nespecifikovanych individui, oplyvajicich nedostatecnym sebevedomim, minimalnimi znalostmi IT oblasti a predevsim lidi, majicich zalostne nizky intelekt, o sobe dal necekane vedet. Jeden typicky teenager, rikajici si cURLy bOi ziskal exploit, s jehoz pomoci bylo mozne kamkoliv na stranky hostovane pomoci serveru WebZdarma uploadovat vlastni soubory bez zadani pristupoveho hesla. Myslite, ze si cURLy bOi nechal tento exploit pouze pro vlastni potrebu? Nenechal, poskytl jej tretim osobam (mj. DarkCraft a Nostur) a tito lide okamzite exploit zneuzili k tomu, aby uploadovali soubor bd.php na me byvale stranky freez.wz.cz, ktere nasledne sdeletovali. V deface se podepsali jako --==[FReeZ]==--'s FanClub, zacaly mizet soubory *.php, .htaccess, adresar /stare/* (rekursivne) a mnoho dalsich dat. Aktualne jsem nedbal na zalohy svych nyni jiz neexistujicich stranek - bohuzel se mi to nepekne vymstilo. Zalohy nebyly pravidelne tvoreny protoze byl pripravovan WebLog, ktery si prave prohlizite. Nechtel jsem na disku mit stary web, aby mne nenapadlo na nem neco vylepsovat a tim brzdit vyvoj toho noveho.
DarkCraft (Martin Kubicek) r. narozeni 1987, Potocka 56/276, Brno, pevna linka: +420 547 218 643, email: martin.kubicek@gmail.com - Priznal se k uploadu bd.php na muj byvaly web, naslednemu sdeletovani souboru + trapneho defacu. DarkCraft se pozdeji v diskusi pod clankem za tento cin omluvil a mozna uz dostal rozum. Kdo dalsi? Nostur (Tomas Kroupa), kteremu je 16 let o sobe nestydate a neustale tvrdi, ze je bezpecnostni expert . Puvodne chtel zustat v anonymite, nicmene se mu to nepodarilo..
cURLy bOi je publicity chtivy hlupak a predevsim lamer, ktery udela cokoliv, aby se o nem psalo ci mluvilo.
cURLy bOi svuj script bd.php, ktery slouzi k webove administraci spolecne s cizim WebZdarma exploitem poskytl DarkCraftovy. DC pomoci klikani sdeletoval spolecne s Nosturem z mych byvalych stranek postupne vsechna data a jeste dlouho hazeli oba ramena, jaci jsou borci (DarkCraft machroval na soom.cz ve WebForu, Nostur pro zmenu na IRC). Jejich zhovadilost se mirne snizila, kdyz videli, ze na sve stranky se dostanu i presto, ze byly defacenute a nemel jsem k nim korektni heslo. WebZdarma je natolik "kvalitni", ze se k souborum bez zadani hesla dostanou i deti, DarkCraft uploadoval zdrojove kody mych stranek na rapidshare, patricny hyperlink verejne vystavil na portalu soom.cz. Svym jednanim DC porusil zakon o autorskych pravech, dale pak provedl umyslne poskozeni cizi veci s naslednym znehodnocenim teto veci. Take se zde muze jednat o neopravneny zasah do dila, chraneneho autorskymi pravy + neopravnene rozmnozovani dila, chraneneho autorskymi pravy s naslednym distribuovanim kopii siroke verejnosti.
cURLy bOi za poskytnuti exploitu verejnosti v podstate slizl smetanku, znovu se o nem mluvilo - to je to, co chtel. CB navstevuje portal soom.cz stejne, jako mnoho dalsich pocitacove negramotnych deti. Tentokrat vsak CB provedl neco, cim si o nem kazdy rozumne smyslejici clovek udela ihned jasne mineni - konkretne cURLy bOi prepsal do PHP script slouzici jako WebZdarma exploit. Puvodne byl utocny script napsan ve VBS. cURLy bOi jej obohatil o jakesi dementni kupony, spocivajici ve zmeti nahodne vygenerovanych znaku s tim, ze pro kazde uziti exploitu bylo nezbytne zadat platny kod z kuponu. Kupony pak nabizel CB ostatnim, nekolik jich prilozil pod svuj prispevek ve WebForu. Za celou dobu se cURLy bOi nezminil o skutecnem autorovi exploitu, pravdepodobne se pokousel docilit demagocickeho efektu, tedy dojmu, ze exploit WebZdarma vytvoril on.
O sve stranky + celou DB kvuli cURLimu prislo take nekolik dalsich lidi, napriklad Subber.
WebZdarma upload exploit vytvoril Sysel2001 a nikdo jiny, dokonce byl Sysel2001 tak stedry, ze nam poskytl originalni verzi zmineneho exploitu. Chcete-li si ji prostudovat, rovnou muzete zacit =)
Nemohu je uz dale nazyvat chybnym terminem administratori. Urazel bych tim totiz vsechny ty skutecne a profesionalni Administratory, cili udelam to jinak. Opravneni lameri WZ pouzivaji na svem hostingu rozhrani z roku 2002, ktere je derave jak emental a soude dle html kodu musi byt i php kod tak zpraseny, ze si to ani neumite predstavit. Opravneni lameri maji dokonce register_globals on, v diskusi na toto tema sdelili, ze register_globals musi byt on, protoze mnoho useru to potrebuje. Jaka je skutecnost? Tem prasatum by v pripade register_globals off totiz prestalo fungovat jejich dementni a znacne zastarale rozhrani, ve kterem se nikdo z nich nevyzna, proto od roku 2002 do nej zasahuji prakticky jen minimalne. Nekolik let jsou mezi urcitou skupinou lidi znamy kriticke nedostatky WZ, ovsem opravneni lameri na emaily neodpovidaji a pravdepodobne je vubec nectou, tedy alespon oficialni emailove schranky admin@webzdarma.cz a info@webzdarma.cz. Mozna emaily od useru ani nezaznamenaji mezi tunami spamu, ktere jim zcela jiste denne prichazeji. Opravneni lameri totiz provozuji mailserver a nemaji zavedenou kvalitni antispam ochranu, verim, ze ji zavest ani neumi.
Na freez.wz.cz probehla kratka diskuse mezi mnou a DarkCraftem pomoci upravy souboru index.htm. Tuto diskusi jsem tam nechal a zaroven jsem na ni prilozil odkaz ve foru WebZdarma, aby to co nejvice lidi videlo, vite jak zareagovali opravneni lameri ? Po nekolika dnech freez.wz.cz sdeletovali a ucet zamkli, abych jej znovu nemohl vytvorit. Tim se dle meho nazoru snizili na nejnizsi moznou uroven, neumi si priznat vlastni demenci, to bych pochopil, ale ze budou za pravdu deletovat + lockovat accounty, to jsem opravdu necekal.
Sazim na kvalitu, nejlepsi ceska softwarova firma neni Microsoft, protoze je to ZONER, ktery dokonce nabizi freehosting. Tento freehosting neni jako ic.cz ani jako wz.cz, protoze je urcen zejmena PHP5 developerum, z toho plynou vyhody ve forme dobre konfigurace a casteho updatovani. Cili z WebZdarma se vyplati prejit k php5.cz.
Vlevo je panel s nazvem "Novinky" a presne je v nem videt, ze se casto updatuje software, cili ze tam s nejvetsi pravdepodobnosti jsou skutecni administratori, kteri nejen ze odpovidaji na emaily, ale predevsim maji dobre nakonfigurovane PHP5. Nechcete-li, aby se vam teenageri hrabali na strankach, tvorily tam sve trapne soubory "lol.php" a podobne, tak prejdete na php5.cz. Kvalitni komercni alernativa je czechia.com.
Nyni pracuji na podpore RSS2, administracnim rozhrani, cool uris, statistikach clanku, jednotlivych skinech a hlavne na vyhodach pro registrovane uzivatele, urcite se jeste mate na co tesit, muj FanClub uz zase ma co zavidet a nenavidet. V cem je rozdil? Aktualne v tom, ze zalohy budu provadet automaticky a to zejmena diky stabilnimu ftp tohoto hostingu.
Neophonic za hororove logo, Sysel2001 za exploit a mnoho dobrych rad, autorum Tango Icons, Everaldo Coelho za Crystal Clear icons, ZONER za kvalitni hosting a dalsim, jejichz jmena jsem vynechal.
Stastny novy rok preji vsem (krome jedincu, o kterych jsem se negativne zminil v tomto clanku).
Vzdycky jsem si myslel ze darkkraft neni takovej jak tady povidas, ale timle u me hodne spadl. O curlym jsem si myslel uz od zacatku ze je to proste DEBIL.
Vzdycky jsem nechapal proc ti nadavaj (FReeZovi), protoze jsem si myslel že nejsi jak oni, a vypada to ze ne. Curly mi taky hackl stranky jen pres wz.cz je to proste lama ktera si uprdla do kalhotek njn... kdyz je to debil tak je to proste debil!!!
cus, ten design co tedka mas se mi fakt libi, =) - jinak k veci, taky sem si vsiml co curly dela za praseciny, nejhorsi na tom je, ze ten exploit, tak zvane scoril, njn a ostatni buzeruje vsichni kolem nej sou lamy, nedavno na irc #soomu, taky zaperlil
pomlouval me tam, domlouvaly se tezce, jak mi podstrci skodlivej kod a ja si ho soupnu na web apdbny picoviny, dokonce jim bylo jedno ze tam sou moji admini a nejkrasnejsi zakonceni bylo to, ze se me admini zastavaly a von jednomu z nich deferovy hackl web prez ten znamej exploit, driv sem si to nemyslel dokonce sem ho mel i celkem rad, ale tedka vim co to je za "blba"
Diky za thx, ve článku máš naprostou pravdu.
Proto jsem to vyřešil 'placeným' hostingem, který platit nemusím :D
a dalši logo bude co nevidet ;)
Curly to má prostě v povaze a tu jen tak nezmění. Já teď také přecházím na lepší hosting než je ic.cz na placený, ale vyskytly se jakési problémy, takže lamy jsou opravdu všude, nejen na wz
Weblog máš opravdu velmi pěkný ... S hostingem u PHP5 máme stejný názor, mě tam přivedla podpora MySQLi a moderní technologie, i když je tam je 10 MB. To s tim Darkem ... Dark Craft smrdí ... :) A Curlyho známe všichni, jakej je ...
tak jsi to dodělal a spustil...
;o) supr...
brzy tě budu následovat... =)
Bohužel, php5.cz je maximálně pro testování. Je nepoužitelný na běžný provoz kvůli nizké dostupnosti - má až moc výpadků.
Tesim se na Vas pripravovany velky test freehostingu, bez ktereho jaksi nemam tuseni oproti kteremu freehostingu ma php5.cz nadmerne mnozstvi vypadku.
Mas tu nekolik nepresnosti,
jmeno jsi samozrejme odhadl z mailu, rok narozeni mas spravne, adresu mam uplne jinou a pevnou linku nevlastnim. Za dalsi sem na zadnem webforu nevystavoval tvoje kody (pouze sem tobe dal link na ne at si je muzes stahnout) a ani je nijak neupravoval, ani se nikde nijak nechlubil o tvem blogu. Jeste na freez.wz.cz jsem ti psal ze pro toto mam vysvetleni, jenomze to uz nesel ten sploit a nemohl sem ti tedy odepsat. Jedine co ja jsem udelal, tak bylo to, ze jsem ti tam upnul ten php webshell, stranky ti smazal nostur. Co jsem teda udelal ja, to priznavam, tak byl ten trapny obrazek na indexu, ale pouze sem zmenil index, rozhodne jsem nic nemazal. Tot asi vse co jsem chtel napsat :-)
Takze WebForum, ve kterem "kdosi" pod nickem DarkCraft psal o svem "hacknuti" stranek freez.wz.cz a prikladal screenshoty z firefoxu (na kterych byl jasne videt bd.php a seznam souboru+adresaru z mych stranek) + prikladal screenshoty s obsahem meho .htaccess, archiv plny mych zdrojovych kodu zminenych stranek, to se mi asi cele jen zdalo, ne? Admini ten thread sdeletovali relativne rychle, to ale neznamena, ze jsem si ho kompletne cely neprecetl.
Jako byvaly redaktor soomu jiste vis, ze neni az zas tak velky problem napsat prispevek pod cizim nickem. To, ze jsem ti tam hodil ten webshell (bd.php) sem priznal, jo udelal jsem to. Zmenil sem ti index to taky. Ale smazani jakychkoliv souboru na svedomi nemam.
Heled, ja jsem ten nick zkontroloval, byl to DarkCraft a zadne spec. znaky typu #255 ASCII za nim nebyly. Pokud znas zpusob jak na soomu vystupovat pod cizim nickem, ktery je registrovany napis ho sem a mozna ti pote nekdo uveri.
Pokud mas zaple automaticke prihlasovani tak se ti jmeno a heslo uklada do cookie, staci ukradnout cookie a mas to. A taky byl soom nekolikrat hacknut a byla stahla databaze a ani jednou se nemenil zpusob sifrovani hesla, takze onen "hacker" ma hesla vsech uzivatelu, kteri si je nezmenili.
Pokud vim, heslo je 3x (slovy trikrat) hashovane algoritmem MD5. Cas potrebny pro uspesnou kryptoanalyzu byt jen jedineho takovehoto hashe je velice vysoky a to nemluve o rainbow tables, ktere by se generovaly nekolik let i presto, ze by toto generovani bylo distribuovane ve forme toho nejvykonnejsiho clusteru soucasne doby. Tudy cesta nevede.
Pres cookies stealing by to slo, jenze je to nepravdepodobne vzhledem k tomu, ze jsi na soomu nemel ani ty nejmensi namitky na udajne zneuziti tveho nicku. A nostur? Ten se urcite na sdeletovani freez.wz.cz nejakym zpusobem pricinil, chapu ze je to namysleny idiot povazujici sebe sama v 16-ti letech za bezpecnostniho experta, nicmene nevim co presne provedl a ty nepusobis zrovna verohodnym dojmem, protoze v podstate at uz to sdeletoval s tebou kdokoli, udelal jsi mu volnou cestu.
Nyni mas prostor pro sve zaverecne vyjadreni (pokud je libo), muzes napsat treba o nosturovi, pokud neco vis. Dalsi komentare k tomuto clanku jiz pote z pochopitelnych duvodu nebudou publikovany.
Nemel sem sebemensi namitky protoze me to bylo v celku jedno, nosturovi sem poskytl cestu ke smazani tveho webu, k tomu se priznavam, takze v konecnem vysledku mam velke pricineni na tom co se stalo. Omluvil sem se ti za to, vim ze to byla kravina, ale vic udelat nemuzu. Dal jsem ti alespon cast kodu, o ktere jsi prisel (byly to kody ktere nostur stahnul a dal mi je). Dokonce sem vedel kdyz sem daval nosturovi ten pristup, ze ti to asi smaze a bylo mi to jedno, ale kdyz se nad tim zpetne zamyslim, vim ze to byla velka blbost, takze se ti jeste jednou omlouvam. Hesla jsou na soomu kryptovana trosku jinak (jak, to nebudu zverejnovat aby nedoslo k dalsim incidentum). Tot asi vse, co jsem ti chtel rict.
No..vidim, ze pan DarkCraft a pan Nostur si pravdepodobne timto cinem posílili ego. nevim, je mi to jedno, ale FReeZ ma pravdu.... nosturovi je 16 let a dela ze sebe experta na vsechno. A co umi? HTML a jeste k tomu blbe, Perl a dela v Linuxu. Nepripada mi jako expert. Jo a jeste jsem zapomel na jeho odborne pen testy. :)) o DarkCraftovi se vyjadrovat nebudu.... o nem je zname, ze neumi nic. Jen vysedava u IRC a to je vse. Snad tim nikoho neurazim, ale tihle "lide" mi prijdou strasne hloupi a nedospeli. Napriklad DarkCraft. Nic neumi, tak vyuzil exploitu, aby si neco dokazal. Na vsechny tyhle idioty jen slovo LOL
Top
