Улыбка сменилась гримасой
Турецкие хакеры взломали братский сайт
На прошлой неделе хакерскому взлому подвергся популярный братский молодежный Интернет-портал Смайл. Про него мы писали, когда его создатели заняли второе место в конкурсе web-дизайна http://pressmen.info/art/webdiz.htm. Итак, те, кто зашел по ссылке smile.bratsk.ru 3 сентября могли увидеть нижеследующую картинку. При этом все содержимое портала, в основном это были сообщения пользователей и фотографии Братска, было уничтожены.
Мы связались с системным администратором Смайла Владимиром Шмидтом. Он рассказал, как все произошло. Оказалось что, атаки на сайт начались еще за неделю до самого взлома.
- Владимир, каким образом ты отбивал их?
- Да просто банил по IP.
- Откуда они шли, из Братска?
- Сложно точно сказать, но это было не через братских провайдеров, скорее всего, эти хакеры не из нашего города.
- Как произошел собственно взлом?
- Как я уже говорил, неделю я успешно боролся, а тут пришел с работы, а уже все взломано. Руки опустились. Я первый раз с таким сталкиваюсь, опыт администрирования пока небольшой, и это первый взлом, который я перенес.
- В чем был прокол, какой дырой они воспользовались?
- Движок сайта у нас бесплатный. Основа известный и популярный Nuke, немного переделанный мной. Но видимо остались дырки. У нас там много наворотов добавленных, различных скриптов.
- Итак, весь контент был снесен, но сейчас сайт работает, как идет заполнение информацией?
- Портал потихоньку восстанавливается, пользователи регистрируются заново. Сейчас уже около 50 человек прошло регистрацию. Со временем, думаю, все станет на свои места.
- Как будешь защищаться от следующих непрошенных гостей?
- Уже защитился. Во-первых, обновил версию движка (новая версия более надежна). Во-вторых, вход в панель админа теперь не будет работать с других компьютеров, даже если они знают пароль, вход только с моего IP. Ну, и все что можно запаролил.
Молодежный сайт стоит на самом крупном хосте Братска, bratsk.ru, его предоставляет «Деловая сеть Братска». Сейчас на этом хосте находится несколько сайтов, но пострадал только smile.bratsk.ru. То есть была целенаправленная атака именно на этот портал. Мы связались с системным администратором «Деловой сети» Игорем Борисовым, чтобы спросить, может быть, их организация засекла IP этих хакеров. К сожалению, нет. Но Игорь рассказал некоторые подробности.
- На Смайл заходили не только из России, у нас ведется учет IP и видно, что были и штатовские адреса и германские и турецкие главное есть. (На скриншоте видно, что хакеры якобы из Турции.) В принципе, это мало что означает, хакер с таким адресом может сидеть и в соседнем доме.
- «Деловая сеть Братска» чувствует какую-нибудь ответственность за случившееся?
- Ну, тут вся вина лежит на администраторе сайта. Контент был взломан через его панель, если бы он был за компьютером во время взлома, этого бы не было. Конечно, неприятно, что пострадал наш клиент, но следить за сайтом должен в первую очередь его владелец...
- Вы собираетесь в будущем защитить ваших клиентов от подобных неприятностей?
- Да, мы защитились от атак подобного рода, в той степени, в которой смогли.
Мы проверили по Интернету что из себя представляют хакеры SuSKuN и eTNR, взявшие ответственность за взлом. Оказалось, что в начале сентября они развили бешеную деятельность. Поисковик Google вывел около десятка сайтов, на которых прямо сейчас стоят мусульманские лозунги, такие как нашем скриншоте или похожие. Это называется дефейс портала.
Как удалось выяснить на одном из форумов http://www.rus-phpnuke.com специализация этих хакеров – система Nuke. Им удалось найти в Nuke уязвимое место и они активно этим пользуются. Ситуация везде такая же как и в Братске, взламывалось через панель админа, с хостом же порядок.
Еще больший взрыв активности хакера SuSKuN (тогда еще в одиночку) был в марте этого года, это вызвало большой резонанс среди системных администраторов. Сейчас, судя по всему, второй этап джихада. Интересно, а куда смотрят российские хакеры и почему позволяют всяким туркам безобразничать в зоне .ru?
Роман Августовский.