A causa di un secondo brutale defacement avvenuto durante il pomeriggio di Domenica 4 Aprile 2004, per mano di una crew brasiliana, lo STAFF del sito ha deciso di chiudere per qualche giorno GxWare... fino a quando per lo meno le acque non si saranno calmate. Brevemente vi spiego quanto accaduto e la situazione attuale di GxWare:
-
E' stato attaccato il/i server aruba.it che ospita il sito della GxWare
-
Dopo aver trovato una vulnerabilità, i defacers hanno usato un brute force sul/sui server (non sappiamo ancora bene quanti server siano stati attaccati con lo stesso metodo)
-
Ovviamente, GxWare, facendo parte di quei server, è stato facilmente penetrabile.
-
Una volta avuto accesso a GxWare, tutto ciò che portava il nome "index", con qualsiasi estensione (php, htm, html, ecc) è stato sostituito con una index preparata dai defacers
-
Così facendo ogni modulo/script/cartella del nostro ftp contenente una pagina index, è stata stravolta, cessando di funzionare a causa della mancanza di codice all'interno delle pagine stesse
-
Il Php-Nuke si basa proprio su molti moduli che al loro interno integrano una index.php che, essendo stata cancellata e sostituita, non ha permesso al portale di continuare a funzionare
-
Pur avendo ripristinato la maggior parte di queste pagine, dopo il deface, i server continuano ad essere sotto attacco, rivelandosi quindi estremamente lenti, con conseguente impossibilità di lavorare e controllare come questo proceda accedendo al sito
-
Il sito GxWare.org è in questo momento funzionante al 75% ed estremamente lento
-
Verranno ricreati i vecchi moduli, scripts e dati persi durante il defacement
-
Verranno fatte delle ipotesi sull'eventuale spostamento dell'intero sito su un server nuovo che non sia aruba.it
Ci prenderemo qualche giorno per effettuare la riparazione di tutti i dati corrotti, dei moduli cancellati e di tutto ciò che è necessario per riportare in vita il portale, nel frattempo ci scusiamo con tutti gli utenti per questo spiacevole accaduto e vi diamo appuntamento a presto, sempre su questo sito.
Verrete costantemente aggiornati dagli Amministratori di GxWare per mezzo di questa pagina, su aggiornamenti, news e su come procedono i lavori nel portale. Per il momento chiudiamo tutti gli accessi ed eliminiamo la index che permette di accedere a GxWare stesso. Per qualsiasi informazione, in qualsiasi momento, non esitate a joinare #gxware su irc.azzurra.org
Grazie a tutti
GxWare TEAM and STAFF from GxWare.org
Infektion Group su irc.brasnet.org #infektion
Il nostro sito non è stato l'unico ad essere defacciato, come detto precedentemente, una moltitudine di siti residenti sui server aruba è stata defacciata dalla stessa crew, e proprio per questo vi proponiamo due documenti nei quali sono elencati tutti i siti, vittime dei mass defacements della crew brasiliana
- http://www.thecurse.pop.com.br/kk.txt
- http://www.something-good.com/maura/site.txt <-- qui trovate anche www.netskafe.com che corrisponde al nostro sito e webx6.aruba.it che corrisponde al server di aruba che ci ospita.
Tutto quello che siamo riusciti a reperire per avere il maggior numero di dati e materiale contro la crew
Backups:
LogS:
- discussione tra un membro di GxWare e un membro del team defacer
- presunta "immagine" (in realtà nasconde un codice) che serve per il controllo dell'injection
- il codice nascosto nell'immagine linkata qui sopra
- script perl usato per bucare il server attraverso una vulnerabilità rilevata
Stay Tuned...