хакерская атака на сервер Саркор

[m0use 1]

8 Июля 2006 г – эта дата навсегда останется в наших сердцах, как день молниеносной и коварной атаки хакеров на сервер Sarkor Telekom, а точнее на саркоровский форум!

Местное ташкентское время 23 часа 51 минута, я заканчиваю докачку очередного архива с ветки Свободное время->Отдых->Мини игры, как вдруг у меня в очередной раз происходит дисконнект; со словами ё*твоюмать я начинаю перезванивать на модемный пул 1127077, но модем уже на стадии “проверка имени и пароля” выдает месагу “ошибка 718”. Я с упорством пробую остальные пулы : 1386000, 3617777, 1127000 – результат один и тот же. Я перезагружаю машину, захожу в диспетчер устройств, кликаю на свойствах своего модема и в разделе диагностика жму “опросить модем” = всё вроде бы ОК ; на всякий пожарный переустанавливаю дрова. Пробую заново дозвониться, ответ винды “718 и ниепёт”. Я вспоминаю про лестные отзывы в адрес неспящей Саркоровской техподдержки и тут же бегу к телефону, набираю 1320000, ожидаю голосок автоответчика, но взамен слышу грубое “бу телефон билан вактинча богланиш мумкин эмас”. Я о*уеваю = в каком это веке саркоровцы нагло отключались ?! И тут в мою лаймерскую тыкву приходит идея о безколбэковом номере дозвона, достаю из заброшенного ящика какой-то потрепанный буклет с рекламой Саркора и вбиваю 1449310. И что вы думаете, попадаю, в таскбаре загорается долгожданное сообщение о скорости подключения. В строке браузера набираю http://forum.sarkor.com и БАЦ весь экран черный, посередине физиономия длинноволосого седого чувака в джинсовке, сидит и улыбается как Джоконда в Лувре; под фоткой надпись из 4х строк :

icq 12584

magent 1@list.ru

site Limit.In

greetz 2 Salavat

Стараюсь прокрутить скролом в конец страницы и вижу что названия веток и тем форума остались, но их цвет и расположение изменились = цвет превратился из светло голубого в темно синий, а размер букв – увеличился. В этот момент я наконец-то все понял. И на Саркор нашлась своя проруха, кто-то очень сильно постарался и хакнул сайт целиком. Точней выражаясь не КТО-ТО, а хакерок «scriptkiddie» по прозвищу Салават «Юлаев»

Поразмышляв не долго я решил просмотреть HTML-код данной страницы, и к своему удивлению обнаружил среди набранного языка гиппертекстовой разметки странные фразы на русском языке :

<TABLE align=center><B>

<H1><SAN style="COLOR: red">Превед админчеги!</H1></SAN></B>

<HTML><HEAD><TITLE>HacKeD By LiMiT</TITLE>

<H1><SAN style="COLOR: red">HacKeD By LiMiT</H1></SAN></B>

Так где же все эти красные секретные послания от Салаватика на хакнутой страничке?

Позабыв про комбинацию “Ctrl + A” и команду правой кнопки “Выделить все”, я преступил к ручному выделению мышкой всей страницы и мои старания дали о себе знать, как только я оказался на автопортрете Салавата. Над фоткой гласила фраза “Превед админчеги!” , а под фоткой “HacKeD By LiMiT”. После я дозвонился и посетил офиц. сайт www.sarkor.com , но там было все в норме. Затем перезвонил снова на форум и обновил страницу. Фотки уже не было, насмешливые две фразы не исчезли, строчки же с аськой и гритингом остались, плюс ко всему под гритингом обнаружилась ссылка под названием “Гостевуха” , куда по всей видимости нас и приглашал Салават http://sitedefaces.fastbb.ru

Выходит он продолжал атаку даже когда саркоровские технари обнаружили и пытались решить проблему. Сейчас уже 9 Июля, время 18 : 00, я снова дозвонился до пула и попытался зайти на форум. Всё что я увидел, это – пустая страница со словами “403 Forbidden, You do not have permission to access this document, Web Server at forum.sarkor.com”

Что ж <Пусть кремниевая долина будет тебе пухом, О сервер Sarkor…>

 

ЗЫ. Все автономные файлы и страничку форума во время взлома мог прикрепить бы в архиве

но у вас тут запрещены файлы с расширением .rar

[nikol 18]

У меня тоже были проблемы с дозвоном на саркор (дня 2-3), но у меня не доходило даже до проверки имени и пароля. Переустановил модем, создал новое подключение и нифига не мог зайти. Решил позвонить по номеру 132-00-00 и мне посоветовали ввести команду в строке инициализации все работает. НЕЗНАЮ С ЭТМ ЖЕ ВЯЗАНО ИЛИ НЕТ (пожимая плечами)

[Erop 12]

Надеюсь бэкапы делали вовремя?

[ShPioN 9 184]

ух достанется админам саркора от директора

[el_modding.uz 6]

не всё так гладко в этой жизни, админам ничуть не завидую, но за Саламат (или как там иво) - рад.

[Гесер 0]

Спешу развеять ваши опасения по поводу "кремниевой долины" и ее "пуха" =) сервер в полном порядке и планирует еще пожить

Была атака на форум с целью дефейса (рядовое явление в сети, если разобраться). В настоящее время уязвимость пропатчена и форум продолжает работать.

То, что у Вас произошел разрыв, так это на АТС города Ташкента проводился апгрейд оборудования, в связи с чем происходило отключение некоторых направлений. С этим связано и отключение телефона техподдержки (на 132/133/136 АТС тоже велись работы).

Но эти события никак не связаны между собой, просто случайное совпадение.

[Guest d0m3kider]

Имхо форум ломал реальный ламак ну или более менее соображающий пользователь , скачавший или выпросивший очередной сплойт от умных ребят :wacko: которым нет никого дела до какого то форума .. Еслиб хотели реально сломать то ломали сами сервера а не форум .. Желаю админам саркора удачи в поимке скрипткиддеров

[Optimist 0]

Да, этот "хакер" похож на старика из Властелина Колец...этакий волшебник...