V pátek před půlnocí (přibližně mezi 23:00 a 23:30) byl proveden útok na největší výměnný reklamní systém v České republice. Zatímco v minulosti se Mr. Lin(x) stával terčem útoků výhradně mediálních, nyní systém podlehl útoku fyzickému, a to nejprve ve své slovenské a později i české a anglické podobě. Na celé záležitosti je zarážející, že útok nebyl nikterak složitý a útočník pravděpodobně využil chyby správce systému.
Přibližně od sobotní půlnoci nezobrazoval reklamní systém Mr. Lin(x) bannery svých členů, ale výhradně červený reklamní proužek „OWNED BY CORONER“. Červený banner poté odkazoval na internetovou stránku http://mr.linx.sk, která byla útokem rovněž poškozena. Všechny servery byly v rámci reklamního systému přejmenovány na: „OwneD By CORONER“. Členské reklamní proužky byly přemazány a zobrazoval se pouze banner hackerův.
Zatímco v českém ani anglickém systému Mr. Lin(x) nebyly změněny žádné stránky – všechny tři systémy jsou navzájem odděleny, útok byl tedy veden v několika vlnách – na stránkách slovenského systému byl změněn titulek a pozadí stránky. Podle Michala Valáška z ASP Serveru, který pravděpodobně jako první odhalil a popsal způsob útoku a z jehož článku tento text převážně čerpá, byla na serverech neošetřená chyba Translate: F.
Její princip je jednoduchý – IIS 5.0 server reaguje chybně na požadavek na ASP/ASA soubor pokud je URL požadavku doplněna o koncové (přebytečné) obrácené lomítko a v hlavičce požadavku je přítomna hlavička „Translate: f“ – v takovém případě neohlásí IIS 5.0 chybu, ale poskytne kompletní zdrojové texty ASP/ASA souboru. Jde o stejný druh chyby jako NULL.HTW , $DATA (1), $DATA (2) či CodeBrws. (Daniel Dočekal, Svět Namodro)
Protože chyba Translate: F umožňuje získat zdrojový kód ASP skriptů, je možné dostat rovněž soubor glosa.asa, který obsahuje hesla pro přístup k databázi SQL. Bezpečnostní díra je dva měsíce starou záležitostí, kterou Microsoft nejenže přiznal, ale také pro tuto chybu vydal opravu. K útoku na slovenský systém byl navíc použit uživatel „sa“, což jen ukazuje na laxní přístup administrátorů k bezpečnosti systému (v případě verze české byl použit uživatel „www_host“).
Vyjma jmen serverů, reklamních proužků a internetové stránky slovenské verze systému Mr. Lin(x) byla podle sobotní tiskové zprávy provozovatele pozměněna i data slovenské verze, která se však přímo nepodílí na chodu serveru, což znamená, že útočník se v systému příliš nevyznal. V české a anlické verzi nebyl přístup k datům na discích zanamenán – ve slovenské verzi byla některá data vymazána.
Uživatelům české verze Mr. Lin(x)e přišel rovněž následující email:
Vazeny uzivateli,
kontrolou Vaseho banneru jsme zjistili, ze tento nema spravny rozmer (v intervalu 467×59 az 469×61) nebo velikost do 20 Kb. Jedna se o nasledujici banner:
Nazev serveru: OwneD By CORONER
Cesta k banneru: http://mr.linx.sk/banner.jpg
Rozmery Vaseho baneru jsou 400×110 a velikost 13 Kb
Nastavili jsme Vas server OwneD By CORONER na 100% setreni kreditu a banner se tedy nezobrazuje. Zadejte prosim do systemu banner spravnych parametru a opet jej zprovoznete nastavenim vyse sporeni, ktera Vam nejlepe vyhovuje.
Nastaveni banneru muzete provest zde: http://Mr.Linx.cz/run/login.asp go=banner.asp?id=765
Stav banneru lze take videt v tabulce serveru ihned po zalogovani do clenske sekce. Tento zobrazovany stav se vsak obnovuje az po dalsi systemove kontrole banneru, nikoliv ihned po Vasi zmene !!
Tato kontrola byla provedena: Sat Aug 05 07:04:35 2000 V pripade jakychkoliv dotazu neodpovidejte prosim na tento mail, ale vyuzijte Komunikacni terminal na http://Mr.Linx.cz/base
Vas reklamni system Mr.Lin(x)
http://Mr.Linx.cz/member
Další email se v sobotu kdosi pokusil poslat přes firemní adresy provozovatele systému Mr. Lin(x):
Message-ID: <B0000166440@server.clark.cz> Subject: rikal si neco?
Dobry den, vazeny uzivateli, vas banner je totalne v prdeli, protoze nam nejakej bozan posral Mr. Lin(X)e ;-)))))))))
Owned by CORORNER
V sobotu večer se také údajný hacker vyjádřil k článku na Světě Namodro:
Jméno : CORONER
Email : 123@123.11
Subject : Verejne ospravedlnenie
Článek : http://svet.namodro.cz/go/r-art.asp?id=1000805892
--- ---- ---- ---- ---- ---- ---- ---- ---- ---
Ahoj.
Kedze som nijakym sposobom nechcel poskodit server Mr.Lin(x) a jeho prestiz, posielam administratorske heslo do servera mr.linx.sk. Neukradol som z neho ziadne data !!! A nechcem uskodit ziadnemu z klientov Mr.Lin(x).
Mojim cielom bolo poukazat na diery tohoto systemu a nie ho poskodit (mohol som to spravit aj na Mr.Lin(x).sk, Mr.Lin(x).cz a Mr.Lin(x).com).
Vykonal som malu zmenu v subore http://mr.linx.sk/tam.asp.
Heslo do systemu ...
biteme
Ostavam s pozdravom
CORONER
P.S.: Maily, kdore chodia z Mr.Lin(x) SMTP brany niesu moja praca. Ak som sposobil velke skody, uverejnite prosim moznost napravy z mojej strany.
Závěrem není téměř co dodat, neboť všechny podrobnosti celého případu byly dostatečně zdokumentovány a popsány již v průběhu víkendu. Za příkladný lze považovat postup společnosti Clark NetProject, která celý problém v průběhu soboty odstranila. Uživatelské imprese budou během dnešního dne nahrazeny a systém již všem zákazníkům rozeslal nová uživatelská jména a hesla.
V průběhu celého víkendu byli rovněž uživatelé systému Mr. Lin(x) velmi podrobně informováni na internetových stránkách http://www.clark.cz/mrlinx, a to jak o postupu probíhající nápravy, tak o dění kolem celého případu. Rozebrán je zde dokonce i samotný postup, jakým k celému útoku došlo, ALE jak má uživatel věřit systému, skrze který měsíčně „protečou“ statisíce korun a který může být napaden skrze takto diletantskou chybu?