15.05.2023 | 00:03

Antoni Mróz

Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie

Co może stać się złego, jeśli jakieś dzieci odkryją sposób dodania swojego kodu do strony głównej popularnego serwisu dla uczniów? Zamiast spekulować, przeanalizujemy sytuację na prawdziwym przykładzie wczorajszego włamania na ściąga.pl.

W ubiegłą niedzielę przeciętny zjadacz czipsów oraz Coca-Coli, zamiast skopiować pracę domową z pszyrki na następny dzień, mógł co najwyżej pocieszyć się tym oto obrazkiem:

Strona została rzekomo przejęta przez organy ścigania

Ściąga.pl to portal, który tworzą użytkownicy. Każdy może zamieścić tam swoje zadania do rozwiązania (albo rozwiązania do zadań innych użytkowników), teksty, notatki oraz inne przydatne ściągi. Jak się łatwo domyśleć, serwis opiera się o to, co użytkownicy tam napiszą. Tutaj właśnie leży pies pogrzebany. Trzeba bowiem zapamiętać, że nie wolno ufać niczemu, co użytkownicy napiszą. Nie tylko informacjom wynikającym z treści, ale dosłownie każdemu znakowi. Bo – niestety – czasem stronę można bardzo łatwo popsuć albo chociaż zmusić do działania ciut innego od zamierzonego przez autorów.

Trudno powiedzieć, kiedy początek defacementu miał miejsce. Wiadomo, że na pewno już trwał około godziny 17. Wskazują na to zapisane zrzuty stron w serwisach Archive.org oraz Archive.is.

Deface pojawił się w Internet Archive już w zapisie o 17:01
W Archive.Is jeszcze wcześniej, bo o 16:58. Ktoś musiał nas wyprzedzić i pobiegł robić zrzuty. I dobrze!

Co sprawiło, że zamiast streszczenia Lalki wyświetlało się Federal Biuro? Ktoś postanowił skorzystać z funkcji dodawania pytań do serwisu w troszkę innym celu. Zamiast pytania został osadzony kod JavaScript.

Zdjęcie w Wysokiej Rozdzielczości przedstawiające osadzony złośliwy kod
Kolejne Bardzo Czytelne Zdjęcie (BCzZ®). Ten sam kod został wklejony po raz drugi tuż obok pierwszego, tak dla pewności, żeby zadziałał

Jak widać (albo i nie) – kod został zaciemniony potężną funkcją Base64. Po zdekodowaniu nie uświadczymy już żadnego innego zaciemnienia, tylko trochę spamu.

Jeden z kilku brzydkich ASCII-artów. Konekofficial
Fragmenty Biblii, ale z zepsutymi polskimi znakami. Raczej moja wina przy dekodowaniu, trudno
Treść licencji Generalnie Narąbanego Użytkownika (GNU GPL)

Jednakże, gdy odgruzujemy kod, można się ostatecznie dokopać do gnijącego, aczkolwiek nadal będącego ciekawym kąskiem „mięska”.

W kodzie znajduje się mechanizm pobierania adresu IP użytkownika. Całe szczęście, że skrypt opatrzono profesjonalnym komentarzem, bo inaczej nie wiedziałbym, co robi.

Jaja jak berety

Potem skrypt czeka na to, aż biblioteka JQuery da znać, że strona już się załadowała, a następnie wyświetla w konsoli link do fasoli. Tak.

Łącznie zdefiniowano 14 obrazków fasoli
Mechanizm losowania fasoli. Prawdopodobnie płacone od ilości linijek

Następnie meta tagi strony zostają zamienione na te z NASA.

Czemu nie ma tutaj nic ciekawego???

Potem dzieje się część właściwa – ciało strony zostaje zamienione na obrazek z hostingu ibb.co, a tytuł strony zostaje podmieniony na „Domain Seizure”. Swoją drogą, po co najpierw zerować body?

Przy okazji: prawdziwie hakerski sposób na dodanie stylowania

Pamiętający Telezakupy kojarzą zapewne frazę „ALE TO JESZCZE NIE WSZYSTKO”. Tak się składa, że pasuje ona do tej sytuacji, gdyż dzieje się jeszcze jedna rzecz. Atakujący przechwycony adres IP oraz ciasteczka (tylko ze Ściągi, rzecz jasna) wysyła na swój serwer pod adresem:

http://sciagapl.ugu.pl/index.php?schkSFGsdyufhjkmn
Pamiętajcie, hak musi mieć ręce, nogi i adres IP

Aby dane zostały faktycznie przesłane, zapytanie jest proxowane przez dodatkową usługę, pozwalającą ominąć problemy powodowane przez mechanizm CORS. Dzięki temu wykradzione dane zawsze trafią na serwer atakującego, niezależnie od tego, czy sam serwer wspiera ten mechanizm czy nie.

Na samym końcu zostaje skrypt spamujący w konsoli przeglądarki informacją o migracji. Co dziwne, ani ten komunikat, ani fasolki nie wyświetlały się w mojej. Przykro mi.

[”Pot”+”ężna”][”o”+”b”+”fuskacj”+”a”]

Pośmialiśmy się, ale…

…spróbujmy dociec, kto za tym wszystkim stoi. Po oczyszczeniu strony z deface’a, można było zauważyć podejrzane wpisy publikowane z jednego profilu pod nickiem ciakvhno.

Podbita liczba punktów, marna próba SQL Injection i inne testowe posty
Tyle punktów do zdobycia, okazja!

Nasz główny „difejsujący” dorobił się też obserwatorów! Po nickach wnioskuję, że to wszystko jest jedna paczka (albo multikonta jednej osoby).

A przed wami kolejno: hujhuj1337, szefittoih oraz szmata420

Pierwszy z tych profili okazał się najciekawszy. Zawierał gorzkie żale o ludziach bezdomnych w taxi oraz ogłoszenie o pracę.

Profil hujhuj1337

Swoją drogą, nigdy jeszcze nie widziałem tak odmienionego słowa PaySafeCard:

Ogłoszenie. Może jest dalej aktualne?

Po ataku

Radosny stan Ściągi trwał co najmniej od 17:00. O 22:50 natknąłem się na alert z nazwą domeny. Nie wiem, czy natknąłem się na kolejny payload, czy może admini coś testowali.

WNIMANJE WNIMANJE

Krótko potem serwis został przełączony w tryb przerwy technicznej. Po perturbacjach związanych z błędami HTTP 500, punktualnie 19 minut po północy strona wróciła do życia, gdzie atakujących nie było już ani śladu. Nic a nic. Zero. Nie zmyślam.

Jak widać, próby XSS odbyły się już 11 maja – kilka dni przed akcją właściwą

Niestety, skasowanie profilu nie skasowało wszystkich wpisów użytkownika.

Co robić, jak ściągać?

Jeśli odwiedziliście stronę ściąga.pl w niedzielę, to lepiej wierzyć w to, że serwis unieważnił wszystkie sesje klientów, także te wykradzione. Możecie też spróbować (jeśli po wejściu na stronę dalej jesteście zalogowani) wylogować się – to powinno uniemożliwić włamywaczom skorzystanie z wykradzionych ciasteczek.

Powrót

Komentarze

  • 2023.05.15 11:37 e34teg

    wystarczy użyć GPT-4 albo któregoś z darmowych jak Bard nawet offline i proste rzeczy rozwiąze.
    twitter pozwalał zmieniac kolorki na stronie i też się przejechał a tu wręcz wszystko można było.

    Swoją drogą ktos założył konto na publicznym serwerze wystarczy do ugu.pl napisać by dali wiecej szczegółów. Wyglada, jak by ktoś chciał aktywnie szukać pracy i pokazał że 'coś umi’.

    Odpowiedz
    • 2023.05.15 17:03 szmata420

      hola vpn stary

      Odpowiedz
      • 2023.05.16 21:30 Stefan

        Jeśli już czytasz portal Adama jesteś zobowiązany do obejrzenia jego materiału na temat VPNów. Jeśli korzystasz z Hola VPN to ja płacąc $2 miesięcznie mogę korzystać z twojego domowego adresu ip. Nie ma nic darmowego na świecie.

        Odpowiedz
  • 2023.05.15 11:59 Duży Pies

    Żałosne! Naprawdę żałosne że kiedyś tak dobry serwis jak Z3S, publikuje o włamie na stronę dla niedouczonych smarków, zbyt tępych żeby ogarnąć zadanie domowe… Szczyt obciachu!

    Odpowiedz
    • 2023.05.15 15:22 xddx

      to nie strona dla niedouczonych smarkow, czesto tam czytalem streszczenia do lektur więc przestan gadac bzdury.

      Odpowiedz
    • 2023.05.15 16:30 Malykot

      Pan dorosły poważny hacker się znalazl XDDDD

      Dotknij ziemi prowansalu

      Odpowiedz
    • 2023.05.15 17:05 hyhyhycel

      „smarków” „obciachu” ok boomer

      Odpowiedz
    • 2023.05.16 09:04 knorrita

      a mnie śmieszy

      przypominają się szczenięce czasy ehhh kiedyś to było

      Odpowiedz
    • 2023.05.16 12:24 chester

      To serwis o bezpieczeństwie. Był włam na popularną w Polsce stronę? Był. No to zanalizowali to od strony technicznej. Zapewne kiedyś dowiemy się, kto za tym stał i czemu to zrobił. Styl artykułu taki-sobie, ale ja tam uważam, że treść jest OK i pasuje.
      A to, co sądzę o korzystaniu z tego serwisu przez młodzież to osobna historia i wg mnie nie ma sensu tutaj tego ciągnąć. To jest strona o dużej odwiedzalności i bezpieczeństwo ludzi ją odwiedzających jest istotne nawet, jeśli mamy nieprzychylne zdanie o ich inteligencji. Warto o tym pisać.

      Odpowiedz
      • 2023.05.16 16:57 szmata420

        w zyciu mnie nie zlapiecie

        Odpowiedz
  • 2023.05.15 14:34 Maro

    Coś znajome te celowe błędy ortograficzne, jakbym już gdzieś je widział.

    Odpowiedz
  • 2023.05.15 18:27 nobody

    Nie sposób się nie zgodzić z Dużym Psem. Nie bardzo rozumiem jaki jest cel tego wpisu? Technicznie nic ciekawego, a co gorsza promocja dla troglodytów, którzy dokonali tego wyczynu.

    Odpowiedz
    • 2023.05.16 11:00 MM

      To jest ciekawe na tej samej zasadzie, co /r/badcode. Ot, taki trochę humorystyczny post dla rozluźnienia po poniedziałku. ;)

      No i pamiętaj, że nie każdy odbiorca Z3S jest tutaj tylko po to, by czytać dogłębne analizy luk w sprzęcie wykorzystywanym w kopalniach odkrywkowych w 2005 roku, a wykorzystanych poprzez kalkulator byłego ciecia pozostawiony tam po jego przejściu na emeryturę w 1997.

      Trochę mniej zaawansowany atak to też atak, a chyba nawet powszechniejszy i warto o nim wiedzieć.

      Odpowiedz
  • 2023.05.15 19:28 Zażenowany

    Nie wiem czy większy cringe czułem czytając ten arytkuł, czy snippety js XD

    Odpowiedz
  • 2023.05.15 21:26 Człowiek

    To był najgorzej napisany artykuł jaki czytałem w swoim życiu.

    Odpowiedz
    • 2023.05.16 12:48 DAV3

      True, true…

      Odpowiedz
  • 2023.05.15 21:38 root

    Coś takiego jak iso-8859-2, dziwnie wyleciało z pamięci, podobnie jak zasady ortografii? Wykorzystane słowo pisze się przez 'ch’ a nie przez 'h’ o czy zapewne scirpt kid nie wiedział. Gimbaza. Implementowany kod zawiera całe stado innych błędów. W sumie trudno wstać z podłogi bez sprawdzenia głębokości wygryzionej w niej dziury (ze śmiechu) jak również stanu uzębienia.

    Odpowiedz
    • 2023.05.30 09:32 xyz

      chyba nikt cię nie uświadomił, że istnieje coś takiego jak celowe robienie błędów ortograficznych

      Odpowiedz
  • 2023.05.16 08:34 Paweł

    To jest najgorzej napisany artykuł jaki kiedykolwiek pojawił się w tym wartościowym serwisie.

    Odpowiedz
  • 2023.05.16 11:44 czesław

    Spokojnie z ta krytyką i hejtem. To pierwszy art tego autora na z3s. Rozumiem, że się nie spodobało, ale pls bez hejtu :->

    Odpowiedz
  • 2023.05.16 20:57 mixo

    Autor z dużą dozą humoru i dystansem, sądząc po stylu tekstu. Świetnie się czyta. Wiele ciekawych spostrzeżeń, wnikliwa analiza, zobrazowanie tematu, i oby więcej takich lekkich w formie artykułów o istotnych sprawach i sprawkach. Niektórzy, widzę, spoceni aż od krzykliwej, niekonstruktywnej krytyki xd.

    Odpowiedz
    • 2023.05.17 06:54 Duży Pies

      Nikogo nie „widzisz”, tylko projektujesz sobie w umyśle.
      Nawet nie wiesz jak wyglądamy i czym się zajmujemy.
      Jesteś kolejnym „mondrym”, ale tylko w internetach xD

      Odpowiedz
  • 2023.05.16 23:58 andrzej

    Jeden z lepszych artykułów od dawna, nie pozdrawiam bezbeków.

    Odpowiedz
  • 2023.05.17 06:06 hashtak

    Super artykuł. Ściąga.pl znowu zawiera ściągi, tym razem dla młodocianych haherów.

    Odpowiedz
  • 2023.05.17 13:18 Dash

    Przypominają się pierwsze Polskie ataki hackerskie z lat 90. W sensie chodzi bardziej o sam fakt prostoty

    Odpowiedz

Zostaw odpowiedź do chester

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie

Komentarze