Прокатилась волна взломов специфических сервисов — онлайн-фтп и сайтов, которые в них редактировались.
Вкратце, онлайн фтп позволяют любому человеку править страницы своего сайта, загружать файлы — и часто удобнее, чем через панель хостинга, или тотал коммандер. Удобство может быть вызвано насущной проблемой — что нету компьютера и тем, что можно импортировать, закачивать файлы без траты своего интернет-трафика и управляя сайтом с мобильного телефона.
Разработчики таких фтп и владельцы сайтов с подобным сервисом обычно предупреждают о мерах предосторожности:
1) Обязательно жать кнопку Выход после окончания сессии.
2) Не желательно переходить во время редактирования сайтов на посторонние сайты.
Но как бы то ни было, множество сайтов на днях было взломано и нашли причину в том, что это могло быть осуществлено только через онлайн фтп wapftp.ru, wapftp.org и vipftp.ru. В частности, выяснилось, что в wapftp.ru пароли хранились (хранятся) в бд скрипта…
Из истории wap’a. История скрипта онлайн-фтп специально для мобильных телефонов началась с разработки красноярца, администратора сайта wap.mysiem.net, это был далекий 2005 (?) год, скрипт того самого скрипта до сих пор можно скачать по этой ссылке. Он в wml и малофункционален в сравнении с нынешними скриптами, что, впрочем, не мешает при желании установить его к себе на сайт и пользоваться в одиночку, не вводя пароли на других сайтах.
Кто же взломал фтп и сливал файлы, бд, менял пароли, вставлял редиректы на алармы?..
Действующие лица. Алексей под ником GLyk, проявивший себя взломами и сливом форумов phpbb-wap, репутация не ахти в вапе, но в детали я не вникал. Далее некий новоявленный хакер под ником Co_Hacker. Третий чел, Default_mo или — trojanevgen или просто Евгений.
Начну с конца своей маленькой истории. Евгений обратился ко мне за информационной поддержкой. Мол так и так, оклеветал меня Глюк, будто я пошаманил с шеллом и сайтами. Послушай, Shtirlitz, мою историю и опубликуй у себя.
Нет, я этого делать не буду. Потому что быстро узнал, что два последних персонажа — это один и тот же чел. И заявление Евгения про виновника Глюка неверно — он скорее всего тоже ничего не ломал, хотя о шелле знал. Знал и новый участник нашей истории, Марсель, он же Swinger, который, собственно, и залил скрипт на фтп.
Из истории тырнета. Shell, «шелл» — жаргонное название доступа к сайту, скрипт, предоставляющий удобный интерфейс работы с сайтом.
Но, собственно, и Swinger не пытался мутить с сайтами делов, а вот Евгений, случайно получивший доступ к шеллу (каким образом — умолчу) стал мутить дела по взлому сайтов. Заодно подставил Марселя, устанавливая его счетчик ваплога или баннеры на других сайтах.
Больше рассказывать историю не о чем, чего уж тут высасывать из пальца.
Мне будет интересно теперь узнать мнение Евгения Трояна по этому поводу, право слово =) А скрины ни от Глюка, ни от Трояна не убедили меня в абсолютной их правоте, разве что в желании уязвить друг друга =)) Будет интересно также послушать в комментариях иные расклады этой истории со взломами и определением виновности.
А кодеров приглашаю к тестированию моего онлайн-фтп, за найденные косяки буду платить вечнозелеными бумажками.
Теперь можно не бояться в безопасности, у нас стоит 24 000руб скрипт. Новый скрипт написан с нуля, новые функции. Добро пожаловать в мобильный мир программиста ))
Покажешь этот впечатлительный скрипт?
Ах вот оно че.. Эй ГЛЮК ты мудло ЕБАНОЕ получил доступ через фтп теперь я с себя в ужасе почему я сразу не понял как это получается у тебя, Я тебе все пальцы при личной встрече переломаю малолетка ебаная, нанял группу проверки уязвимости, ВСЕ фтп которые уязвимы будут под Ddos ХУЙ ВАМ ТЕПЕРЬ РЕБЯТА!!!