Hlavní navigace

Mr. Lin(x): sebrané spisy

Mirek Zeman

"Tak nám hackli Lin(x)e," začíná replikou úvodní věty Haškova románu Osudy dobrého vojáka Švejka článek na ASP Serveru. ASP Server jako jeden z prvních informačních zdrojů přinesl zprávu o útoku na největší český výměnný reklamní systém Mr. Lin(x).

V pátek před půlnocí (přibližně mezi 23:00 a 23:30) byl proveden útok na největší výměnný reklamní systém v České republice. Zatímco v minulosti se Mr. Lin(x) stával terčem útoků výhradně mediálních, nyní systém podlehl útoku fyzickému, a to nejprve ve své slovenské a později i české a anglické podobě. Na celé záležitosti je zarážející, že útok nebyl nikterak složitý a útočník pravděpodobně využil chyby správce systému.

Přibližně od sobotní půlnoci nezobrazoval reklamní systém Mr. Lin(x) bannery svých členů, ale výhradně červený reklamní proužek „OWNED BY CORONER“. Červený banner poté odkazoval na internetovou stránku http://mr.lin­x.sk, která byla útokem rovněž poškozena. Všechny servery byly v rámci reklamního systému přejmenovány na: „OwneD By CORONER“. Členské reklamní proužky byly přemazány a zobrazoval se pouze banner hackerův.

Zatímco v českém ani anglickém systému Mr. Lin(x) nebyly změněny žádné stránky – všechny tři systémy jsou navzájem odděleny, útok byl tedy veden v několika vlnách – na stránkách slovenského systému byl změněn titulek a pozadí stránky. Podle Michala Valáška z ASP Serveru, který pravděpodobně jako první odhalil a popsal způsob útoku a z jehož článku tento text převážně čerpá, byla na serverech neošetřená chyba Translate: F.

Její princip je jednoduchý – IIS 5.0 server reaguje chybně na požadavek na ASP/ASA soubor pokud je URL požadavku doplněna o koncové (přebytečné) obrácené lomítko a v hlavičce požadavku je přítomna hlavička „Translate: f“ – v takovém případě neohlásí IIS 5.0 chybu, ale poskytne kompletní zdrojové texty ASP/ASA souboru. Jde o stejný druh chyby jako NULL.HTW , $DATA (1), $DATA (2) či CodeBrws. (Daniel Dočekal, Svět Namodro)

Protože chyba Translate: F umožňuje získat zdrojový kód ASP skriptů, je možné dostat rovněž soubor glosa.asa, který obsahuje hesla pro přístup k databázi SQL. Bezpečnostní díra je dva měsíce starou záležitostí, kterou Microsoft nejenže přiznal, ale také pro tuto chybu vydal opravu. K útoku na slovenský systém byl navíc použit uživatel „sa“, což jen ukazuje na laxní přístup administrátorů k bezpečnosti systému (v případě verze české byl použit uživatel „www_host“).

Vyjma jmen serverů, reklamních proužků a internetové stránky slovenské verze systému Mr. Lin(x) byla podle sobotní tiskové zprávy provozovatele pozměněna i data slovenské verze, která se však přímo nepodílí na chodu serveru, což znamená, že útočník se v systému příliš nevyznal. V české a anlické verzi nebyl přístup k datům na discích zanamenán – ve slovenské verzi byla některá data vymazána.

Uživatelům české verze Mr. Lin(x)e přišel rovněž následující email:

Vazeny uzivateli,

kontrolou Vaseho banneru jsme zjistili, ze tento nema spravny rozmer (v intervalu 467×59 az 469×61) nebo velikost do 20 Kb. Jedna se o nasledujici banner:

Nazev serveru: OwneD By CORONER

Cesta k banneru: http://mr.lin­x.sk/banner.jpg

Rozmery Vaseho baneru jsou 400×110 a velikost 13 Kb

Nastavili jsme Vas server OwneD By CORONER na 100% setreni kreditu a banner se tedy nezobrazuje. Zadejte prosim do systemu banner spravnych parametru a opet jej zprovoznete nastavenim vyse sporeni, ktera Vam nejlepe vyhovuje.

Nastaveni banneru muzete provest zde: http://Mr.Lin­x.cz/run/login­.asp go=banner.asp?id=765

Stav banneru lze take videt v tabulce serveru ihned po zalogovani do clenske sekce. Tento zobrazovany stav se vsak obnovuje az po dalsi systemove kontrole banneru, nikoliv ihned po Vasi zmene !!

Tato kontrola byla provedena: Sat Aug 05 07:04:35 2000 V pripade jakychkoliv dotazu neodpovidejte prosim na tento mail, ale vyuzijte Komunikacni terminal na http://Mr.Lin­x.cz/base

Vas reklamni system Mr.Lin(x)

http://Mr.Lin­x.cz/member

Další email se v sobotu kdosi pokusil poslat přes firemní adresy provozovatele systému Mr. Lin(x):

Message-ID: <B0000166440@­server.clark.cz> Subject: rikal si neco?

Dobry den, vazeny uzivateli, vas banner je totalne v prdeli, protoze nam nejakej bozan posral Mr. Lin(X)e ;-)))))))))

Owned by CORORNER

V sobotu večer se také údajný hacker vyjádřil k článku na Světě Namodro:

Jméno : CORONER
Email : 123@123.11
Subject : Verejne ospravedlnenie
Článek : http://svet.namodro.cz/go/r-art.asp?id=1000805892
--- ---- ---- ---- ---- ---- ---- ---- ---- ---
Ahoj.
Kedze som nijakym sposobom nechcel poskodit server Mr.Lin(x) a jeho prestiz, posielam administratorske heslo do servera mr.linx.sk. Neukradol som z neho ziadne data !!! A nechcem uskodit ziadnemu z klientov Mr.Lin(x).
Mojim cielom bolo poukazat na diery tohoto systemu a nie ho poskodit (mohol som to spravit aj na Mr.Lin(x).sk, Mr.Lin(x).cz a Mr.Lin(x).com).
Vykonal som malu zmenu v subore http://mr.linx.sk/tam.asp.
Heslo do systemu ...
biteme
Ostavam s pozdravom
CORONER
P.S.: Maily, kdore chodia z Mr.Lin(x) SMTP brany niesu moja praca. Ak som sposobil velke skody, uverejnite prosim moznost napravy z mojej strany.

Závěrem není téměř co dodat, neboť všechny podrobnosti celého případu byly dostatečně zdokumentovány a popsány již v průběhu víkendu. Za příkladný lze považovat postup společnosti Clark NetProject, která celý problém v průběhu soboty odstranila. Uživatelské imprese budou během dnešního dne nahrazeny a systém již všem zákazníkům rozeslal nová uživatelská jména a hesla.

V průběhu celého víkendu byli rovněž uživatelé systému Mr. Lin(x) velmi podrobně informováni na internetových stránkách http://www.clar­k.cz/mrlinx, a to jak o postupu probíhající nápravy, tak o dění kolem celého případu. Rozebrán je zde dokonce i samotný postup, jakým k celému útoku došlo, ALE jak má uživatel věřit systému, skrze který měsíčně „protečou“ statisíce korun a který může být napaden skrze takto diletantskou chybu?

Našli jste v článku chybu?

14. 8. 2000 23:11

SaNo (neregistrovaný)
Zdravim,

Nic v zlom ale SK mr.linx zacal fungovat az v pondelok !!! Nie ze by ma to trapilo, ale az take rychle to nebolo.

SaNo



9. 8. 2000 10:32

Edik (neregistrovaný)
Myslim, ze Explorer ma jak Nt server(y) tak Linux(y).
Na ten dukaz bych byl taky zvedavy...
Ed

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

DigiZone.cz: Kanál TA3 HD zahájil vysílání

Kanál TA3 HD zahájil vysílání

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Stavební spoření: alternativa i pro seniory

Stavební spoření: alternativa i pro seniory

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny