Atak na serwis jagged-alliance.pl

Jagged Alliance CenterJak mogliście zauważyć, serwis Jagged Alliance Center stał się ofiarą ataku internetowego przeprowadzonego przez niewielką grupę crackerów. Od wczorajszego wieczora, aż do dzisiejszego popołudnia zarówno strona jak i forum były z tego powodu całkowicie niedostępne. Na szczęście udało się przywrócić wszystkie utracone w wyniku ataku dane i teraz możecie czytać tą informację. Poniżej przedstawiamy najbardziej prawdopodobny przebieg ataku, który wyłonił się po dokładnym i wnikliwym zbadaniu całej sprawy:

Podejrzewamy iż, grupa crackerów postanowiła zaatakować i przejąc kontrolę nad serwisem. Jako iż serwer jest dobrze zabezpieczony przez hostingodawcę zaś my używamy zawsze najnowszych skryptów, za cel obrano najprawdopodobniej komputer domowy głównego administratora serwisu. W wyniku użycia konia trojańskiego oraz keyloggera, grupa zdobyła wszelkie hasła wymagane do uzyskania dostępu do baz danych, konta ftp oraz panelu administracyjnego serwisu.

Dzięki tym informacjom, możliwe stało się uzyskanie haseł wszystkich użytkowników zarejestrowanych na forum poprzez użycie tzw. kolizji md5 – choć wszystkie hasła są zapisywane w postaci 128-bitowego skrótu, jest możliwe ich znalezienie np. w odpowiednich bazach hashy. Podejrzewamy, iż właśnie w ten sposób włamywacze uzyskali hasło jednego z administratorów forum Liberate Arulco, którego zarząd wczoraj zwrócił nam uwagę na niepokojące działania z 12. kwietnia – zmiany w panelu administracyjnym. W tym miejscu zaznaczamy: w niepowołane ręce mogły dostać się wszystkie hasła. Zalecamy więc ich natychmiastową zmianę, jeżeli używacie takiego samego gdziekolwiek indziej.

Kiedy sprawa wyszła na jaw, nastąpił główny atak: z serwera zostały usunięte wszystkie pliki, zaś bazy danych, zarówno forum jak i strony, zostały całkowicie wyczyszczone. W miejsce serwisu został natomiast umieszczony plik z wiadomością o włamaniu. JACenter uratowała jednak pełna kopia zapasowa tworzona każdego dnia. Obecnie wszystkie hasła dostępu zostały zmienione zaś zaatakowany komputer jest dokładne sprawdzany pod kątem występowania oprogramowania szpiegującego.

Zaistniała sytuacja dowiodła nam dwóch rzeczy – po pierwsze, nawet najlepsza zapora ogniowa oraz antywirus nie zawsze są w stanie zapewnić bezpieczeństwo naszego komputera. Po drugie natomiast, stosowany w phpBB by Przemo sposób zapisywania haseł jest nad wyraz niebezpieczny i gdy baza danych dostanie się w niepowołane ręce, otrzymanie łatwiejszych haseł nie stanowi najmniejszego problemu. Zdecydowaliśmy więc, iż w najbliższym czasie silnik forum zostanie ostatecznie zmieniony na phpBB3. Administracji serwisu Liberate Arulco dziękujemy za pomoc w wykryciu i wyjaśnieniu całego zajścia.

Włamanie na JACenter i Liberate Arulco - Dyskusja na forum
Komentarze (11)
  • Avatar użytkownikaMarvN

    Crackerom gratulujemy pomysłowości. Najwyraźniej wybitnie im się nudzi...

  • Avatar użytkownikaLen

    To o tyle denerwujące, że w ostatnich miesiącach były wprowadzane coraz to nowe zabezpieczenia, często irytujące. Ale ja zawsze powtarzam, że dla chcącego nic trudnego.

  • Avatar użytkownikaIfr

    No super - jest okazja, to czemu by nie zrzucić przynajmniej części winy na phpBB by przemo, a tymczasem właśnie na ich oficjalnym supporcie jest sobie taki fancy temacik, w którym jak byk pisze, że najsłabszym ogniwem najlepszych zabezpieczeń jest ich użytkownik - czyli w skrócie human factor.
    Możecie sobie napisać mega-giga skrypt forum z czytnikiem linii papilarnych zamiast haseł - włamywacz zaatakuje czytnik. Hasła bądź co bądź, ale w publicznym zastosowaniu nadal są na topie i nie mają alternatyw NA tym samym poziomie.

    Co do samego ataku - idioci jacyś i tyle. Włamuje się nie po to, by komuś usunąć trochę danych ale dla sprawdzenia ew. błędów - jak ktoś tego nie rozumie, to raczej nie dorósł do posługiwania się tym "zaawansowanym" abakiem.

  • Avatar użytkownikalukasamd

    phpBB by Przemo ponosi winę, ponieważ w phpBB2 na którym jest oparte hasła są hashowane tylko poprzez 1x md5 a to już od dawna przeżytek. Nie piszę przecież, że jakikolwiek skrypt daje 100% bezpieczeństwa, ale po ataku mniejsze szkody mamy w wypadku phpBB3.

  • Avatar użytkownikaMarvN

    Ifr misiu, każdy silnik, nawet megasuperhiperultra bezpieczne serwery Google czy Microsoftu zawierające dane warte setki miliardów dolarów mają jedną ogromną wadę - human factor.
    Hakier czy cracker, rzadko wkrada się pod to, by coś usunąć lub sprawdzić błędy - przeważnie robi to by podbudować swoje marne ego :-)

  • Avatar użytkownikaIfr

    Umiesz Ty czytać? Pierwszy Twój akapit ma czemuś służyć prócz powtórzenia, tego co napisano wcześniej?

    Co do drugiego - no jak dziecko, którego nikt nie kocha, mama bije patelnią po głowie, a w szkole liże korytarze, to pewnie tak, pewnie ego ma zbyt niskie.

  • Avatar użytkownikaJaahquubel

    Początek trzeciego akapitu: "informacjom", nie "informacją".

  • Avatar użytkownikaLen

    Poprawiłem. Lukas, byś się wstydził :P

  • Avatar użytkownikalukasamd

    IMO to nieistotne, liczy się iż serwis funkcjonuje normalnie. Wolelibyście nie móc wytknąć literówki (z powodu braku możliwości przywrócenia serwisu)? :/

    Cracker to idiota - włamuje się i niszczy, a tak właśnie postąpiono z JACenter. Haker to osoba, która może tylko pomóc: zwróci uwagę na niezabezpieczone elementy a to pomoc nieoceniona.

  • Avatar użytkownikaIfr

    "Wolelibyście nie móc wytknąć literówki (z powodu braku możliwości przywrócenia serwisu)? :/"

    Tak, poprawna polszczyzna ponad wszystko!

  • Avatar użytkownikaPanel

    Cóż można powiedzieć - "włamywaczom" gratulujemy głupoty...




Nick: