Pods nolaists podā (63 komentāri)
Kirils 2004-11-23 22:41:53
Internets

Visi ieintersētie jau būs dzirdējuši, ka naktī no 21. uz 22. novembri pods.lv nonests ar solījumiem publicēt tā kodu. Līdz ar viņu nonests arī viens no OgreLand kompānijas serveriem, uz kuriem hostējās tādas mājaslapas kā www.rave.lv, www.calis.lv, www.nza.lv, www.sieranams.lv, www.konkas.com, www.impulss.lv, www.whirlpool.lv u.c. (Pie saitēm arī attiecīgas diskusijas.)
Bet es, kā parasti, centīšos pasniegt visus pieejamos faktus un viedokļus.
Sākšu ar savu notikumu versiju. Izmantots kaut kāds webisks eksploits (iespējams phpBB vai Apache), tad privilēģijas eskalētas līdz maksimumam, izmatojot kādu kerneļa eksploitu (uz kastes bija Linux kernelis 2.4.18).
Cilvēks, kas sevi sauc "Mandarins" paspēja izbļausīties, ka šodien uz NetSec.lv servera būs pieejams apraksts, kā tika veikta uzlaušana. Serveris visu dienu bija nepiejams, taču vakarā sāka strādāt ar piezīmi
NetSec.lv patreiz ir palielas tehniskas problemas, ka rezultata servaks bisku raustas.
Viņu versija par uzlaušanu (pieejama epizodiski, dēļ kaut kādiem gļukiem) ir līdziga manējai, taču OgreLand web serveris noteikti negriezās uz root lietotāja, tādēļ ar viņu aprakstu vien nepietiek. Kā arī viņi min, ka datuve.lv esot uzlauzta tā pat. Pēc manā rīcībā esošās informācijas, datuve.lv ir hostiga problēmas. Hostingu nodrošina SIA "Garmtech".
Ir pieejami paša laužņa ekrānšāviņi, pārkāpuma izdarīšanas brīdi. Man ir savs pamats domāts, ka tie ir viltoti, taču to es paturēšu pie sevis, mani argumenti jūs par to nepārliecinās. :)
Šāviņi: mājas, warez, procesors, dzēšana (kreisajā pusē redzams mama.lv ar ievainojamo phpBB), hacked, rezultāts.
Pēdējie divi šāviņi ir aizdomīgi līdzīgi tiem, kas tika publicēti foto.inbox.lv, tāpēc man ir pamats domāt, ka viņus ir taisijis un augšupielādējis (nošaujiet mani) tas pats cilvēks, kas uzlauza serveri. Lai gan gudri vīri man nepiekrīt... Nu redzēsim.
Lūk arī eksluzīva intervija ar pašu pods.lv domēna īpašnieku Arti Āri (ne to, ko es personīgi pazīstu jau daudzus gadus, bet to slavēnāko), plašāk pazīstamu ar niku CooLynX. Intervija noritēja diennakti iepriekš.
CooLynX ir publicējis autorrakstu ar savu viedokli par notikumiem.
Kāds ir Tavs maizesdarbs?
HTML maketētājs/programmētājs, sauc kā gribi. Plus vēl visādi nieki, kas saistīti ar webisko risinājumu izstrādi. Ne gluži dizainers - ar zīmēšanu man maza saistība. Tu saliec to bildīti, ko iedod dizainers iekš pareiza HTML?
Jā, zīmē citi, es no bildes veidoju HTML. Es salieku kopā to, ko ir saprogrogrammējuši/sazīmējuši citi. Tā, lai tas būtu baudāms webā.
Visus šobrīd uztrauc viena lieta - backupi Tev taču ir?
Man - jā. Varbuut nav komentu, bet tas jau fufelis :)
Tikai kaut kādu pēdējo komentu visdrīzaak, vai ne?
Jā.
Vai arī download.pods.lv bija nobackupots? Vai tas tiks atjaunots tāds kāds bija?
Nē. Tur taču bija 2GB.
Tātad, ja tie ir dzēsti, Tu tos neatjaunosi?
Laika gaitā, uzreiz noteikti nē... nemaz necentīšos.
Man pašam, redzot kādu defeisu, bieži vien pirmās aizdomas krīt uz defeisa anaunsētāju, uz to, kas publiski paziņo par defeisu. Vai aizdomas citu starpā krita arī uz m|sc?
Varbūt jā. Taču m|sc noteikti nepublicētu, ja pats to būtu darījis. Viņš nav tik dumjš.
Cik vecs, Tavuprāt varētu būt šis hakeris, kas vainojams pie masveida defeisa?
Nu, iespējams kaut kur tā līdz 23 gadiem. Savā attīstībā noteikti aizkavējies, izglītības ziņā viņu vērtēju kaut kur uz 16-17.
Vai domā nomainīt hostinga palakpojumu sniedzēju, kad viss būs norimis?
Domāju, ka nē. Ja vien mani neizmetīs. :D Ja kāds gribēs, tad jebko uzlauzīs. Nav bullet-proof sistēmu.
Vai esi guvis no tā kādu mācību?
Pagaidām gan nekādu mācību neguvu, jo neko no tā puiša izteikumiem neuztvēru nopietni - vienkārši kāds satrakojies tīņa prātā gribēja kaut ko pierādīt. Manā skatījumā nekas no viņa uzrakstītā neatbilst patiesībai.
Tātad šobrīd Tu uzskati, ka viņam nebija pieejas sourcei, tās dzēšanai?
Ir skaidrs, ka viņam bija roots, ar to viss ir izteikts. Vienkārši tie viņa argumenti bija tādi smieklīgi. Tiem es nepiekrītu.
Es saprotu, ka nebaidies no tā, ka Tavu kodu palaidīs tautā?
Nē... Tur nav nekā slikta. Es taču nekad nekad neesmu lielījies, ka būtu koderis, tieši otrādi - esmu vienmēr uzsvēris, ka nemāku PHP kodēt.
Varētu atklāties kādas nepilnības Tavā kodā, kas var ietekmēt drošību...
Tīri teorētiski - jā. Ir kaut kādas vājās vietas, jo tas pasākums, uz kā bāzes to veidoju, bija ļoti caurumains, tāpat kā daudzi citi open source projekti.
Ja Tev būtu iespēja kaut ko izdarīt ar cilvēku, kas atbildīgs par pods.lv nonešanu no Latvijas interneta skatuves (neņemot vērā, ka cieta arī citi projekti), ko Tu darītu? :>
Es domāju, ka tam cilvēkam lielas psiholoģiskas problēmas, kaut kādā veidā viņam pāri darīt būtu neprāts, jo daba jau ir paveikusi savu... Visticamāk, ka izvietotu viņa bildi podā publiskai apskatei, tas būtu pats labākais risinājums jebkurā gadījumā.
Intervijas beigas.
Šodien no CooLynXa dzirdēju pesimistisku frāzi: "nez vai ir vērts podu atkal vērt vaļā..." Nekas, domāju, ka viņam pāries. Gandrīz 3 000 hostu dienā nav maz. Cilvēkiem Tevi vajag!
Manā rīcībā nav informācijas, kāda failu sistēma bija uz servera, bet ja tā bija ext2 (diezgan ticams, jo sistēma konfigurēta 2002. gadā un kopš tā laika nav īpaši aiztikta), tad atjaunot dzēstās inodes tur pat uz servera nav jābūt īpašām problēmām.
Lai gan visi man sūdzās par calis.lv bojāeju (noderīgs resurs esot bijis; man pašam tur ir sanācis tik pāris reizes pabūt, un par laimi lielas un regulāras vajadzības man pēc viņa pagaidām nav, taču daudziem citiem ir), aiztikt komercsaitus bija stulbākais izgājiens, kādu šajā situācijā varēja pieļaut. CooLynX to hakerīti neliks aiz restēm, bet domāju, ka Whirlpool naudas un juristu pietiek. Cerēsim uz to labāko (un interesantāko).
Kā jau hakeris solījis - source ir palaista tautās. Tā agrā rītā tikusi nopublicēta uz bezmaksas hostinga sniedzēja (nē, jūs neuzminējāt, Salvis sēž mājās un grauž gurķi) Angelfire servera un 8 no rīta hackers.lv ir nopublicēta saite, ko drīz vien pēc CooLynXa lūguma izvācis BigUgga. Taču arhīvs jau bija noklīdis.
Arhīvs satur vairāk kā 1000 failus, tā MD5 summa ir
a4ed66d94c2327b9e5f209008a2fb22c
. Pretēji valdošajām baumām - arhīvs nav trojanēts - tas vienkārši satur exploitu paraugus, par kuriem CooLynX sav`laik rakstījis. Arhīvs satur tikai daļēju dzinēja pirmkodu.Internetā sāk cirkulēt arī viltoti arhīvi ar nosaukumiem "pods_lv.source" utml., taču manu uzmanību piesaistīja Daemon publicētais arhīvs ar MD5 summu
544769948f40d48b8a852cc23fbf6ded
, tas veidots vēlāk (šovakar ap deviņiem vakarā), taču satur praktiski visus trūkstošos failus un ir nedaudz lielāks. Kā gan tā? Vai Daemonam kaut kādā veidā varētu būt pieejams viss poda saturs? (LOL)Nobeigumā novēlu podam nesasteigtu, pamatīgu, bet tomēr atgriešanos, taču jau drošākās rokās. Varu piedāvāt savu kasti - ātrums mazāks par megabitu, pirmais pentiums, taču sekūra. ;> Guliet droši. Ar labunakti!
Masveida defeisi tikai sākas. Šķiet, puse no Latvijas serveriem sevī satur ievainojamo phpBB (jāpiebilst, ka ar to vien nepietiek; arī pašam serverim jābūt līki nokonfigurētam). Pirms pāris stundām kļuvis zināt par datorveikals.lv uzlaušanu. Lapu rotā teksts
hacked by NetSec.lv team. chek your securiti. gr33tz to all who knows us. special greets to Daemon from spider.hacker.la...... admin = lamer
No malas raugoties, šķiet, ka NetSec ir bijuši gudrāki un neko nav dzēsuši, bet izveidojuši jaunu mapi. Nez, kā ar klientu datiem?
Komentāri
#ihack topicaa ielikta shaada zinja.
mosh ihack.lv arii noluuziis ...
Vismaz kaut necik nedaudz clx viedokli uzzināt var...
A doma par servaku - gan jau tagad admini nedaudz vairāk par drošību padomās, bet pareizi jaur ir - "Nav bullet-proof sistēmu." - tāpēc šodien nobekapoju visu pie sevis.. :) Smiekli, ta smikli, bet nesmuki izdarījās tas mūdzis!
Lai arī es sen gribēju tikt pie clx linku apgraizītāja, tomēr uzskatu, ka sources palaišana tautās bija visnesmukākais, ko varēja darīt - pie tam vēl tajā arhīvā iemet trojāni - nu nemaz cieņu neizjūt!!
vot blje uusainais profesoors ierunaaajaas. whahahahaaaahaaahaa....
nu kane6na, ko gan citu var teikt? varu sadereet, ja uzlauztu to pashu hackers.lv tad viss tas tiktu paveersts par "vnk kkadam pumpainam tiinim, mazvertiibas kompleksu vadiitam utt..."
njaa. es arii kuulinka vietaa neteiktu, ka "nu jaa, mani appisa, jo man smadzenes ir sapistas..." izdeviigaak novirziities un saakt bljaustiities par latvijas naakotni - musu jaunatni. muah.
"Nevarēju nepamanīt, ka pēdējās diennakts laikā manā blogā iebriduši gandrīz pussimts cilvēku ar vienu vienīgi mērķi - atrast zelta podu ar pods.lv izejas kodu."
"...ne to, ko es personīgi pazīstu jau daudzus gadus, bet to slavēnāko..."
Skatos un shiem citaatiem un man kljuust tevi zheel. Parasti afisheet savu saistiibu ar kaadu populaaru cilveeku vai arii iipashi sevi pilnaa riiklee slaveet meedz tieshi nieciibas. Tu esi nieciiba, Kiril?
Un veel - paskaties savu uzdoto jautaajumu kvalitaati tanii pasaakumaa ko tu pats deevee par "ekskluziivu interviju", haha.
btw, tev shitaa lapa arii staav uz taa pirmaa pentiuma? cik raamis?
"Es saprotu, ka nebaidies no tā, ka Tavu kodu palaidīs tautā?
Nē... Tur nav nekā slikta. Es taču nekad nekad neesmu lielījies, ka būtu koderis, tieši otrādi - esmu vienmēr uzsvēris, ka nemāku PHP kodēt."
Taatad tu nemaaki php kodeet, jo tu pats tu apgalvo, tad kur pie velna ir atsauce uz kodeetaaju :DD, vai tu kaut kur nozagi sourci?
intervija veikta vakarnakt - peec kaisliiga seksa guljot viens otram blakus, veroties griestos un piipeejot
kas tas par japetu? kur karalis? kadelj karalis suuta suutnjus?
IvariX-u Tu tik ātri vairs rokā nedabūsi...
15.tajā datumā Es viņam biku spārniņus aplauzu par vienas mājas lapas uzlaušanu. Uz spriežot pēc visa Ivariņš tagad varēs saviem paziņām lielīties ar balto lapu...
p.s. Kompja viņam mājas arī vairs nav.
google gan vinju neuzraadija, neindexeejas tik aatri, cik vajag, maita.
nu, ko man tagad dariit?
piedod, veeleetos nopirkt patenta tiesiibas shim virsraxtam. kaut kaa taa? :D
1040: Too many connections
Cannot establish database connection !
un tā jau kādas pēdējās 10 minūtes!
Tik dzirdeeti vaardi...
Gribu teikt vienu NetSec.lv ar šo iespējamo defeisu nav nekādi nav saistīti un defeisus neveic principa pēc. Kāds vēlas mūsu vārdu pa dubļiem gāzt vai kāds celt savas lapas apmeklētību!!!!
Kiril uzskatu ka tā ir tava sabotāža!!!! Tas nav NetSec.lv zīmogs nu gan tagad Kiril tu pāršāvi pār strīpu!!!!!!!
DEZINFORMĀCIJA šķiet te tiek tikai publicēta!!!!
Kam vairs vajadziigi meksikaanju seriaali.. ?
Man liekas, ka pat peec muusu caurumainaas likumdosanas, autortiesiibu sakaraa ir aizsargaats jebkurs materiaals (arii nepatenteets un neregistreets utt), ja taa izveidosanai pateereets liels laiks un cilveekresursi.
Ja lieto PHP un Linux, tad vismaz sapachot vajag. Turklaat pastaav arii taadas alternatiivas, kaa J2EE (tur vismaz iespeeja suutiit sisteemas komandas uz serveri ir ljoti nieciiga jo viss notiek ieks VM) un .NET.
naakamreiz lai pieraad, ka maak tar'ot :)
koroce, vis vain tikai linux gad vecajaa un vispaar operatiiv salapiitajaa bugaa nu un PHP vai taa skriptos? nu tad es ir mieriigs, un lai CooLynX veseljo podu :)
un .NET vispaar tikai uz windozes iet, tad jau dzriizaak Mono.
Vot cuuka melo aciis skatiidamies:
***
Gribu teikt vienu NetSec.lv ar šo iespējamo defeisu nav nekādi nav saistīti un defeisus neveic principa pēc.
***
I kaa ta bija tiem livehacking?
jaa, zinu - ja liekas, var sasisties. but i don't care.
to hakeriiti protams nosist gribas, bet nu...gan jau...
Dievs nav mazais berns Arti.
Pienaca ta diena ari ka tu dalekajies.
Pods.lv bija labs privatais blogs, bet tas nenozime ka tagad visiem tav vajadzetu lugties ,lai tu turpini stradat ar to.
Lai tavus kompleksus apmieinatu?
Ir intresanti tas ka tu nemaz nenojaut kas izsledza tavu pasakumu, vai ne?
Jo tadu ir daudz , kurus tu centies noniecinat izmantojot izdevibu ka tev piedereja FF&Outpost fanu blogs + ari tulkoji rakstus no slashdota prieks tiem kuriem ar anglu zinasanam bija problemas vai izzeja arpus lv lokala bija ierobezota.
Neviens ogreland nebutu aizticis , ja tu nebutu hostejies uz ta .
Ja butu hostejies uz cita hostera , tad citam hosterim nepaveiktos.
"Mazais pokemons" - Jums laikam visiem tie ir mazi , kas jums gaismu izsledz .
Pumpaini tini?
Vai tad pumpainos tinos butu jamekle nelaimes sakne?
Vai nebutu laiks paskatities pashiem uz sevi spoguli?
Piegriezot skabekli podam, daudzi no debesim no laidas uz zemes .
Bija jau aizmirsusi kas vini patiesiba ir .
Man personigi pret pods.lv nekas preti nebija, kaut vai resursu neapmekleju jo protu lasit anglju valoda.
Zaudejums man liels ari nav , jo vairak ka FF un Outpost reklamu neredzeju , slashdotu un parejos resursus protu lasit un lasu pats, parstastijumi un tulkojumi nebut man neintreseja.
To kadi ir citi muljki un cik citiem sliktas lapas, man ar nevajadzeja un nevajag zinat, man pasam ir acis ar kuram es redzu kas i kas.
Arti taisi vien to pods.lv atpakal lai beidz naudet tauta, tikai dari tapat ka "uberhax0ri"no hackers.lv , bloke visas IP iznemot LV , jo tad nakamreiz bus daudz vairak iespeju dabut vainigo rokas.
Ta bija maciba cerams tev un tu kalpoji ari par piemeru citiem latvijas blogeriem , lai vienkrasi padoma ko nakamreiz raksta.
p.s. mandaariins riskee atrauties pa...
es clx&ko vietaa dariitu visu iespeejamo, lai civilizeetaa un tiesiskaa veidaa liktu paaridariitaajam samaksaat par nodariito.
tas, vai pods ir jaaatjauno - jaaizlemj pasham autoram.
tachu, manupraat ir jaaizveelaas pareizaa taktika reakcijai. lai ko tu arii dariitu, ir jaareekjinaas ar sekaam.
manupraat, ir muljkjiigi neizmantot LR likumdoshanu - ja kaads nav speejiigs argumenteet citaadaak kaa lauzhot kautko - taadam ir jaadod maaciiba.