Quizas ayer algunos lectores asiduos de topfanfics cuando entraron en la página principal tuvieron una sorpresa, la página principal tenia este aspecto. ¡Oh, no! ¡topfanfics.com is 0wn3d!



Ayer 08 de Septiembre del 2009, exactamente a las 13:32:51 (hora del servidor), se producieron los primeros ataques a una web de este mismo servidor, desde donde se hackeo esta web. Es decir, el error desde donde se colaron no era de topfanfics.com, sino de otra web llamada kamikazekat.com, de la cual también soy webmaster. Desconozco como llegaron a kamikazekat.com, ya que es una web que hice en una tarde para divertirme con mis amigos, y apenas aparece en los principales buscadores de la web (ej: google.com). Estos fueron los primeros pasos del hackeo, bastante simple (y un gran descuido por mi parte):

[08/Sep/2009:13:32:51 -0500] “GET /upload.php HTTP/1.1″ 200 1357
[08/Sep/2009:13:32:52 -0500] “GET /style.css HTTP/1.1″ 200 1334
[08/Sep/2009:13:32:52 -0500] “GET /icon.ico HTTP/1.1″ 200 1150
[08/Sep/2009:13:47:38 -0500] “POST /upload.php HTTP/1.1″ 200 1766
[08/Sep/2009:13:47:42 -0500] “GET /4/0909081347423143.php HTTP/1.1″ 200 41939
[08/Sep/2009:13:56:55 -0500] “GET /view.php?i=40909081347423143.php HTTP/1.1″ 200 1135
[08/Sep/2009:13:56:55 -0500] “GET /4/0909081347423143.php HTTP/1.1″ 200 41939
[08/Sep/2009:13:56:58 -0500] “GET /view.php?i=00812170750007448.jpg HTTP/1.1″ 200 1135
[08/Sep/2009:13:56:59 -0500] “GET /0/0812170750007448.jpg HTTP/1.1″ 200 52283
[08/Sep/2009:13:57:01 -0500] “GET /favicon.ico HTTP/1.1″ 404 -
[08/Sep/2009:13:57:02 -0500] “GET /favicon.ico HTTP/1.1″ 404 -
[08/Sep/2009:13:57:10 -0500] “GET /4/0909081347423143.php?act=img&img=home HTTP/1.1″

El archivo 0909081347423143.php era este shellscript, desde donde se maneja el cotarro



Y el shellscript lo copiaron alrededor del servidor, para facilidad de uso y por si era eliminado.



Tras mirar fechas de última modificación y tamaños de los archivos, ya he eliminado los 4 shellscripts que merodeaban por el servidor. Y he parcheado los errores de kamikazekat.com. De esta forma todas las webs del servidor estan a salvo de errores y hackers (aunque desde un punto de vista hacker, nada esta al 100% seguro).

Como quizas se habrán fijado también, el foro de la web ha desaparecido. Esto no tiene que ver directamente con el ataque hacker. Es simplemente que me ha vuelto la paranoia de la seguridad como al principio, y como que el foro era una versión muy muy antigua, lo voy a cambiar por otro foro mas moderno y nuevo. Esto supondra una vuelta a empezar, ya que los mensajes del antiguo foro no podran ser movidos al nuevo. También es una oportunidad para empezar de nuevo el foro. Donde los usuarios puedan hablar de literatura todos a la vez desde el principio, en vez de hacerlo de uno en uno en cuentagotas durante el transcurso del tiempo, desmotivando a la gente nueva del foro.

Bueno y desde la administración, mis disculpas a los usuarios, y las gracias Bohemios Hackers Team # Chileans Defacers por encontrar ese error. Saludos!

Tags: hacked, topfanfics

This entry was posted on Wednesday, September 9th, 2009 at 2:38 pm and is filed under About, Actualizaciones, Constructivo, Destacados. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.