Czym może zakończyć się opublikowanie w sieci loginu i hasła administratora witryny kuratorium oświaty wraz z adresem panelu zarządzania? Odpowiedź na to pytanie można było znaleźć w ciągu ostatniej godziny na stronie łódzkiego kuratorium.
W świecie rzeczywistym zaproszenie przez Facebooka kilkuset lub kilku tysięcy osób na domówkę swoją lub znajomego z reguły kończy się potężną demolką i interwencją policji. Nie inaczej wygląda podobne wydarzenie w świecie wirtualnym, choć nie było ani Facebooka, ani domówki.
Metoda włamania
Tuż przed godziną 19 w serwisie karachan.org (oczywiście na boardzie /b/) pojawił się wpis, zapraszający do odwiedzin w panelu administracyjnym serwisu internetowego łódzkiego kuratorium oświaty.
Post z karachan.org
Wśród różnych komentarzy, pojawiających się w wątku, oprócz zapowiedzi wizyt tzw. bagiet o godzinie 6 rano, przewinęła się również informacja, prawdopodobnie od autora pierwszego wpisu, o metodzie włamania:
w sumie to to było banalne, http://www.kuratorium.lodz.pl/page/file.php?file=../[usunięte] to protip potem tylko dopisac usera do bazy
Wygląda zatem na to, że w witrynie zidentyfikowano błąd typu local file inclusion arbitraty file download, który pozwolił na odczytanie pliku konfiguracyjnego, zawierającego dane logowania do bazy a następnie stworzono dodatkowe konto administratora i udostępniono je internautom.
Demokratyczna edycja witryny
Już kilka minut po publikacji pierwszego wpisu witryna nosiła pierwsze ślady działalności grupy użytkowników karachan.org.
Wygląd strony ok. godziny 19
Przez kolejną godzinę trwał niekończący się ciąg zmian edycyjnych. Koło godziny 20 witryna wyglądała tak:
Wygląd strony ok. godziny 20
Powyższe przykłady pokazują, czym kończy się społecznościowy model edycji treści serwisu. Krótko po godzinie 20 strona przestała działać, co jest całkiem niezłym czasem reakcji administratora (chyba, ze to któryś z internautów dostał się do systemu operacyjnego serwera).
Nie jest to pierwszy tego typu przypadek – wcześniej podobnego najazdu użytkowników karachana doświadczyła już witryna Centralnej Komisji Edukacyjnej oraz strona powiatu sierpeckiego.
Za informację o włamaniu dziękujemy Piotrowi.
Komentarze
Tak to jest jak dzieciaki przestają grać w minecrafta…
jezu przyznajcie sie wreszcie do wlasnych zbrodni wykopkowie!!!1 Papieza Polaka obrazacie i jeszcze sie podpisujecie, jak wam nie wstyd
Gimnazjada
…ale to w sumie świadczy o poziomie zabezpieczeń ;)
taki nowy
tutaj zrzut całego wątku (ostatni zrzut jaki mam zapisany): http://imgur.com/kwj5zsR
Autor tego artykułu lurkuje?
Aby wejsc na strone karachan.org, nalezy zainstalowac ponizszy userscript (wymagany greasemonkey dla firefoksa badz tampermonkey dla chrome):
http://userscripts.org/scripts/review/172730
Zawsze aktualne instrukcje znajduja sie na http://fb.com/polski4chan
Nie wchodzić w to! WIRUS TROJAN! Spaliło mi zasilacz, piszę z laptopa siostry!
nikt nie zadziera z wykop.pl
nie igrajcie z wykopem, podludzie!
usun toooooooo!!
ale przerzucanie odpowiedzialnosci na inny portal najlepsze
Wszyscy wiedze ze karachan nic nie moze juz zrobic a za wszystkim stoja psy czaksa z pl.vichan.net
Zlewe juz jado xD
co ten wykop znowu zwala wine na jakas nieistniejaca strone
karahan co to wgle jest tam mam napisane ze ta strona jest zablokowana wgle
Imho to nie błąd typu LFI (nie jestem pewny dokladnie bo nie zamierzam klikac w link). W bledach LFI kod zawarty w config.php zostalby zinterpretowany, dlatego strzelam w SCD (source code disclosure) albo w to co bardziej prawdopodobne AFD (arbitrary file download).
potwierdzam, klasyczne AFD
Autor to chyba remontuje kuchnię, bo tak bardzo marzy o zlewę.
tez mi sie tak zdaje
Nie chce nic mówić ale wystarczy kliknąc w link do artykułu i choć strona już chodzi to błąd w zabezpieczeniach dalej niezałatany. Pobrałem w ten sposób przed chwilą config a teraz czekam na wizytę policji. XD
Tak się kończy promowanie ideologii gender i edukacja seksualna dla dzieci, młodzież ma energię która staje się zabójcza gdy brakuje wartości żeby ją ukierunkować, dowodem mogą być te wstrętne ataki na papieża i polskość. Większość Polskich ateistów to właśnie taka gimbaza bez własnego zdania za to wulgarna i złośliwa, nie żadni chłodni intelektualiści jak to sobie niektórzy wyobrażają.
Chłodny troll karaluszku
Ta wy obrażacie i wam wolno?
Hipokryta
Ja słyszałam, że to prowokacja strony Wykop.pl – oni założyli taki temat na narodowo-katolickim forum karachan.org, a potem wykorzystywali anonimowość i podszywali się pod użytkowników tego serwisu. Wykop.pl ma chyba jakąś tajny chat, gdzie organizuje różne tego typu akcje i zawsze zgania na forum karachan.org – po prostu ich nie lubią, wykopowicze to ludzie bez moralności, często nie pracujący, chorzy i z dziwnym poczuciem humoru, nie podoba im się, że na karachanie dyskutuje się o polityce, sporcie, pracy, studiach, są umieszczane porady np. o gotowaniu, zawiłościach prawnych lub o randkowaniu. Użytkowniki serwisu karachan.ork promują zdrowy, przyszłościowy styl życia, zaś wykopianie wręcz przeciwnie – cały czas grali by w gry i masturbowali się. To już nie jeden taki przypadek, gdzie lewaccy prowokatorzy z wykopu atakowali jakieś strony i podszywali się właśnie pod kara, albo szkalowali wielkiego Papieża Polaka i to publicznie i oczywiście umieszczali logo karachan.ork na obrażających obrazkach tego typu. To nie do pomyślenia, ja kiedyś pamiętam, że wchodziłam na to forum i ktoś się zastanawiał czy ma iść do kościoła i wszyscy mu mówili, żeby szedł, bo to bardzo religijni ludzie, a a wykopie tematy o kupie, biciu psa łopatą i pisaniu obrażających tekstów o papieżu na 10-cio złotówkach, bo więcej nie mieli. Bardzo nieładnie i niegrzecznie.
Pozdrawiam, Ania B.
Prawda ! Ja sie po karachenie nawrocilem na Boga !! My tam dyskutujemy o wierze , religii i to sie LEWAKOM nie podoba !!~ Promowany jest kazdy papierz , tylko te lkawackie swinie przerabiaja nasze sw. obrazki …
I przy okazji straciłeś umiejętność pisania?
Nie uczeni w pismie dostapia laski bozej !!!!!! jeno ci maluczcy ,co sie nawrocili , albowiem milszy Panu jest syn marnotrawny , ktory wraca na lono laski nie doznawszy …
Adam, 3/4 komentarzy bym jednak wywalił stąd…
Staram się co do zasady nie kasować komentarzy, jeśli naprawdę nie muszę. W tym wątku i tak już rekordowo dużo poleciało do kosza, więc reszta niech zostanie.
Znowu mamy „zabójcze” hasła administratora.
czytaj ze zrozumieniem, ten admin został dodany do bazy przez włamywaczy
Zastanawiające jest to, że niby 4chan pełen jest kretynów to jednak udaje im się regularnie zaplanować jakąś ciekawą akcję którą można nawet nazwać „śmieszną” (głównie z tego powodu, że śmieją się z ludzkiej głupoty).
Natomiast jak nasza Polska „wspaniała młodzież” za coś się weźmie to cóż…chyba kary cielesne powinny jednak wrócić do szkół, może chociaż trochę wybiją debilizmy.