Akte-Gratis

Vor etwas längerem wurde das bekannte Cracker-Forum “carders.cc” selbst Opfer eines Hacker-Angriffs. Die Ironie dabei wird wohl jedem klar sein. Wie es scheint und man in diversen Underground-Foren lesen kann, hat es Carders wiedereinmal getroffen – doch dieses Mal scheint es nicht nur bei Carders geblieben zu sein. Einige weitere Boards und Websites wurden ebenfalls “geowned”. Darunter befinden sich Hacker/Cracker/S-Kiddy-Communities, wie Free-Hack, ettercap, offensive-security, das BackTrack-Projekt, Exploit-DB sowie inj3ct0r.

Die Truppe, die dafür verantwortlich ist, nennt sich “Happy Ninjas” und hat ein so genanntes “Zine” veröffentlicht, dass Aufschlüsse über die Gründe des Hacks gibt. Ebenfalls erfährt man einige Informationen über die Leute, die weltweit bekannte Hacker-Foren hacken. Das Zine kann man sich HIER durchlesen.

Die Gründe werden pro Angriffsziel angegeben. Für jedes Forum/Website hatten die Hacker andere Gründe:

We owned ettercap because we were tired of people firing that shit up and pretending to be a l33th4x0r sheep who think they are the greatest hackerz with their ARP spoofing toolkitz.. If you have installed ettercap in the last 5 years you may want to check yo shit (;p).

We owned offsec including backtrack and exploit-db because they are fucking security “expert” maggots (oops s/m/f/) who just fail so hard at security that we wonder why people really take their training courses. We imagine it’s like open mic night at the laughatorium.

We owned inj3ct0r because they are lameass wannabe milw0rm kids whose sole purpose in life is to disclose XSS 0dayz in Joomla (RSnake anyone?).

We owned carders.cc (AGAIN) because they are unable to learn from their mistakes and keep spreading garbage around the underground.

We owned free-hack because they are developing into one of the largest, most arrogant script-kiddie breeding grounds on the intertubez.

There’s nothing like having your butt kicked Christmas morning, which is exactly what happened to us today. We were owned and exposed, in true fashion. Initially, the inj3ct0r team took “creds” for the hack, which quickly proved false as the original ezine showed up – and now inj3ct0r (their new site) is no longer online. As a wise Chinese man once said: “do not anger one who has shell on your server”. The zine also mentioned other sites, as well as the ettercap project being backdoored.

Lustigerweise wurde das Zine auch offiziell auf Exploit-DB in die Kategorie “Papers” hochgeladen – Ironie eben.

Im nachhienein bedankte sich Exploit-DB dafür, dass die Hacker sich dafür entschieden haben die Website nicht zu löschen: “Thanks for not rm’ing us.”
Diese Aussage ist nun durchgestrichen. Die Website steht aber noch, das Forum jedoch nicht.

Es scheint, als wäre die Lücke wohl eher im Foren-System gewesen, die meisten Websites haben das vBulletin genutzt. Die meisten hatten sogar fast ähnliche Plugins. Vermutlich haben die Hacker dort eine 0day-Lücke gefunden. Entweder direkt im vBulletin, was ich persönlich für unwahrscheinlich halte, da das System wirklich gut durchdacht und sicher ist und außerdem immer verschiedene Versionen des Forums genutzt wurden. Bleiben also eher noch Plugins, wenn man sich das Zine anschaut und ein wenig googlet findet man eigentlich nur ein Plugin, dass alle Opfer genutzt haben: vbSEO – soweit ich das bisher sehe.

Schon im August wurde eine LFI in diesem Plugin entdeckt, eventuell haben die Hacker dieses Mal etwas ähnliches oder sogar eine RCE gefunden.
Mögliche Schwachstelle könnte auch WordPress sein, das wurde ebenfalls von vielen Websites verwendet. Jedoch eben nicht allen. Deswegen bleibt das vBulletin inkl. Plugins auf Platz 1 für den Moment.