Napad na ZEVS forum, 8.4.2008

[piskec]

Lep pozdrav,

glede na to, da je bil forum danes ene par ur nedosegljiv, je zdaj je že bolj jasno, kaj se je zgodilo.

Nekdo nas je napadel, zbrisal vse uporabnike iz admin grupe, počistil stvari, zbrisal uporabnika URŠA, zbrisal themo Minerva, zbrisal geslo za dostop do Baze in postavil forum v način vzdrževanja.

Vse se je dogajalo z IP naslova: 89.142.74.106. Uram je potrebno dodati +6 ur. Napad se je dogajal istočasno z dveh brskalnikov, a z enega samega IPja.

En brskalnik, uporabljen za pregledovanje je bil:
Mozilla/5.0 (Windows; U; Windows NT 5.1; sl; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13
Drugi pa IE.

Začelo se je pa takole:

Najprej pregleda User list:
89.142.74.106 - - [08/Apr/2008:03:22:34 -0500] "GET /index.php?action=mlist HTTP/1.1" 200 5656 "http://forum.zevs.si/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; sl; rv:1.8.1.13)

Gre v admin skripto:
89.142.74.106 - - [08/Apr/2008:04:37:45 -0500] "GET /index.php?action=admin HTTP/1.1" 200 3131 "http://forum.zevs.si/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; sl; rv:1.8.1.13)

Pregleda uporabnika URŠA:
GET /index.php?action=login2%3bsa=check%3bmember=5

Pregled memberjev admin grupe:
89.142.74.106 - - [08/Apr/2008:04:38:51 -0500] "GET /index.php?action=membergroups; HTTP/1.1" 200 4630 "http://forum.zevs.si/index.php?action=admin" "Mozilla/4.0

Nadaljuje z drugim brskalnikom:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

Pregled administratorjev:
89.142.74.106 - - [08/Apr/2008:04:38:53 -0500] "GET /index.php?action=membergroups;sa=members;group=1 HTTP/1.1" 200 4769 "http://forum.zevs.si/index.php?

POST - spreminjanje nečesa v grupi - brisanje adminov:
89.142.74.106 - - [08/Apr/2008:04:39:05 -0500] "POST /index.php?action=membergroups;sa=members;group=1 HTTP/1.1" 200 4428 "http://forum.zevs.si/index.php?action=membergroups;sa=members;group=1"

Sprememba nastavitev foruma (brisano geslo, vzdrževanje):
89.142.74.106 - - [08/Apr/2008:04:40:35 -0500] "GET /index.php?action=featuresettings HTTP/1.1" 200 5902 "http://forum.zevs.si/index.php?action=admin" "Mozilla/4.0 (compatible;

89.142.74.106 - - [08/Apr/2008:04:40:40 -0500] "GET /index.php?action=serversettings;sesc=770f0508ca28e4822109a4e13b775248 HTTP/1.1" 200 5109

Pa je forum šel:
89.142.74.106 - - [08/Apr/2008:04:40:48 -0500] "POST /index.php?action=serversettings2;sa=core

Logout napadalca z enega brskalnika:
89.142.74.106 - - [08/Apr/2008:04:41:25 -0500] "GET /index.php?action=logout;sesc=1125ca16633866e61d1f809d21903b9a

Potem je preveril stanje z drugim brskalnikom:
89.142.74.106 - - [08/Apr/2008:04:44:05 -0500] "GET /index.php?action=admin HTTP/1.1" 200 5890 "http://forum.zevs.si/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT

Pregled theme Minerva:
89.142.74.106 - - [08/Apr/2008:04:44:11 -0500] "GET /index.php?action=theme;sa=admin;sesc=770f0508ca28e4822109a4e13b775248 HTTP/1.1" 200 4968

Brisanje theme:
89.142.74.106 - - [08/Apr/2008:04:44:28 -0500] "GET /index.php?action=theme;sa=remove;th=3;sesc=770f0508ca28e4822109a4e13b775248 HTTP/1.1" 302 38 "http://forum.zevs.si/index.php?action=theme;sesc=770f0508ca28e4822109a4e13b775248;sa=list" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iebar; SV1; .NET CLR

Še enkrat preveri stanje
89.142.74.106 - - [08/Apr/2008:04:44:28 -0500] "GETSMF_SMF_ /index.php?action=theme;sa=list;sesc=770f0508ca28e4822109a4e13b775248 HTTP/1.1" 200 4410

Briše še drugo themo:
89.142.74.106 - - [08/Apr/2008:04:44:34 -0500] "GET /index.php?action=theme;sa=remove;th=2;sesc=770f0508ca28e4822109a4e13b775248 HTTP/1.1" 302 38

Spet nekaj nastavitev foruma:
89.142.74.106 - - [08/Apr/2008:04:46:17 -0500] "POST /index.php?action=serversettings2;sa=core HTTP/1.1" 302 38 "http://forum.zevs.si/index.php?action=serversettings;sesc=
In to je to... Forum je bil postavljen v vzdrževanje, dostop do baze nemogoč.


Dodatne napake vidne iz baze:
tabela napak - enkrat se je napačno prijavil!
smf_log_errors` VALUES(3642, 1207647468, 5, '89.142.74.106', '?action=admin', 'Poiskus prijave kot administrator!<br />Sklicuje se na: http://forum.zevs.si/index.php?action=admin<br />Uporabnikov agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; sl; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13<br />IP: 89.142.74.106', '1125ca16633866e61d1f809d21903b9a');

Po RIPE sodeč prihaja iz omrežja Telekom:
89.142.0.0 - 89.143.255.255
org:             ORG-SId2-RIPE
netname:         SI-TELEKOM-20060303
descr:           Telekom Slovenije d.d.
country:         SI
admin-c:         SIT111-RIPE

Akcija brisanja uporabnika URŠA zabeležena v bazi (URŠA je bil član številka 5):
`smf_log_actions` VALUES(1572, 1207656356, 0, '89.142.74.106', 'delete_member', 'a:1:{s:6:"member";i:5;}');


Kaj več težko povem, poleg tega pa to ni več moja stvar. Dejanje je po obstoječi zakonodaji kaznivo in ga bom prepustil pristojnim službam.

Tako, da bomo zaenkrat morali zdržati z obstoječo temo. Ker, če se je zgodilo enkrat, se lahko še drugič.

Uradno poročilo skupaj z logi poslano na SiOL, Telekom, Arnes in SI-CERT z zahtevo, da se zadeve raziščejo in da se napadalca kaznuje skladno z zakonom.

Aleš Kermauner
predsednik
Vremensko društvo ZEVS

[Cumulonimbus]

sej to ne moreš verjeti nekdo nam je resnično fouž...


lp

[Astra]

Gremo naprej, tistemu "hekerju" bomo pa prste porezali. 

[joze]

Ne morem verjeti...

[Nartabulš]

Smo pa res zanimivi na vse načine. 

[Vreme]

To se pa lahk zgodi sam na gostilniškem forumu

Maverick samo da te opomnim. To je zate zadnji javni opomin pred popolnim banom!!!

[Spc]

Jaz tak predvidevam kdo je to bil.
Drugače pa sedaj vidite kak bi bilo lepo če bi imeli vse osebne podatke gor napisane.

To vse pove:
Pregleda uporabnika URŠA:
GET /index.php?action=login2%3bsa=check%3bmember=5

Akcija brisanja uporabnika URŠA zabeležena v bazi (URŠA je bil član številka 5):
`SMF_log_actions` VALUES(1572, 1207656356, 0, '89.142.74.106', 'delete_member', 'a:1:{s:6:"member";i:5;}');

[ŽUPMART]

Nezaslišano!
Upam, da se bo tale heker močno  !!!

[Spc]

Pomojem niti hackat ni rabil.

[zigarrdo]

grozno!!! Upam da se bo zadeva rešila, pa kdo bi nam lahko škodil, saj smo zelo neškodljivi in uporabni, mislim...

[Vremenko]

Ah ja...
Tisti ki je to storil naj se sramuje (....)

Upam da se bo storilec našel.

Vprihodnje čim manj takšnih in drugačnih incidentov,in da se končno začne debatirat samo o vemenu in društvu!!
To pa je odvisno od vseh nas

[Spc]

No tota je najboljša:
Latest Member: URŠA  (Today at 13:09:27)

[Ciklon]

Le kdo je tako žleht? Naj trešči vanj. 

Upam, da bo tisti za to nesramnost primerno kaznovan , in da bo šlo zdaj vse le še v pozitivno smer.

Gremo naprej!!

[Pihe]

Tisti, ki je to zadevo ušpičil, se ne zaveda, da je šel predaleč! Za take zadeve so v Kazenskem zakonu sledeči členi, ki jih bomo z največjim veseljem uporabili člani UO, ko bomo podali ovadbo:

Neupravičen vstop v informacijski sistem

225. člen

(1) Kdor neupravičeno vstopi v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v ali iz informacijskega sistema, se kaznuje z denarno kaznijo.
(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema, se kaznuje za zaporom do dveh let.
(3) Poskus dejanja iz prejšnjega odstavka je kazniv.
(4) Če je z dejanjem iz drugega odstavka tega člena povzročena velika škoda, se storilec kaznuje z zaporom od treh mesecev do petih let.

Vdor v informacijski sistem

242. člen

(1) Kdor pri gospodarskem poslovanju neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem vnese kakšen svoj podatek, ovira prenos podatkov ali delovanje informacijskega sistema, ali kako drugače vdre v informacijski sistem, da bi sebi ali komu drugemu pridobil protipravno premoženjsko korist ali drugemu povzročil premoženjsko škodo, se kaznuje z zaporom do treh let.
(2) Če je bila z dejanjem iz prejšnjega odstavka pridobljena velika premoženjska korist ali povzročena velika premoženjska škoda in je šlo storilcu za to, da sebi ali komu drugemu pridobi tako premoženjsko korist ali drugemu povzroči tako premoženjsko škodo, se kaznuje z zaporom do petih let.

Samovoljnost

313. člen

(1) Kdor si samovoljno vzame svojo pravico, ali pravico, za katero misli, da mu gre, se kaznuje z denarno kaznijo ali z zaporom do šestih mesecev.
(2) Kdor si samovoljno vzame svojo pravico ali pravico za katero misli, da mu gre, z uporabo sile ali resne grožnje z napadom na življenje ali telo, se kaznuje z zaporom do dveh let.
(3) Enako se kaznuje, kdor stori dejanje iz prejšnjega odstavka za drugega.
(4) Pregon za dejanje iz prvega odstavka tega člena se začne na zasebno tožbo, za dejanji iz drugega in tretjega odstavka pa na predlog.

Toliko zaenkrat!

[paradolf]

To se pa lahk zgodi sam na gostilniškem forumu

Sori, sploh ne vem zakaj si sploh še prijavljen na tem forumu  


Kar se pa tiče tega danes.
Upam samo da ni bil kdo od nam znanih uporabnikov foruma, ker to bi bilo pa res žalostno.