Defacer treft Franse expertwebsite Microsoft

De Franse expert-site van Microsoft is gisteren onder handen genomen door een hacker. Wie gisteren omstreeks zeven uur 's avonds de url expert.microsoft.fr wilde bezoeken, kreeg een zwarte pagina voor zijn neus met daarop de melding 'Hi master (: Your System 0wned By Turkish Hackers!' Volgens de melding is microsoft.com het volgende doelwit van de groepering die zichzelf redLine noemt. De site zou op Windows Server 2003 draaien en geserveerd worden door IIS. Vermoedelijk is de hack mogelijk geweest door een configuratiefout, maar een '0-day exploit' kan niet uitgesloten worden. De hacker zelf meldt alvast dat het om misbruik van een nieuwe bug zou gaan. De expertsite is op het moment van schrijven nog offline, wat erop kan wijzen dat Microsoft nog aan het onderzoeken is hoe de aanvallers het systeem binnengedrongen zijn. We vroegen Microsoft Nederland om meer details hieromtrent, maar een antwoord liet vooralsnog op zich wachten.

Microsoft gehacked

Door Yoeri Lauwers

Eindredacteur

Feedback • 19-06-2006 19:58 34

19-06-2006 • 19:58

34

Bron: SecuriTeam

Lees meer

Microsoft en Zend gaan php'en
Microsoft en Zend gaan php'en Nieuws van 1 november 2006
Schotse universiteit start hackersopleiding
Schotse universiteit start hackersopleiding Nieuws van 19 juni 2006
Nieuwe 'zero-day exploit' in Excel ontdekt
Nieuwe 'zero-day exploit' in Excel ontdekt Nieuws van 16 juni 2006
Microsoft ongelukkig met beloning voor schrijven exploit
Microsoft ongelukkig met beloning voor schrijven exploit Nieuws van 20 februari 2006
Microsoft wil twee keer per jaar hackers ontmoeten
Microsoft wil twee keer per jaar hackers ontmoeten Nieuws van 2 augustus 2005
Meer producten en artikelen
Software

Reacties (34)

-Moderatie-faq
34
33
22
9
4
6
Wijzig sortering

Sorteer op:

Weergave:
XplodingForce 19 juni 2006 20:17
Het plaatje op het forum waar Broncode naar linkt ziet er anders uit dan het plaatje van t.net. Wie heeft er nu gelijk t.net of de site van broncode? Die site heeft ook een stukje waar zelfs een kopie van die pagina die ze erop hadden gezet staat, dus het lijkt me logisch dat dat klopt, maar hoe komet tweakers dan aan dit plaatje?
AuteurYoeri @XplodingForce19 juni 2006 20:36
Dat 'plaatje' op zone-h is geen plaatje, maar een 'mirror' van de html-code, maar dan met een foutje in de opmaak. Het plaatje dat hier gebruikwordt op t.net is namelijk een screenshot van de gedefacete site
basanas @Yoeri19 juni 2006 20:52
Het is geen fout in de opmaak. De ene layout komt van default.aspx en de ander krijg je als je naar http://experts.microsoft.fr/ gaat zonder bestandsnaam erin.
basanas @XplodingForce19 juni 2006 20:40
Gisteravond las ik het nieuws op zone-h.org en toen deed ze link naar de gedefacede pagina het nog wel gewoon en had Microsoft de pagina nog niet offline gehaald. De layout zonder kleuren erin was te zien op http://experts.microsoft.fr/default.aspx en die met de rode letters en dergelijken erin was te zien op http://experts.microsoft.fr/ zonder het default.aspx achtervoegsel.
Jammer trouwens dat ik op de website van Microsoft geen informatie zag staan hoe je de admin kunt bereiken. Ik wilde niet zo lang na de deface de admins bereiken om het te melden zodat ze de pagina offline kunnen halen, maar helaas. De volgende dag had Microsoft het pas aangepast.
frickY @basanas20 juni 2006 08:50
In alle gevallen komt postmaster@domeinnaam.tld bij een technisch contact persoon. Het functioneren van dit adres is verplichtgesteld door de DNS-boeren.
Daarnaast heb je ook grote kans met admin@, webmaster@, en bgates@ ;)
basanas @frickY20 juni 2006 12:59
Ik heb admin en info geprobeerd. Bedankt voor de informatie :)
digital-IMEI @frickY20 juni 2006 14:00
fout....
Verwijderd @XplodingForce19 juni 2006 20:25
ja dat vraag ik me ook af, want ik zag het nieuws al eerder en daar was het plaatje hetzelfde als op de hackers site.

http://www.zone-h.org/ind...=com_mirrorwrp&id=4181592
Valkske 19 juni 2006 20:55
tithack heeft al enkele sites gedefaced,
zijn site is geregistreerd (nu gelocked) op een naam van een persoon uit Istanbul - dan is het toch niet zó moeilijk om die gast te vinden?
Op zijn site hield hij blijjkbaar bij welke sites hij gehacked heeft, of had daar althans een rubriekje voorzien :) (Hackedlar/Defaceler)
http://web.archive.org/we...3/http://www.tithack.com/
XplodingForce @Valkske19 juni 2006 21:05
Enkele??? Volgens Zone-h.org heeft die gast al 1567 pagina's down gehaald, waarvan 302 alleen 1 frontpage waren, en waar hij 1265x een Mass-Defacement (hele groep pagina's down halen) deed. Dat noem ik toch niet echt een paar pagina's.

Opvallend is dat alle gehackete pagina's op windows draaien, ofwel op Win 2003 (server edition dus) of op Win 2000 server.
Vorkie @XplodingForce19 juni 2006 21:14
daar heeft hij zich in geintresseerd...

Hij had ook exploits kunnen zoeken in apache op linux.
jurrie @Vorkie19 juni 2006 21:33
Maar dan was z'n website zo leeg geweest :+
Shunt9 @XplodingForce20 juni 2006 00:07
Niet waar, kijk maar in de lijst, op pagina 43 tot 47, zitten toch aardig wat freebsd en vooral linux-servers die het slachtoffers waren van zijn hacks. Ook al lijkt hij inderdaad de laatste tijd toch de 'voorkeur' voor Win-servers te hebben.
Verwijderd 19 juni 2006 22:02
Zielig, hoor. Sites defacen. :/
Verwijderd 20 juni 2006 10:12
Op webwereld is in de comments geclaimd dat het om een oude (2004) windows autentication vunerability zou gaat die is gehacked met hacktool THCIISLAME
masterblackmesa @ maandag 19 juni 2006, 14:19
Dit was een makkelijke hack iedere script kiddie zou dit in principe kunnen doen de hacker heeft gebruikt gemaakt van een exploit het zogehete THCIISLAMEv3.0 Exploit.
De server was een vulnerable IIS 6.0 Webserver..
geen goede dag voor het infrabeheer bij MS France ?

[edit]Inmiddels zijn er meer details op zone-h
http://www.zone-h.org/content/view/4770/31/
Het lijkt dus op een exploit in een script van het content management systeem dat op de webserver draaide.[/edit]
Tha_Butcha 19 juni 2006 20:36
nee man, die is gewoon down gegooid om te onderzoeken
mxcreep @Tha_Butcha19 juni 2006 22:01
Dan hadden ze toch een tijdelijke pagina online kunnen gooien op een bsd server......oww daar heb je meer kennis voor nodig als 'next', 'next'....'finish' :)
SuperDre 19 juni 2006 20:41
Dat ze uiteindelijk die hackers pakken en goed straffen..
mxcreep @SuperDre19 juni 2006 22:02
Is het zo erg dat de grote reus zo nu en dan eens gewezen wordt op zijn toch wel ietwat brakke software ?
Verwijderd @mxcreep20 juni 2006 20:26
Blijkbaar geen fout in windows of IIS maar een exploit in script dat op de webserver draaide.
http://www.zone-h.org/content/view/4770/31/
Verwijderd 19 juni 2006 20:49
De code waarmee dit default.aspx is geschreven zal wel goed lek zijn geweest, als het echt IIS was geweest hadden ze wel meer en andere grote sites aangepakt.
Theadalus 20 juni 2006 02:50
Zeg, die Turkse hacker begint nou toch echt vervelend te worden! Kan ie niet gewoon een baan zoeken ofzo? |:(
Verwijderd 19 juni 2006 20:04
Lekker oud nieuws weer... :Z
jimbim 19 juni 2006 20:05
Hier licht de defacer TiTHack (what's in a name) zijn hack toe. Hij is nogal verbitterd dat hij niet voor vol wordt aangezien.

Edit: mod maar weg, ik heb de link in het artikel over het hoofd gezien. Deze is hetzelfde.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq