was dit voor het guinness book of records?

maar seriues... wat draaide deze servers voor OS en webserver?

omfg @ source code van die HTML op die gecrackte pages:

<head>
<meta http-equiv="Content-Language" content="tr">
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta http-equiv="Content-Type" content="text/html;
charset=windows-1254">
<title>iskorpitx</title>
</head>

Frontpage :/

Wat wel duidelijk is in het verhaal op Zone-H is dat "de Turk" het
heeft voorzien op 'slecht' onderhouden serverparken.
Waarvan secureserver.com word vermeld op Zone-H.

het gros van de 'gehackte' website's draait Windows Server 2003
(99%) en een enkele gehackte server draait Linux. (1% :)

Het lijkt er op dat er misbruik is gemaakt van een frontpage server
extensie die (nog) niet geupdate is. Maar ben er niet 100% zeker
van.

@ Anoniem 2> Frontpage is de tool waarmee de pagina is gemaakt
en heeft niets van doen met het server OS, exploit etc.

Wat wil je dan, dat defacen is het laagste wat er is... je krijgt shell en je
replaced een html file... da zijn alle handelingen die nodig zijn... die gasten
zijn t woord scriptkiddie nog nie waard... Valt me ook veel op dat het
merendeel allemaal turk is...

heeft deze gast nog wel een leven naast hacken?

apart joh ? Apache met support voor Frontpage ... ;-)

Nee, dit betekent dat deze "hacker" z'n pagina in Frontpage heeft opgemaakt..

En als je even iets verder kijkt dan je neus lang is dan zie je dat de webservers voornamelijk IIS6 waren..

hahahaha

Lol. Netjes van 'm...

Ja, z'n pagina is niet bepaald professioneel met Frontpage.
noob. Knap als je ineens eventjes ruim 20.000 websites
defaced...

ROFL, een "hacker" die frontpage gebruikt. Das net zoiets
als vloeken in de kerk.

Het woord "hacker" wordt maar al te vaak misbruikt. Deze
Turk heeft teveel tooltjes gedownload (metasploit etc) en/of
bestaande exploit source codes (packetstorm) van het net
gecompileerd. Defacen is hierdoor zelfs voor kiddies
weggelegd, in dit geval ook voor kiddies van 45. Bijster
intelligent zal deze man dan zeer zeker ook niet zijn.

Ter vergelijking: Een professioneel bokser gaat toch ook
niet tegen een gewonde amateur bokser aan staan meppen? Die
pakt iemand van gelijkwaardig formaat. Anders is het geen
professional, maar een schijtbroek. Nu ik het er toch over
heb, laat de bokser deze "hacker" maar eens defacen! :))

http://www.itma.lu/howto/apache/

Frontpage extensies worden al geruime tijd ondersteunt door of met
Apache server software.
Helaas Pipo, het is ECHT waar.............!

En ik zie mijzelf NIET als e.o.a. Expert maar meer als een
nieuwschierige digitale hobbyist.

Hah!

If/when we do it (yes, yes, you guessed it right, Turks *do*
read security.nl!), we do it right ;-) But seriously, c'mon,
ueber-hacker or not, it someone can sit down and hack so
many sites in one go, there *must* be something wrong with
security in general, right?

Hoe krijg je een shell? Moet je toch exploit voor gebruiken of een
account weten te misbruiken. En dan moet je nog wel de juiste
shell krijgen om een pagina te kunnen overschrijven ipv shell
voor een specifiek proces dat eruit klapt en alleen iets kan
veranderen waar autorisatie voor dat proces is geregeld.

Dat op duizenden sites in bulk doen lijkt me genoeg aanwijzingen
dat dit volledig geautomatiseerd plaatsvind. We weten niet of
deze meneer dus als skriptkiddie te betitelen is.

Dat er een bestand is neergezet met Frontpage metadata wil
toch niet zeggen dat dit door een scriptkiddie is gebeurd?
Misschien wil deze hacker wel bewust spoeren genereren die
vals zijn.

Pas als de hacker snel gepakt wordt dan geloof ik dit omdat er
toch voldoende sporen moeten zijn als er zoveel websites zijn
gedefaced.

Het is niet zo verrassend dat dit gebeurd want de servers
van tegenwoordig zijn gigantisch groot! Ik snap alleen niet
wat de humor is van het defacen is. Het komt gewoon op mij
neer dat deze gast zelf niet straat op durft te gaan om zijn
mening te uiten dus doet hij dat dus op deze manier... dan
is het gewoon een mietje!

En wat gebruiken defacers, alleen maar lekker in software
(vaak geschreven in PHP) die ook nog lekker public zijn, als
je je eerst eens gaat richten op een sociaal leven buiten
defacing om kan het toch nog wel goed komen met deze kerel :)

een beetje lame defacement, doe er dan eentje met een
bericht aan de wereld ofzo :p

Of ik heb het fout, of iedereen die heeft gereplyed is
dom... Dik 21.000 websites defacen op 1 dag... Dat doe je
niet met simpele downloadbare tooltjes.

Omdat het verschillende OS-en betrof die hij "gehackt"
heeft, zal hij mijns inziens een soort scanner gebouwd
hebben die kwetsbare servers zoekt, en deze daarna defaced.

Waarom jullie denken dat ie 21549 websites met een
gedownload tooltje heeft gedefaced blijft voor mij een
raadsel...

misschien heeft ie niet de tool gedownload, maar hij heeft
zeker weten gebruik gemaakt van een bestaande exploit, en
daar omheen z'n eigen tool gemaakt, nog steeds scriptkiddie
werk, daar niet van.

Het aantal "hacks" zegt totaal niks over de moeilijkheid.
Men neme een scantool (voor scriptkiddies: kun je
downloaden), scant een IP-range voor bekende exploits. Neem
de zwakke servers en klik op "start exploit geschreven door
iemand anders". Dat is gewoon scriptkiddie werk. Al zijn het
een miljard websites.

Het herhaaldelijk uitvoeren van een exploit is een
lachertje. Het is pure tijdverspilling voor zowel hacker als
slachtoffer. Ik snap niet waarom men zo'n hoge pet op heeft
van deze "hacker". Helaas zijn luie "beheerders" de oorzaak
van deze "hackers" die misbruik maken van niet tijdig
gepatchte systemen.

Een gebouw slopen kan iedereen, er een ontwerpen niet!

Ik ben het helemaal met je eens, ik zou het niet eens meer
een uitdaging vinden om dezelfde bak of exploit te
gebruiken, pure tijdverspilling.

Om nog even te reageren op die tool reacties, het is wel
degelijk mogelijk om 21.000+ websites te defacen met een
enkele tool, je kan namelijk gewoon de mappen opzoeken van
alle websites die op de servers staan, als je root of SYSTEM
bent heb je gewoon toegang tot al die mappen en kan je met
een simpel scrippie in elke map een html document of wat ook
maar neerzetten.

Volgens mij zou het dan op het volgende princiepe uitkomen:

1. Je grabbed alle dirs in de website dir (bijv /usr/websites).
2. Deze ga je filteren (in PHP bijvoorbeeld met een
str_replace).
3. Je voert een cp command uit voor elke dir die je hebt
ontvangen,

in php:

<?php

$string = "/usr/website/www.website.com";
$string =
preg_match("/www.[a-zA-Z0-9].+[a-zA-Z]{3}/",$string,$matches);

$host = $matches[0];

preg_match('/[^.]+.[^.]+$/', $host, $matches);
echo "domain name is: {$matches[0]}n";

?>

dit is gewoon even een voorbeeld, dus weet niet of het
werkt, maar op die manier kun je wel websites pakken... dus
in dat opzicht kun je wel vele websites defacen, en dan
maakt het niet of het nou 10 is of 21000 is.

Ik zie nog steeds niet waarom jullie de conclusie trekken
dat het om een scriptkiddy gaat. Zijn er bekende exploits
gebruikt dan? Voor hetzelfde geld heeft meneer zelf lekken
gevonden in verschillende servers, en besloten hier maar
eens wat mee te gaan doen...
Ik heb namelijk niet echt het idee dat iemand hier weet
welke bekende exploits er gebruikt zouden moeten zijn...

Omdat de "hacker" zich ten eerste heeft gericht op de 'ssfm
vulnerability' in IIS. Daarvan zijn genoeg exploits te
vinden op het net. Ten tweede betreffen het allemaal servers
met IIS, die hiervoor kwetsbaar waren/zijn. Het zijn niet
verschillende servers zoals jij beweert. Waarom nam/neemt de
"hacker" bijvoorbeeld geen up-to-date Apache servers?
Precies, omdat ie daar geen exploits voor kon/kan vinden.

Waarom zijn alle attacks gericht op amateurtjes,
overheidsinstellingen en hobbyisten? Waarom neemt hij geen
websites van formaat die volledig gepatcht zijn? Allemaal
aanwijzingen dat het scriptkiddy werk betreft.

Concreet bewijs is er inderdaad niet, omdat ik de gehackte
systemen niet kan analyseren. Echter vind ik een bewijs niet
eens noodzakelijk, aangezien ik geen hoge pet op heb van
deze en soortgelijke "hackers". Het is en blijft
kinderachtig om "digitaal verzwakten" of "digitaal
beperkten" aan te vallen. Maar zoals altijd ieder zijn eigen
mening!

"Waarom zijn alle attacks gericht op amateurtjes "

Nee.... er zijn ook professionele websites aangepakt... als je het woord
ISKORPiTX op gaat zoeken in Google.... dan zie je het vanzelf.

Er zijn veel professionele sites aangevallen. Maar goed, deze laffe daad
krijgt nog wel een staartje denk ik...