30.12.2006 napadl dosud neidentifikovaný hajzlík redakční systém, který zajišťuje zobrazování těchto stránek. Přišel jsem na to krátce po poledni 31.12.2006.

Hned po tomto zjištění jsem se podíval na naposledy změněné soubory v adresářové struktuře webu. Nalezl jsem jich hned několik. Byly to soubory index.php, upl.php, log.txt, hacked.gif a obrtester.png. K některým z nich jsem se, jako autor nebo spoluautor většiny souborů tohoto webu, neznal.

Podle časů vytvoření těchto souborů jsem prostudoval systemové logy. Na stopu útočníka mě přivedl log od webového serveru. Zde jsem nalezl mj. následující záznam:

87.236.197.182 - - [30/Dec/2006:20:58:11 +0100] "POST /upl.php HTTP/1.1" 200 155

To byla celkem jasná stopa a tak jsem začal pátrat dál. Z logu webového serveru jsem získal celý záznam http komunikace. Z toho bylo jasné, že k nabourání webu bylo použito nějaké chyby v kódu skriptu zobrazovac.php, který je volitelným doplnkem k použitému redakčnímu systému phprs.

Nebudu na tomto místě detaině popisovat jakým způsobem bylo napadení provedeno. Nicméně, výsledkem několika jednoduchých kroků bylo získání seznamu uživatelů a jejich zakódovaných hesel, náhrada jednoho z hesel vlastním, nahrání všeh uvedených souborů a opětovné nastavení hesla u použitého účtu. Jak jednoduché.

Po zjištění škod, příčiny jejich vzniku, opravy skriptu zobraz.php a obnovení souborů ze zálohy jsem se pustil po hajzlíkově stopě. Zanechal jich totiž opravdu velké množství.

Kromě IP adresy, pod kterou byl identifikován v logu serveru mineral.cz mi při pokusu o napadení stránek rockshopu zanechal i další informace, mj. i jeho emailovou adresu, která kupodivu na seznamu opravdu existovala

prooyam@seznam.cz


a také adresu serveru, ze kterého byl podsunuk do skriptu zobraz.php škodlivý kód

http://bbf.wu.cz/hack.txt

Souběžně jsem se tedy obrátil na provozovatele freehostingu zmíněného serveru a na internetového poskytovatele, který má ve své správě adresní prostor s konkrétní IP adresou - 87.236.197.182. Velkým překvapením pro mě byla takřka okamžitá reakce všech, na které jsem se obrátil.

Provozovatel hostingového serveru wu.cz, firma InternetCentrum okamžitě zablokovala provoz pirátova webu.

O IP adrese jsem se po několika jednoduchých dotazech do DNS

$ host 87.236.197.182 182.197.236.87.in-addr.arpa domain name pointer ch1.cproxy.cz

dozvěděl to, že patří provozovateli veřejného proxy serveru, který mj. slouží k zakrytí pravé adresy pachatele. Od provozovatele tohoto serveru jsem získal informaci o IP adrese, která se skrývala v danou chvíli za adresou jeho proxy serveru a která patří jednomu z mobilních operátorů. Je přidělována zákazníkům, kteří se připojují na internet mobilním telefonem nebo nějakým mobilním modemem. Dohledání příslušného zařízení (a tedy i člověka), které má tuto adresu přidělenou buď na pevno a nebo je mu přidělována nějakým DHCP serverem je již jen jednoduchou administrativní záležitostí.

Informací mám tedy dost, čekám ještě na vyjádření telefonní společnosti a pak podám na polici ČR trestní oznámení na mého známého - neznámého pachatele. A dá-li šutráckej pambíček, hajzlík si uvědomí, že jeho počínání není nepostižitelné a on sám není nadpřirozeně geniálním nadčlověkem ale naopak, nadpřirozeným idiotem.

Tedy ne průjem, ale opravdu pěkná sračka ... nebo spíš sráč!

Reklama

MINERÁL.CZ
©1999-2018 mineral.cz & autoři příspěvků

Pro aktivaci košíku musíte zadat svůj email