Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 87, views: 34.637 •
Bron: Zone-H.org

Een Turkse hacker is erin geslaagd 38.549 websites te defacen. Alle websites werden door Iskorpitx, zoals de hacker zich noemt, voorzien van een stukje Turkse vlag met de beeltenis van Ataturk en een boodschap die onder meer meldde dat Iskorpitx degene was achter het defacement. Onduidelijk is het hoe de defacement van zo'n groot aantal websites heeft kunnen plaatsvinden. Iskorpitx is overigens geen onbekende in Turkije; de hacker geniet er zelfs een zekere faam. In 2003 was Iskorpitx de eerste Turkse hacker die een defacement achter zijn naam kon zetten. En het bleef niet bij die ene website; binnen de korste keren wist de hacker zo'n 117.000 websites te kraken. Ook schijnt hij niet te beroerd te zijn om scriptende jongeren af en toe op weg te helpen bij hun webaanvallen. Turkije heeft inmiddels Brazilië van de troon gestoten als land waar de meeste defacers actief zijn.

'Handtekening' Turkse hacker

Reacties (87)

Reactiefilter:-187076+154+211+32
Dit kan bijna niet anders als via een ge-automatiseerd script IIS servers kraken op hun simpele standaard openingetjes en MySQL injection via 100en forms proberen.
Dat hoeft zeker niet hoor. Als je een server van een grote hoster kraakt heb je zo al een paar honderd tot duizenden kleine websites op je naam staan. Als je vervolgens meer servers van dezelfde provider kraakt zit je zo op een getal als dit.

Dit is gewoon een geval van computer genius die nog geen baan heeft.
nofi, maar genius heeft hier niets mee te maken.. dit is gewoon een scriptkiddie..
Dit is een hack, geen scriptkidie gedoe. Dit is het daadwerkelijk kraken van een kritieke server van een grote hostingprovider, 38000 sites in een klap als scriptkiddie is niet mogelijk.
Het is gewoon defacing.. en juist scriptkiddies doen in dit soort aantallen, omdat je dan je moet focussen op reeds bestaande exploits.

Om 38.000 sites te defacen MOET je scripts gebruiken, hence je bent niet bezig de zwaarste beveiliging te omzeilen oid, nee je pakt een reeds bekende exploits en bakt daar een scriptje omheen.
@ Pruttelpot

't Is maar net afhankelijk van hoe hij is binnengekomen en de sites heeft gedefaced...

Het kan een simpele scriptkid zijn die een expoitje heeft toegepast en een scriptje geschreven dat van een hosting provider alle websites wijzigt in dat plaatje.

Dat is echt geen hogere wiskunde hoor...

ECHT inhacken op een systeem betekent proberen via verschillende soorten overflows en bewerkte packets de software op de server te neppen.
Daarmee zou je bijvoorbeeld stukjes code in het geheugen kunnen "injecteren" die geladen kunnen worden en je uiteindelijk een loginnetje geven.
Het is zaak een lek als dit met eigen software te "benutten" om uiteindelijk binnen te komen en root / admin recht te verkrijgen.

Dit kan zodoende bijvoorbeeld ook om een lek in een oude apache versie gaan.
Er zijn wat dat betreft zat websites die exploits aanbieden om te testen of een systeem al dan niet exploitable is.

Het zal me niets verbazen dat hij "gewoon" via een "lek" in PHP/MYSQL in de database heeft zitten vroeten doordat een of ander webbased admin tooltje niet goed genoeg is beschermd..
Het is in mijn ogen hacken wanneer hij zelf achter dit lek in de software is gekomen. Als het lek al bekend was; is 't waarschijnlijk een simpele scriptkid met wat SQL ervaring...
Inderdaad, kraak één machine en je hebt mogelijk toegang tot vele machines in hetzelfde subnet.
1 keer word er IIS genoemd en gelijk status inzichtvol.

Volgens mij toch een serieus probleem met puberale inzicht van tweakers.net
+1 gemodereerd. bende ms bashers weten nog eens niet wat voor servers er gekraakt zijn en gaan er dan maar van uit dat het een IIS is :r
In mijn netjes gestorede apache logs door logrotate van de voorbije jaren staan duizenden verwijzingen naar worms als red alert, nimda, etc ...

Je kan echt niet ontkennen dat IIS hier onterecht genoemd word, tenzij je nog niet zo lang met webservers bezig bent of in ontkenning leeft (of hiervoor stevig door ms word betaald, of het algemene kijk mij ms verdedigen hype die aan het opkomen is).

Pas op, ik weet ook geen details, maar geautomatiseerde IIS hacking scripts zijn vrij veelvuldig aanwezig bij dit soort van gevallen.
Misschien even iets verder kijken dan je neus lang is, sommige mensen nemen namelijk wél de moeite even naar de bron door te klikken:

http://www.zone-h.org/en/...filter_defacer=iskorpitx/
Nou, toevallig is mijn server een IIS server (vanwege het gemak van remote desktop, etc...) die wel vrij goed beveiligd is. Als ik naar de logs kijk, zijn de meeste 404's van scripts die naar cmd.exe of andere ingangspunten zoeken. De standaard IIS installatie is zo lek als een zeef, en daar kun je zeker niet om heen draaien!
Omdat die installatie standaard op je Windows CD staat. Om het even in vergelijking te trekken: de Apache die op je Redhat 7 CD staat is ook zo lek als een zeef :)

Maar Microsoft heeft zeker werk gemaakt van IIS 6 en het gevolg is dat er minder lekken in gevonden worden dan in Apache..beat that :)
damn... over oude koeien uit de sloot halen... als je red hat 7 wilt vergelijken met een windows versie van het zelfde bouwjaar moet je windows 98 pakken... |:(
@glasonhelder:
'T AANTAL lekken in een progje zegt lang niet alles. De ene lek is 1000x erger dan de andere.
'T AANTAL lekken in een progje zegt lang niet alles. De ene lek is 1000x erger dan de andere.
[
idd, dat is het verschil meteen tussen oss en closed source aanhangers, de eerste gaan voor kwaliteit en de 2e voor kwantiteit, daarom zal de 2e groep ook graag de zwaarte van de exploits/bugs bagatelliseren
By the way: Atatürk is hier niet afgebeeld. Iskorpitx is zo te zien een erg chauvinistisch mannetje die het meer heeft op het Ottomaanse Rijk.
in zijn hacks is elke keer wel ataturk gezet.
en in dat plaatje hierboven, de hoofdtema is de verdediging van canakkale.
het gedicht wat ie aan het citeren is canakkale sehitleri van mehmet akif ersoy .
en de grote held bij canakkkale was mustafa kemal ataturk.
Oftoewel, methode: Brute Force, zoals dat heet :)
Ach, ik weet nog hoe Netanjahoe enige trots niet wist te verbergen toen in het nieuws kwam dat een Israëlisch jochie het systeem van het Pantagon was binnengedrongen.
Zal wel een vrij standaard exploit geweest zijn van een populair pakken zoals Joomla/Mambo/phpBB oid.


Maar goed, neemt niet weg dat dergelijke lui heel fout bezig zijn en ze weten vaak niet half hoeveel werk ze mensen bezorgen met hun geeikel :(
Echt... als die mensen (de beheerders van de sites) nu eens hun werk deden, dan was dit niet eens mogenlijk geweest...

Als je up-to-date blijft kan je zelfs met enige zekerheid voorkomen dat een forum pakket zoals phpBB gekraakt word. Meestal is de patch er al weken voor een grote script-rush word ingezet door een of ander verveeld jong die de bewuste reparatie van dat ene lek in phpBB gelezen heeft op de phpBB website... en toen besloot dat hij daar wel wat mee kon...
Klopt, maar daarbij komt ook nog dat minstens 9 van de 10 gebruikers van dergelijke sites niet echt frequent die sites in de gaten houden, of dat er niet zomaar geupgrade kan worden omdat er teveel aangepast is voor eigen gebruik.

Daarnaast moeten mensen gewoon eens leren van andermans dingen af te blijven. Websites vallen daar ook onder.
Tjah,

In de afgelopen 3 maanden ben ik als amateur-hostertje van een kleine website met forum al 3 keer getroffen door zo'n schoften.

Voor mij is het een hobby. Ik host de boel op eigen kosten in m'n vrije tijd. Ik gebruik PHPBB en probeer zoveel mogelijk alles veilig te houden, maar door vele mods in de software die ik gebruik is het niet 'even patchen', maar urenlang alle code changes handmatig doorvoeren en de mods terug werkend krijgen. Laat ik het zo zeggen, het is een hobby, geen full time werk.

De eerste keer kwam het nogal hard aan, omdat ik toen niks van php en sql kende en m'n database wel om zeep was. Om dan alles van 0 te leren was een hele ervaring.

Gisteren dus de derde keer en was het op 2 minuten opgelost.

Up-to-date software is niet altijd een oplossing, omdat er ook daar weer lekken in zitten. Als dat niet zo was dan moest er nooit een veiligheidsupdate komen.

Ik heb nu zelf een aantal veiligheidtoepassingen geschreven en m'n database was deze keer niet geraakt. Aleen 1 file moest ik even uit een backup terugzetten.

Wat ze hier mee willen bewijzen? Dat weet ik niet. M'n site is voor een 250 mensen een manier om in contact te blijven met elkaar en wat dingen te regelen. De site is antipolitiek, pro-verdraagzaamheid en op geen enkele manier doen we iets wat dit zou verdienen.

Ik vind het dan ook goedkoop om te zeggen dat mensen maar beter moeten updaten. Dit is niet altijd een sinicure, en laat nu net de doelstelling van phpBB zijn om amateurs makkelijk te voorzien van een gebruiksvriendelijk forum.

Ik ben geen computernoob, maar ik kan me inbeelden dat 99% van al die sites van hobbyisten zijn. (zoek maar eens een string van die deface op google - hobbysites, allemaal voorzover ik zie)

Ik kan respect opbrengen voor crackers die extreme beveiligingen weten te kraken. Niet dat ik het goedkeur, maar ergens bewonder ik hun inzicht en talent. Maar scriptkiddies zijn wat anders. Ik kan ook even op IRC of op obscure websites wat scripts vinden en makkelijk defacen. Zo moeilijk is het niet. Als je cracked of defacet met een reden dan snap ik het wel. Maar om gewoon hun 'talent' te tonen door iemand ander's werk te gebruiken als speelgoed en ze zo alleen maar meer haat jegens de Turken teweeg brengen dan vind ik het kinderachtig.

Loop ik soms achter met updates - Ja. Is het dan mijn fout dat mijn site gedefacet wordt? Ik denk het niet. Bij mijn weten ligt de schuld bij die script kiddies. Enkel de nalatigheid met mitigerende omstandigheden bij mij.

//Edit: @Spammy: Misschien is mijn verwoording tegenstrijdig, maar dat ligt dan aan mij. Op het forum wordt gewoon totaal niet over politiek gepraat. Met pro-verdraagzaamheid bedoel ik dat het geen forum is waar uberhaupt op geflamed wordt. Soms zijn de discussies pittig, maar nooit pikant.

Op een site van een Nederlandstalige MMORPG gemeenschap is politiek en racisme gewoon niet nodig. De enige vorm van politiek die wij kennen is van Good vs Evil en Pesky Gnomes vs 'de rest' //Edit
In de meeste gevallen is de veiligheid van een hostingserver zo veilig als de ergste moron die je als klant hebt.

Je kunt er natuurlijk een hoop zelf aan doen, zoals de klanten chrooten en php standaard in safe mode draaien voor ze.
Zodra er een een weak password heeft ben je vatbaar voor brute forces, hoe meer gebruikers, hoe meer risico.

Verplicht je ze echter tot wachtwoorden van een teken of 12, met een hoofdletter en een vreemd teken, hoef je je weer niet echt zorgen te maken.

Ik ben met je eens dat defacers eens moeten nadenken voordat ze met andermans eigendom spelen.
Verder vind ik het ook niet eens 'stoer' of 'respectvormend', want het is zo simpel als wat om vatbare sites te vinden en deze om zeep te helpen.
Respect verdienen ze meer als de eigenaar een mail gestuurd zou worden met de vatbaarheid uitgelegd en een eventuele oplossing, zonder aan de site zelf te zitten.
De site is antipolitiek, pro-verdraagzaamheid
Een mogelijke tegenstrijdigheid.
Puur als voorbeeld (ik ken je site immers niet.
Je hebt bv in je FAQ staan "rasistiche opmerkingen worden gewist"
Dat is zogenaamd pro verdraagzaamheid (dus niet) en tevens een
politiek statement.

Maar als ik dit artikel lees gaat het hier gewoon over massa
productie. Jouw fout was een zwakke beveiliging.
Als het echt tegen jouw gericht zou zijn dan bevat de defacement een
statement.
Bv toen de MPAA (?) site werd gehackt bood de MPAA excuses aan voor het
lastig vallen van downloaders.
Ik gebruik PHPBB en probeer zoveel mogelijk alles veilig te houden, maar door vele mods in de software die ik gebruik is het niet 'even patchen', maar urenlang alle code changes handmatig doorvoeren en de mods terug werkend krijgen.
Hiervoor bestaat de zogenaamde phpBB patchfile; even inloggen via SSH en je patched een gemod forum binnen enkele seconden. Na het patchen hoef je alleen de .rej (rejected) files op de missers na te lopen. Scheelt een hoop werk.

Alle websites die ik heb gezien die op deze manier gehacked zijn (eigenlijk is het niet eens hacken, het heeft er weinig mee te maken imho), waren verouderde phpBB's en een enkele Coppermine (photo gallery).
Dus dat maakt het goed?

kom op zeg, al heeft iemand het niet tot in de puntjes beveiligd, je moet er met je poten vanaf blijven. Je 'beschadigt' iets. Dit kost tijd en geld.
Haha, volgens mij heeft hij een script geschreven die het web afgaat en naar zwakke plekken zoekt. Scriptkiddie stijl hacking.

EDIT:

Het valt op dat de gehackte sites bijna allemaal Win 2003 draaien.
Waarschijnlijk iemand die gespecialiseerd is in hacks op een bepaald platform. Wellicht zijn het zelfs grotendeels dezelfde hacks.
Ja alle sites die gedefaced zijn zijn Frontpage sites..
Niet voor niets dat MS FP gaat schrappen :)
Pff voor dat soort gasten heb ik en krijg ik nooit en te nimmer Respect waar zo ook vandaan komen....
en dit allemaal onder het MOM van hoe LEK een OS/Browser enz enz is PPFFF[2]

misschien is hij blij met dit soort acties?? :?
tja iedereen zegt nu natuurlijk: Mambo enz. of lekke mysql db enzo maarja. de aantallen spreken voor zich.
Of de hacker in kwestie heeft alle tijd van de wereld of het is simpelweg een lek in de hosting van de getroffen sites. verder lijkt het me onmogelijk om zo enorm veel sites te kraken die op diverse platforms gehost worden met ieder diverse softwarepakketten voor webhosting zoals PLESK en dergelijke.
helaas, allemaal win2003 machines met iis6
Plesk (en MySQL, PHP, Mambo, etc.) heb je ook voor IIS6. En ja, alle Windows hosters draaien inmiddels wel Win2K3. Gezien de aantallen sites zal het echt niet alleen query-injection of een upload-form exploit zijn, maar eerder een config-fout; b.v. Frontpage extensies of teveel execute- of NTFS-rechten. Dat heeft niets met Windows vs. *Nix te maken, maar gewoon met het kennisniveau van de systeem-/netwerk-beheerders !

Ik werk bij een ISP die vele 10duizenden websites host, zowel Win2K3 alswel BSD. En natuurlijk hebben wij ook af en toe klanten wiens website gedefaced is, vrijwel altijd middels een onbeschermd upload-script of query-injection, maar ze hebben gelukkig nog nooit een door ons beheerde server gehackt :Y)

Helaas moet ik constateren dat de defaces die ik de afgelopen paar maanden tegen gekomen ben (in aantal < 10), allemaal 'Turkse hacks' betroffen. Dit is geen veroordeling of stemmingmakerij, maar wel opmerkelijk; blijkbaar zijn de Turkse hackers en erg actief en goed georganiseerd. En voor de doom-denkers; nee er stonden gelukkig geen anti-Westerse leuzen op, uitsluitend ego-credits !

Technisch waren het allemaal 'scriptkiddie-niveau' hacks, al gebruikten ze in sommige gevallen wel tools voor scanning en scripts die gevonden info terug-post'te naar domeinen die in Turkije of Duitsland geregistreerd stonden.

Maar schijnbaar hebben ze nu een half serverpark van een ISP (secureserver.com) gehackt ? ... Wel een stunt hoor; denk dat dit nog wel een staartje krijgt !
helaas, allemaal win2003 machines met iis6
Nope, win2003 en linux.
Wel veel relatief veel win2003.
http://www.zone-h.org/en/...efacer=iskorpitx/page=17/

Mogelijk dus bug in software die op beide platforms voorkomt (isp forms/cgi software) of securitymissers bij 1 of meerdere grote hosters (default / identieke uitgelekte passwords???)
Ik zie het als een (milde) bekeuring aan de te achteloze IIS6-beheerders van de 38.549 getagde websites.

Intellectueel respect voor wat die turk heeft gepresteert, maar 't blijft een klote-actie, voor mijn part krijgt ie een fikse taakstraf :r

(En hij gaat maar door: http://www.zone-h.org/en/...filter_defacer=iskorpitx/ )
Oja, in jan 2005 had hij al de Engelse afdeling van de "Information Systems Security Association" (ISSA) gedefaced
Intellectueel respect
Het is geen ENKEL respect waard. Zeker geen INTELLECTUEEL respect.
Als ik mijn fiets niet op slot heb staan, wil 't nog niet zeggen dat m'n fiets gejat mag worden.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Websites en communities Lumia Smartphones Laptops Sony Apple Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013