Autor |
Mensaje |
CrisJ
Colaborador
Edad: 34
Registrado: 05 Abr 2008
Mensajes: 3807
Ubicación: Recoleta - un poco menos burgués que Cornell
Carrera: Civil
|
|
|
|
|
La Chica
Nivel 8
Edad: 38
Registrado: 03 Jun 2006
Mensajes: 810
Ubicación: Balvanera
Carrera: Mecánica
|
|
|
|
|
Stoma
Nivel 8
Edad: 36
Registrado: 06 Jul 2006
Mensajes: 510
Carrera: Informática
|
|
Creo que la mejor respuesta es "porque podemos". Capaz que hackeando páginas suman puntos para llegar a ser NFP (New Full Poronga)
|
|
|
|
_________________
Si yo te digo carnaval...
|
|
|
|
|
Tesla
Nivel 8
Edad: 35
Registrado: 02 Mar 2008
Mensajes: 567
Ubicación: Buenos Aires
Carrera: Electricista
|
|
|
|
|
nico_gnr
Nivel 8
Edad: 34
Registrado: 22 Nov 2008
Mensajes: 589
Carrera: No especificada
|
|
|
|
|
Guido_Garrote
Moderador
Edad: 35
Registrado: 14 Oct 2007
Mensajes: 3319
Ubicación: AHÍ!
Carrera: Civil
|
|
nico_gnr escribió:
|
Dejen de buscarle motivos, se divierten haciéndolo, les gusta, punto. Y dejen de confundir Hacker con Cracker/Lammer.
|
perdone señor hacker...
|
|
|
|
_________________
|
|
|
|
|
GREgO
Nivel 8
Registrado: 21 Abr 2009
Mensajes: 771
Ubicación: New Belsen
Carrera: Electrónica
|
|
...So? Esta vez qué pasó? Fue algo similar a lo del otro día, o sólo estaba caída la página?
|
|
|
|
_________________ El ser humano primero cree en Papá Noel,
Después en Dios,
Luego en la Izquierda,
Y finalmente advierte que la posta es Hermanos Bladimir
................
Ya salió la Bladimir Papel nº 3! Conseguila en el baño de tu Ugi's!
|
|
|
|
|
Gaturro
Nivel 8
Edad: 39
Registrado: 11 Oct 2005
Mensajes: 773
Ubicación: Montserrat
Carrera: No especificada
|
|
_________________ Ingleses piratas devuelvan las malvinas
|
|
|
|
|
LargoXXI
Nivel 9
Edad: 35
Registrado: 19 Sep 2007
Mensajes: 2059
Ubicación: Ciudad de Buenos Aires
Carrera: Electrónica
|
|
GREgO escribió:
|
...So? Esta vez qué pasó? Fue algo similar a lo del otro día, o sólo estaba caída la página?
|
Mierda que duró.
Pero, por las dudas... Albaneses de mierda (?) Jajaja
|
|
|
|
_________________ "La violencia es el argumento de los incapaces"
|
|
|
|
|
soymilrayita
Nivel 9
Edad: 40
Registrado: 21 Ene 2006
Mensajes: 1747
Ubicación: Lomas de Zamora
Carrera: Electrónica
|
|
LargoXXI escribió:
|
GREgO escribió:
|
...So? Esta vez qué pasó? Fue algo similar a lo del otro día, o sólo estaba caída la página?
|
Mierda que duró.
Pero, por las dudas... Albaneses de mierda (?) Jajaja
|
Yo tiré unos pings y ni siquiera llegaba al servidor, creo que no eran nuestros amigos albaneses...
|
|
|
|
_________________
|
|
|
|
|
sabian_reloaded
Nivel 9
Edad: 34
Registrado: 18 Jun 2009
Mensajes: 2925
Ubicación: El bosque platense
Carrera: No especificada
|
|
Parecería un problema de servidor, pero esperemos a allmighty santisi.
EDIT: Me gano milrayita de mano jaj
|
|
|
|
|
|
|
|
|
Basterman
Nivel 9
Edad: 34
Registrado: 28 Nov 2008
Mensajes: 2329
Carrera: Mecánica
|
|
GREgO escribió:
|
...So? Esta vez qué pasó? Fue algo similar a lo del otro día, o sólo estaba caída la página?
|
Paso q unos albanos se querian levantar unas minitas, y ante la total ignorancia de como levantarse una mina, pensaron que hackear una pagina de unos chabones a miles de kilometros las iba a exitar, pero obviaron el detalle q eran minas "normales".
Malditos, estupidos y virgenes nerds.
|
|
|
|
|
|
|
|
|
martin.
Nivel 8
Edad: 36
Registrado: 05 Jul 2007
Mensajes: 732
Ubicación: Frente de Estudiantes Libertarios
Carrera: Informática
|
|
Capaz que quisieron impresionar a las minitas de este foro, los pobres infelices no se dieron cuenta de que era un foro de ingeniería...
|
|
|
|
_________________ FRENTE DE ESTUDIANTES LIBERTARIOS
Web: http://www.fel-arg.org/
Email: fel.argentina@gmail.com
|
|
|
|
|
Mery
Nivel 8
Edad: 35
Registrado: 07 Jul 2008
Mensajes: 888
Ubicación: Where eagles dare...
Carrera: Electrónica y Informática
|
|
martin. escribió:
|
Capaz que quisieron impresionar a las minitas de este foro, los pobres infelices no se dieron cuenta de que era un foro de ingeniería...
|
Ejm... no quiero desvirtuar así que mejor me callo.
|
|
|
|
|
|
|
|
|
Sebastian Santisi
Administrador Técnico
Edad: 42
Registrado: 23 Ago 2005
Mensajes: 17451
|
|
Bueno; tras bastantes bastantes horas, pude recontruir qué pasó y cerrar el agujero por el cual entraron, por lo que puedo dar un poco más de detalles.
En primer lugar, nos eligieron totalmente al voleo. Cayeron al foro porque rankeábamos en la segunda página de Google preguntando por la existencia de determinado archivo, y una palabra clave.
Detrás de esto, estuvo (como decía en el mensaje) un albano, con IP 91.187.103.4, y para reforzar el estereotipo de scriptkid pedorro cabe destacar que llegó buscando el foro con la versión 1337 de G00g73 (...).
La vulnerabilidad que explotó le permitió obtener el hash del usuario de Claus, el cual revirtió con alguna herramienta externa. Con eso, pudo loguearse como administrador del foro.
Cabe decir que ahora que trackeé los pasos que realizó el flaco y revisé por updates críticos la página del proveedor de la versión de foro que usamos me encuentro con que dicha vulnerabilidad fue reportada el mismo día del lanzamiento de esta versión (lo cual fue hace ya casi 2 años) y que jamás hicieron ningún tipo de update y ni siquiera una noticia en su portal para avisar... como vulnerabilidad no sólo potencial sino además totalmente explotable y con exploits circulando, realmente es desastroso que en 2 años no hayan ni siquiera publicado ya no un release sino tan sólo un artículo al respecto. En fin.
Con el acceso como administrador; hizo uso de un módulo inexplicable de esta versión de phpBB que permite editar templates de estilos a través de la interfase web. Sí, permite editar templates... pero también permite editar cualquier archivo físico que esté en el servidor; ¡cualquiera!
Con acceso a escribir fuentes en el servidor; reemplazó un script del foro por un netshell, por lo que tuvo a su disposición una herramienta web para acceder al servidor.
Por suerte, debido a las características de configuración; el acceso estuvo totalmente circunscripto a realizar tareas con el usuario del servidor web; y dado que el foro corre de manera casi exclusiva, no hubo posibilidad de acceso a archivos por fuera de los propios del foro.
El salame este, con el acceso a la escritura del directorio raiz del foro realizó el defaced que ya vieron (está la captura en el thread de falcald) y no contento con esto (y, a mi gusto, totalmente desubicado) no pudiendosabiendo hacer nada más borró el 100% de los archivos del foro.
Siguiendo el resgistro de los pasos dados, las cosas potenciales que podría haber hecho, y lo que hizo, tomando en cuenta la cereza del postre de haber eliminado todo... no hay mucho más veredicto de que se trataba de alguien que no tenía la menor capacidad sobre lo que estaba haciendo sino que simplemente estaba siguiendo una receta. Si se hubiera limitado al defaced nomás, entendería la secuencia; pero si culminó haciendo bolsa todo, entonces se entiende unas ganas soberanas de joder. Siendo que quería joder, resulta inexplicable que no haya tocado el contenido de la base de datos o haber tocado cualquier cosa desde el panel de control, o al menos intentado buscar algo más en el servidor. Se limitó a seguir una secuencia de pasos que no incluyeron en ningún momento ni siquiera ver si había algo más en el servidor más allá del directorio del foro.
El saldo es la pérdida de varios meses de acumulación de archivos subidos como adjuntos al foro y de avatares alojados en el servidor; la pérdida no afecta a la estructura propia del foro dado que la versión que se encuentra productiva es una réplica de la versión de desarrollo que está instalada en Keyra. Por encima de eso, se perdieron algunos detalles como el banner de Neolo quien nos provee el hosting, y tal vez algún parche que le haya hecho al sistema de LaTeX.
En cuanto a los puntos explotados, es más grave lo potencial que podría haber pasado que lo que realmente pasó. En cuanto a lo que pasó, fue una combinación de más de un factor; y si bien luego de haberse ganado el acceso como administrador sólo la imaginación pone un coto a las múltiples maneras de joder posibles, tal vez parte de esto podría haberse evitado con un sistema más rígido de acceso de escritura a los diferentes sectores del foro; así como de la eliminación de todos los módulos y funcionalidades que actualmente no se encuentran en uso en el foro (en particular, la vulnerabilidad explotada es de la Knowledge Base, la cual no se usó jamás). En este momento la puerta de acceso que utilizaron se encuentra cerrada, pero varias de las puertas internas siguen abiertas; por lo que aún me queda trabajo por hacer para evitar algo similar en algún futuro. Las cosas que todavía no restituí de la versión del foro que estaba corriendo previo a la borrada, las repondré en el transcurso de esta noche.
Siendo que el foro está corriendo en un servidor sponsoreado por Neolo, me reservo el último párrafo en negrita (que asumo será de los más visibles) para señalar que los problemas que tuvimos con este incidente no son responsabilidad en lo absoluto por parte de ellos. Neolo nos brinda el servidor físico y la conectividad a la red; nosotros administramos el sistema operativo y somos responsables por el mantenimiento del foro y todo el software comprometido en él. Más allá de que lo sucedido no fuera responsabilidad de ellos; quiero destacar que el mismo lunes, practicamente de manera inmediata después de ocurrido el percance, se pusieron en contacto conmigo para dar una mano al respecto de lo que pasó preocupados al respecto; lo cual realmente agradezco, siendo que no existía la obligación y que se trató de algo de lo que no son responsables.
|
|
|
|
_________________
|
|
|
|
|
|