Najnowsze

Opublikowano Grudzień 9, 2013 Przez a303 W Inne

Witryna łódzkiego kuratorium zdewastowana przez sieciowych wandali

aCzym może zakończyć się opublikowanie w sieci loginu i hasła administratora witryny kuratorium oświaty wraz z adresem panelu zarządzania? Odpowiedź na to pytanie można było znaleźć w ciągu ostatniej godziny na stronie łódzkiego kuratorium.

W świecie rzeczywistym zaproszenie przez Facebooka kilkuset lub kilku tysięcy osób na domówkę swoją lub znajomego z reguły kończy się potężną demolką i interwencją policji. Nie inaczej wygląda podobne wydarzenie w świecie wirtualnym, choć nie było ani Facebooka, ani domówki.

Metoda włamania

Tuż przed godziną 19 w serwisie karachan.org (oczywiście na boardzie /b/) pojawił się wpis, zapraszający do odwiedzin w panelu administracyjnym serwisu internetowego łódzkiego kuratorium oświaty.

a

Wśród różnych komentarzy, pojawiających się w wątku, oprócz zapowiedzi wizyt tzw. bagiet o godzinie 6 rano, przewinęła się również informacja, prawdopodobnie od autora pierwszego wpisu, o metodzie włamania:

w sumie to to było banalne, http://www.kuratorium.lodz.pl/page/file.php?file=../[usunięte] to protip  potem tylko dopisac usera do bazy

Wygląda zatem na to, że w witrynie zidentyfikowano błąd typu local file inclusion arbitraty file download, który pozwolił na odczytanie pliku konfiguracyjnego, zawierającego dane logowania do bazy a następnie stworzono dodatkowe konto administratora i udostępniono je internautom.

Demokratyczna edycja witryny

Już kilka minut po publikacji pierwszego wpisu witryna nosiła pierwsze ślady działalności grupy użytkowników karachan.org.

a

Przez kolejną godzinę trwał niekończący się ciąg zmian edycyjnych. Koło godziny 20 witryna wyglądała tak:

a

Powyższe przykłady pokazują, czym kończy się społecznościowy model edycji treści serwisu. Krótko po godzinie 20 strona przestała działać, co jest całkiem niezłym czasem reakcji administratora (chyba, ze to któryś z internautów dostał się do systemu operacyjnego serwera).

Nie jest to pierwszy tego typu przypadek – wcześniej podobnego najazdu użytkowników karachana doświadczyła już witryna Centralnej Komisji Edukacyjnej oraz strona powiatu sierpeckiego.

Za informację o włamaniu dziękujemy Piotrowi.

Źródło: http://zaufanatrzeciastrona.pl/post/witryna-lodzkiego-kuratorium-zdewastowana-przez-internetowych-wandali/

Tags : ,

Komentowanie zamknięte.