2008-01-05, 08:26
#1
Beroende på PUL och regel 1.06 har namn i nedanstående text editerats bort. /Mod
Hej ärade Flashbackare och svenka folk!
VFH här igen. Ville bara tacka för allt ni bidragit med och att vi inte sitter
och är förbannade för oss själva över vad media håller på med. Den ointressanta
smörja Aftonbladet väljer att skriva om är verkligen inte journalistik och skall
inte accepteras.
Folket måste göras påminda om att det media skiter ur sig och trycker på oss
inte alltid är sanningen. Istället väljer man att köra på det som säljer och en
massa jävla snyfthistorier och smutskastning av människor. Usch. Verkligen skönt
att se det är fler som håller med oss och tycker att dräggen på aftonhoran skall
få stå sitt kast och hängas ut.
Det är inte OK att helt utan grunder publikt håna folk bara för att man har
möjlighet att göra det (eller vad tycker ni på Aftonbladets redaktion?).
Även om så pass många håller med om att Aftonbladet är skit tycks de bli större
och prackar på oss fler och fler bilagor, gratistidnignar och tv-kanaler. Det är
nog många som är villiga att skriva under på att det är allt annat än en god
utveckling. Denna incident har förhoppningsvis bidragit till ett förlorat
förtroende för Aftonbladet när det gäller tipsare, kunder och andra som haft att
göra med tidningen. Något som glädjer oss innerligen.
Aftonbladet, inse att ni är tokägda och att folket är förfärligt trötta på era
lögner. Intranätet kanske innehöll lite mer än vad ni sagt?
Om ni ska gå igenom logg efter logg så kan vi ge er ett tips på vart ni ska börja.
Hur gick detta till? Ja, Aftonbladet. Hur tog vi oss in?
Här är Aftonbladets version om hur vi tog oss in, men aldrig ut ur annonsystemet år 2006.
---
From: Xxx Xxx xxx.xxx@aftonbladet.se
Sender: "lg teknik" lg.teknik@aftonbladet.se
Subject: Re: [lg.teknik] transfer3 uppdatering...
Date: Wed, 21 Jun 2006 20:35:20 +0200
To: * "lg teknik" lg.teknik@aftonbladet.se
21 jun 2006 kl. 18.55 skrev Xxx Xxx:
Hej!
Vi har nu rett ut hur intrånget gick till. Svagheterna i vår konfiguration var flera som ni kommer att se i beskrivningen:
Hackarna nyttjade inloggningsfunktionen på annonsmottagningstjänsten. Så här ser php-koden ut:
Om man inte väljer att köra addslashes på $user och
$password så måste man välja att slå på "magic quotes" i
php-konfigurationen. Om "magic quotes" är på så körs addslashes
funktionen på alla variabler som skickas in från formulär. Problemet
var att magic quotes inte var påslaget. Vi kan lägga ett stort ansvar
för den missen på Infomaker då vi tidigare fått rekommendationen att
slå av "magic quotes" av Xxx Xxx på Infomaker när en funktion i
tjänsten inte fungerade som den skulle. Jag har kvar det mailet som han
skickade 17 maj i år. Förmildrande för Infomaker är att Xxx Xxx
hos dem, som utvecklat tjänsten, har arbetat mycket med oss för att
hitta intrångsvägen och även spårat upp en av de som sannolikt
genomförde intrånget. Jag lämnar det till Oscar att besluta om vi ska
polisanmäla hackarna, samt om vi ska föra en diskussion med Infomaker
om kompensation.
En annan svaghet som möjliggjorde intrånget var att användaren som
anslöt till mysql från annonstjänstens php-kod hade fulla rättigheter i
mysql och kunde därför skapa mysql-tabellen och dumpa ut den i en fil.
....
21 jun 2006 kl. 09.48 skrev Xxx Xxx:
Hej allihopa,
jag har lekt lite detektiv med de loggar som jag har fått ta del av och tolkar dom så här:
Initialt så var det ett par svenska killar som gav sig in på att testa lite out
of the box hackerlösningar på aftonbladet och lyckades med en sql
injection och skapade cmd2.php (på samma sätt och med samma filnamn som
jag hittade i ett kinesiskt forum). Dessa svenska killar spred sedan
uppgifterna på något slags forum eller via en irc-kanal vilket
resulterade i att ganska snart började det dyka upp såväl amerikanska,
kinesiska som tyska ip-nummer i loggen som alal anropar filen. Eftersom
det är en out of the box lösning och dom har använt sig avsamma filnamn
som i exemplet så får det mig att tro att dom är inga experter, deras
kommandon som dom sedan har skickat in är också ganska sporadiska. Vi
har lyckats identifiera två tidiga ip-nummer från logutdraget nedan:
84.55.93.136 och 213.113.27.69. Båda förekommer tidigt i det utdraget
och båda går till två svenska internetlevrantörer:
84.55.93.136 84-55-93-136.rev.sth.ownit.se
213.113.27.69 c-451b71d5.026-20-6b6c6d11.cust.bredbandsbolaget.se
Det sistnämnda ipnummret visade sig innehålla en webbsida, "orelevant". En
googing på det visade att det dessutom fanns en registrerad domän på
den orelevant. Nic-se gav mig ett namn på innehavaren av den adressen:
"Xxx Xxx". en googling på "orelevant" gav mig ett
antal träffar i olika linux, kernel och hackerforum samt ett
födelsedatum "orelevant" http://kerneltrap.org/user/orelevant och en epsotadress aftonbladetsucks@aftonbladet.se.
Birthday.se gav mig en ort(orelevant) på en Xxx Xxx född XXXX. Hitta.se gav mig en adress:
Xxx Xxx Tfn/fax: XXXX-XXXXXXX (Delas med (det är aftonbladet vi vill åt) Adress Orelevant. XX X XXXXX XXXXX
Eftersom Xxx verkar vara aktiv i olika linux, kernel, exploit forum så
tycker jag att det tyder på att han förmodligen inte har blivit hackad
själv utan tvärtom har ett litet intresse av den här typen av
aktiviteter och han förmodligen fått ta del av den här lösningen i
något forum (förmodligen en gansk aktiv kanal) och att han har testat
lite. Mitt förslag är att någon på aftonbladet juridiskt kunnig person
kontaktar Xxx, får hans knäna atts kaka och
tänder att skallra samt ber honom om information om var har har fått
tillgång till den här informationen och på vilket sätt han har nyttjat
den samt om han känner till om och hur och när andra har utnyttjat den.
På så sätt bör vi (om vi vill) kunna rotadjupare i det här ärendert och
kanske kunna komma åt själva källan. Men innan
vi gör något sådant ger jag er rådet att slå på magic_quotes i er
php.ini så att inga upprörda hackare får för sig att göra någonting värre.
---
[* Allt jävla kinaprat och skit om att vi lagt upp information på nått tattarforum säger
ju en del om hur lite insikt de har. Döm själva. *]
20 jun 2006 kl. 16.00 skrev Xxx Xxx:
Efter att vi plockade bort h4x.php filen så lyckades hackaren skapa den på nytt. Access-loggen visade ingenting:
209.242.5.54 - - [18/Jun/2006:21:07:45 +0200] "GET /h4x.php HTTP/1.1" 404 291
209.242.5.54 - - [18/Jun/2006:21:08:17 +0200] "POST /index.php HTTP/1.1" 200 212
209.242.5.54 - - [18/Jun/2006:21:10:25 +0200] "POST /index.php HTTP/1.1" 200 78
209.242.5.54 - - [18/Jun/2006:21:10:57 +0200] "GET /h4x.php?cmd=id HTTP/1.1" 200 101
21:07:45 fanns filen inte. 21:10:57 så var den på plats. Error loggen däremot:
[Sun Jun 18 21:07:45 2006] [error] [client 209.242.5.54] File does not exist: /Library/WebServer/Documents/annons/h4x.php
[Sun Jun 18 21:08:17 2006] [error] PHP Notice: Undefined variable: version in /Library/WebServer/Documents/annons/includes/prefs.php on line 2
[Sun Jun 18 21:08:17 2006] [error] PHP Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /Library/WebServer/Documents/annons/includes/functions.php on line 759
[Sun Jun 18 21:10:25 2006] [error] PHP Notice: Undefined variable: version in /Library/WebServer/Documents/annons/includes/prefs.php on line 2
21:07:45 fanns inte filen där. 21:08:17 så körs följande PHP kod som avslutas med en PHP-varning:
function doLogin($user,$password){ $query = "SELECT * FROM user WHERE userName='$user' AND password='$password'"; $result = mysql_query($query) OR DIE(mysql_error()); $rows = mysql_NumRows($result); if($rows!=0){
Jag gissar att hackaren utnyttjar någon form av SQL injection svaghet i
variablerna user och/eller password som får antingen PHP eller MySQL
att urarta på ett sånt sätt att filen h4x.php skrivs till disk. Det
känns mer troligt att det är PHP, då filen skapas i PHPs rootmapp.
Den här texten känns mycket relevant:
http://www.sitepoint.com/article/php...ity-blunders/2
Intressant är att den rekommenderade lösningen, att slå på magic quotes
rekommenderade Xxx oss att slå av när Xxx ville byta en språkvariabel.
/Ian
---
Hej ärade Flashbackare och svenka folk!
VFH här igen. Ville bara tacka för allt ni bidragit med och att vi inte sitter
och är förbannade för oss själva över vad media håller på med. Den ointressanta
smörja Aftonbladet väljer att skriva om är verkligen inte journalistik och skall
inte accepteras.
Folket måste göras påminda om att det media skiter ur sig och trycker på oss
inte alltid är sanningen. Istället väljer man att köra på det som säljer och en
massa jävla snyfthistorier och smutskastning av människor. Usch. Verkligen skönt
att se det är fler som håller med oss och tycker att dräggen på aftonhoran skall
få stå sitt kast och hängas ut.
Det är inte OK att helt utan grunder publikt håna folk bara för att man har
möjlighet att göra det (eller vad tycker ni på Aftonbladets redaktion?).
Även om så pass många håller med om att Aftonbladet är skit tycks de bli större
och prackar på oss fler och fler bilagor, gratistidnignar och tv-kanaler. Det är
nog många som är villiga att skriva under på att det är allt annat än en god
utveckling. Denna incident har förhoppningsvis bidragit till ett förlorat
förtroende för Aftonbladet när det gäller tipsare, kunder och andra som haft att
göra med tidningen. Något som glädjer oss innerligen.
Aftonbladet, inse att ni är tokägda och att folket är förfärligt trötta på era
lögner. Intranätet kanske innehöll lite mer än vad ni sagt?
Om ni ska gå igenom logg efter logg så kan vi ge er ett tips på vart ni ska börja.
Hur gick detta till? Ja, Aftonbladet. Hur tog vi oss in?
Här är Aftonbladets version om hur vi tog oss in, men aldrig ut ur annonsystemet år 2006.
---
From: Xxx Xxx xxx.xxx@aftonbladet.se
Sender: "lg teknik" lg.teknik@aftonbladet.se
Subject: Re: [lg.teknik] transfer3 uppdatering...
Date: Wed, 21 Jun 2006 20:35:20 +0200
To: * "lg teknik" lg.teknik@aftonbladet.se
21 jun 2006 kl. 18.55 skrev Xxx Xxx:
Hej!
Vi har nu rett ut hur intrånget gick till. Svagheterna i vår konfiguration var flera som ni kommer att se i beskrivningen:
Hackarna nyttjade inloggningsfunktionen på annonsmottagningstjänsten. Så här ser php-koden ut:
Om man inte väljer att köra addslashes på $user och
$password så måste man välja att slå på "magic quotes" i
php-konfigurationen. Om "magic quotes" är på så körs addslashes
funktionen på alla variabler som skickas in från formulär. Problemet
var att magic quotes inte var påslaget. Vi kan lägga ett stort ansvar
för den missen på Infomaker då vi tidigare fått rekommendationen att
slå av "magic quotes" av Xxx Xxx på Infomaker när en funktion i
tjänsten inte fungerade som den skulle. Jag har kvar det mailet som han
skickade 17 maj i år. Förmildrande för Infomaker är att Xxx Xxx
hos dem, som utvecklat tjänsten, har arbetat mycket med oss för att
hitta intrångsvägen och även spårat upp en av de som sannolikt
genomförde intrånget. Jag lämnar det till Oscar att besluta om vi ska
polisanmäla hackarna, samt om vi ska föra en diskussion med Infomaker
om kompensation.
En annan svaghet som möjliggjorde intrånget var att användaren som
anslöt till mysql från annonstjänstens php-kod hade fulla rättigheter i
mysql och kunde därför skapa mysql-tabellen och dumpa ut den i en fil.
....
21 jun 2006 kl. 09.48 skrev Xxx Xxx:
Hej allihopa,
jag har lekt lite detektiv med de loggar som jag har fått ta del av och tolkar dom så här:
Initialt så var det ett par svenska killar som gav sig in på att testa lite out
of the box hackerlösningar på aftonbladet och lyckades med en sql
injection och skapade cmd2.php (på samma sätt och med samma filnamn som
jag hittade i ett kinesiskt forum). Dessa svenska killar spred sedan
uppgifterna på något slags forum eller via en irc-kanal vilket
resulterade i att ganska snart började det dyka upp såväl amerikanska,
kinesiska som tyska ip-nummer i loggen som alal anropar filen. Eftersom
det är en out of the box lösning och dom har använt sig avsamma filnamn
som i exemplet så får det mig att tro att dom är inga experter, deras
kommandon som dom sedan har skickat in är också ganska sporadiska. Vi
har lyckats identifiera två tidiga ip-nummer från logutdraget nedan:
84.55.93.136 och 213.113.27.69. Båda förekommer tidigt i det utdraget
och båda går till två svenska internetlevrantörer:
84.55.93.136 84-55-93-136.rev.sth.ownit.se
213.113.27.69 c-451b71d5.026-20-6b6c6d11.cust.bredbandsbolaget.se
Det sistnämnda ipnummret visade sig innehålla en webbsida, "orelevant". En
googing på det visade att det dessutom fanns en registrerad domän på
den orelevant. Nic-se gav mig ett namn på innehavaren av den adressen:
"Xxx Xxx". en googling på "orelevant" gav mig ett
antal träffar i olika linux, kernel och hackerforum samt ett
födelsedatum "orelevant" http://kerneltrap.org/user/orelevant och en epsotadress aftonbladetsucks@aftonbladet.se.
Birthday.se gav mig en ort(orelevant) på en Xxx Xxx född XXXX. Hitta.se gav mig en adress:
Xxx Xxx Tfn/fax: XXXX-XXXXXXX (Delas med (det är aftonbladet vi vill åt) Adress Orelevant. XX X XXXXX XXXXX
Eftersom Xxx verkar vara aktiv i olika linux, kernel, exploit forum så
tycker jag att det tyder på att han förmodligen inte har blivit hackad
själv utan tvärtom har ett litet intresse av den här typen av
aktiviteter och han förmodligen fått ta del av den här lösningen i
något forum (förmodligen en gansk aktiv kanal) och att han har testat
lite. Mitt förslag är att någon på aftonbladet juridiskt kunnig person
kontaktar Xxx, får hans knäna atts kaka och
tänder att skallra samt ber honom om information om var har har fått
tillgång till den här informationen och på vilket sätt han har nyttjat
den samt om han känner till om och hur och när andra har utnyttjat den.
På så sätt bör vi (om vi vill) kunna rotadjupare i det här ärendert och
kanske kunna komma åt själva källan. Men innan
vi gör något sådant ger jag er rådet att slå på magic_quotes i er
php.ini så att inga upprörda hackare får för sig att göra någonting värre.
---
[* Allt jävla kinaprat och skit om att vi lagt upp information på nått tattarforum säger
ju en del om hur lite insikt de har. Döm själva. *]
20 jun 2006 kl. 16.00 skrev Xxx Xxx:
Efter att vi plockade bort h4x.php filen så lyckades hackaren skapa den på nytt. Access-loggen visade ingenting:
209.242.5.54 - - [18/Jun/2006:21:07:45 +0200] "GET /h4x.php HTTP/1.1" 404 291
209.242.5.54 - - [18/Jun/2006:21:08:17 +0200] "POST /index.php HTTP/1.1" 200 212
209.242.5.54 - - [18/Jun/2006:21:10:25 +0200] "POST /index.php HTTP/1.1" 200 78
209.242.5.54 - - [18/Jun/2006:21:10:57 +0200] "GET /h4x.php?cmd=id HTTP/1.1" 200 101
21:07:45 fanns filen inte. 21:10:57 så var den på plats. Error loggen däremot:
[Sun Jun 18 21:07:45 2006] [error] [client 209.242.5.54] File does not exist: /Library/WebServer/Documents/annons/h4x.php
[Sun Jun 18 21:08:17 2006] [error] PHP Notice: Undefined variable: version in /Library/WebServer/Documents/annons/includes/prefs.php on line 2
[Sun Jun 18 21:08:17 2006] [error] PHP Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /Library/WebServer/Documents/annons/includes/functions.php on line 759
[Sun Jun 18 21:10:25 2006] [error] PHP Notice: Undefined variable: version in /Library/WebServer/Documents/annons/includes/prefs.php on line 2
21:07:45 fanns inte filen där. 21:08:17 så körs följande PHP kod som avslutas med en PHP-varning:
function doLogin($user,$password){ $query = "SELECT * FROM user WHERE userName='$user' AND password='$password'"; $result = mysql_query($query) OR DIE(mysql_error()); $rows = mysql_NumRows($result); if($rows!=0){
Jag gissar att hackaren utnyttjar någon form av SQL injection svaghet i
variablerna user och/eller password som får antingen PHP eller MySQL
att urarta på ett sånt sätt att filen h4x.php skrivs till disk. Det
känns mer troligt att det är PHP, då filen skapas i PHPs rootmapp.
Den här texten känns mycket relevant:
http://www.sitepoint.com/article/php...ity-blunders/2
Intressant är att den rekommenderade lösningen, att slå på magic quotes
rekommenderade Xxx oss att slå av när Xxx ville byta en språkvariabel.
/Ian
---
HTTP/1.1" 400 416
:
