Hacked by SSH2 – Byond Hackers Team – Chile



Byond Hackers Team, heeft de webmaster van emea.nl een drukke dag bezorgd. Ze hadden enkele websites gedefaced. Deze websites draaien op het open CMS (Content Management System) systeem Mambo. Meer over Mambo vind je hier: www.mamboserver.com
De volgende boodschap hebben ze achtergelaten: Hacked by SSH2 - Byond Hackers Team - Chile

Hacked by SSH2 - Byond Hackers Team - Chile

Onderstaande tekst is technisch en is bedoeld voor de liefhebber, de hacker en voor de gene die meer info over deze hack zoekt. De tekst is ook door een techneut geschreven. En ja ik maak af en toe taal en gramatica vouten. Redactie graag mijn taal en gramatica fouten verbeteren aub, bvb dank.

Site down en gehacked
Volgens onze redacteur was de site rond de klok van 09:00 AM op 19 december 2005 gehacked. Hij heeft mij de webmaster/engineer vergeefs geprobeerd te bereiken, ik lag natuurlijk te slapen tot 14:30. Gelukkig heb ik direct gekeken of ik geen sms berichten en gemiste oproepen had en ja hoor. Onder het genot van een kopje koffie ben ik eens rustig gaan kijken wat er aan de hand was. Ja de site is gedefaced, ik heb toen ingelogd via SSH op de Linux server en gekeken in /var/log/messages naar vreemde dingen en de laatst ingelogde sessie via SSH was ik zelf dus die hack zal wel meevallen ging er door mijn hoofd. Ik zag niets anders dan de gebruikelijke hack aanvallen waar van wij er honderden per dag krijgen. Geen vreemde dingen tot nog toe. Vervolgens heb ik de bestanden op website bekeken en vooral naar de datums en ik zag er een paar, de allereerste die me opviel was configuration.php, deze was leeg gemaakt en de deface tekst stond hier in: "Hacked by SSH2 - Byond Hackers Team - Chile", deze heb ik aangevuld met de volgende woorden: "THNXZ 4 hacking - we are implementing a more secure version, give us a little time". Toen heb ik mijn tweede kop koffie gehaald en ben ik verder gaan kijken. Ik zag al snel dat er meer bestanden waren bij gekomen. vervolgens een backup van database en alle bestanden gemaakt.

Ik was al enige tijd bezig een update van Mambo voor te bereiden op een test omgeving omdat Mambo af en toe updates en patches heeft maar helaas af en toe ook geen patches heeft om van de ene versie naar de andere versie te upgraden. Wat het nog erger maakt is dat er af en toe security patches uitkomen welke ik dan uiteindelijk implementeer en dat ik vervolgens niet meer goed weet welke versie ik nu heb. Aangezien ik al had getest heb ik gebruik gemaakt van de gelegenheid en de website gepatched naar 4.5.3, we hadden 4.5.1a met allerlei patches dus ik denk dat we op 4.5.2.x zaten. vervolgens heb ik alle extra code (de code die de hackers hadden geplaatst) verwijderd. By the way deze code plaatsen kunnen ze omdat PHP security lekken in het CMS het mogelijk maken. Daarnaast is het vereist dat er bepaalde rechten op directorys zitten voor het goed functioneren van de website.

Na de patch heb ik een configuration.php van backup teruggehaald en teruggezet en de website was weer up and running. Ik zat halverwege mijn tweede kop koffie, dus drie kwartier na dat ik was begonnen.

Na wat ik heb gezien waren dit geen script kiddies, zoals men ze noemt maar zijn ze de naam hacker wel waard. Het hacken of defacen van de website is niet helemaal door middel van scriptjes of programas gedaan.


Tips voor webmasters:

Ga over op de laatste versie van Mambo en pas de rechten aan van configuration.php.
Meld je aan voor de security nieuwsbrief, update of patch je systeem op tijd. Ben je gehacked kijk goed naar verborgen bestanden en mappen met de optie -la (voor Linux natuurlijk), er staan hele directories op, het zal je verbazen. Het beste is de hele website leeg te maken en een full restore doen van data die 100% veilig is. Let op de hack van deze jongens begon al enkele dagen van te voren waar bij ze scripts op je server verstoppen. Kijk ook op het Mambo Forum. Of zie hier de advisories van Zone-H inzake Mambo: http://www.zone-h.org/en/search/what=mambo/

Maar wie zijn ze?
Byond Hackers Team is blijkbaar sinds augustus bezig websites te hacken en defacen volgens berichten en tellingen zijn dat er al ruim 750. en dat lijkt mij een heel voorzichtige schatting. Want alle open source websites die gebruik maken van Mambo zijn doelwit en vatbaar en vele andere, en dat zijn er een heleboel. Ook een heleboel overheids sites in diverse landen zijn doelwit, vooral in Zuid Afrika.

Hier enkele artikelen die ik heb weten opduikelen:

Voor een overzicht van gehackte sites van deze jongens: www.zone-h.com

Hier claimen ze onze site: http://www.zone-h.org/en/defacements/filter/filter_domain=emea.nl/


Hier een screenshot van een gehackte website van een Peruaans televisie station: "RTVE Peru". Je vindt het orgineel hier: http://www.rtveperu-bolivia.com/chile.htm

RTVEPERU

Op 19 december 2005, de dag dat ze ook onze site hebben gedefaced claimen ze 31 andere websites te hebben gehacked. Als ik zo naar de defacements van andere sites kijk dan zijn wij er nog goed vanaf gekomen, met 1 enkele regel tekst, alhoewel ze een mass defacement claimen.

Wat zeggen ze?
In bijvoorbeeld de website van RTVE Peru zeggen ze het volgende:
"Nunca podrán quitarnos lo que le pertenece al pueblo chileno, lo que se ganó con sangre, sudor y lágrimas...
¡¡Les pateamos el culo dos veces y no dudaremos en hacerlo otra vez!!
¡O vivir con Honor, o morir con Gloria!"

vertaald:
"Nooit zullen ze ons weghalen dat je van het chileense volk zal blijven, dat wat je hebt gewonnen met bloed, zweet, en tranen...
we laten je onze kont twee keer zien en we zullen niet twijfelen en het nogmaals herhalen!!
Leef in ere of sterf met glorie!"

In bijvoorbeeld enkele andere nederlandse websites zoals:

Plaatsen ze kreten zoals:
"Sólo mentiras dominan este planeta...religión, política, ¡todo es una mierda!
En manos de otro$ lo nuestro ha quedado!"

Vertaling:
"Alleen leugens domineren deze planeet...religie, politiek, het is allemaal stront!
in handen van anderen dat wat voor ons is overgebleven!"

Boodschap aan de Chileense hackers:

Mensaje para: SSH2 - Byond Hackers Team - Chile
Gracias guevones con el defaceo y para el hackeó de emea.nl
Asi puedo yo reforsar la seguridad de los sitios mios de la web. Ustedes hacen un trabajo excelente, yo los admiro. Porque por medio de ustedes todo los ingenieros de systemas pueden desarollar mucho mas sus conocimientos systematicos.

Hojala que emea.nl es mas segura ahora. Para poder pasar una navidad y fin de año tranquilo sin mucho dolor de cabeza.


Ter vertaling in het Nederlands:

Bedankt klootzakken voor het defacen en hacken van emea.nl
Op deze manier kan ik de veiligheid van mijn websites verbeteren. Jullie doen uitstekend werk, ik heb er bewondering voor. Hierdoor kunnen jullie de systeem beheerders helpen hun kennis beter te ontwikkelen en een betere kennis van de systemen op te bouwen.

Hopelijk is emea.nl nu beter beveiligd. Dat ik een rustige kerst en einde jaar mag hebben zonder al te veel hoofdpijn.

Bron - Fuente: webmaster emea.nl



Comments are closed.
%d bloggers liken dit: