О взломе этого ЖЖ

[dolboed]

Не прошло и 13 лет с момента его регистрации, как этот ЖЖ был, наконец, кем-то взломан.

В воскресенье в 16:13:06мск неизвестный злоумышленник с IP-адресом 213.108.248.149 залогинился в мой аккаунт с машины под Windows NT 6.1 и разместил тут текст статьи «Ведомостей» от 28.11.2013.
Одновременно такому же взлому подверглись ещё 7 журналов: borisakunin, drugoi, mi3ch, navalny, puerrtto, pryf и sobchak_xenia.
Во всех этих журналах была размещена та же самая статья из «Ведомостей».

Я всего этого веселья, увы, не застал, потому что находился в это время на борту 775-го рейса S7, где-то между Красноярским и Пермским краем. А когда долетел — уже никакого поста в моём ЖЖ не было, и пароль от аккаунта был обнулён. Так что даже полюбоваться на красоту негде. Но, судя по полученным на этот пост комментариям, провисело оно там около трёх часов (до 19:23мск) — и удалено было, скорее всего, службой техподдержки ЖЖ, в рамках их усилий по ликвидации последствий взлома.

Никакого инсайда по поводу этой атаки у меня нет, но есть некоторые общие соображения.

Я не думаю, что акция носила сколько-нибудь политический или заказной характер. Скорее, какие-то какеры додумались до способа получить административные полномочия на сервере ЖЖ, способ сработал — и, чтобы уведомить мир о своём успехе, они разместили в журналах, к которым получили доступ, первую попавшуюся статью.

Если бы за этим взломом стояли политические заказчики, то они б сперва придумали текст, а потом уж стали б его размещать. А если б за атакой стояла кибершпана, бравшая на себя ответственность за взломы аккаунтов ЖЖ в прежние годы, то легко догадаться из опыта, какая судьба постигла бы все эти журналы. Они были бы, скорее всего, уничтожены.

Полностью согласен с оценкой kukutz, который в Твиттере написал:


Так что я склонен даже думать, что злоумышленники не получали доступа к паролям изменённых ими журналов, а подобрали ключик к одному аккаунту администратора, для которого знание чужих паролей не требуется, чтобы вносить изменения в базу. Впрочем, это уже тонкости, которые вряд ли интересны читателю — и, независимо от того, что я думаю, пароль в таких случаях всё равно обязательно нужно менять.

Спасибо всем, кто беспокоился. Надеюсь, дырку залатают, и новых взломов по такой технологии не случится. Не надеюсь, что нам при этом объяснят, в чём состоял конкретный механизм получения доступа.
Отдельное спасибо Султану Сулейманову из TJournal, первым сообщившему мне о взломе.

Живём дальше.

Comments

[ap1979.livejournal.com]

Победа! ЕЕЕЕ! Яхве с нами!

[verka89.livejournal.com]

и здесь бесструктурщики поработали

[ishura.livejournal.com]

"Так что даже полюбоваться на красоту негде.", - есть скрин вашего поста;)

[ingrrida.livejournal.com]

Антон, какое у вас образование?

[arkadiy12.livejournal.com]

Я обрадовался уже думал тебя убили а тут так хуйня какаято очередная жыдовская

[pinkerator.livejournal.com]

Made my day

[theosophist.livejournal.com]

Наверное тем у кого взломали аккаунт это польстило. Лучшие из лучших, так сказать )

[ingrrida.livejournal.com]

Роман Иванов какую-то совершеннейшую гуманитарную чушь выдал.
Я бы даже сказала - филологическую чушь.

[letchik.livejournal.com]

у Олега Куваева то же самое было

[bugabuga.livejournal.com]

Беда :(
При этом странности с неоткрывающимися страницами продолжаются (вот сюда тоже кликнул и сначала получил ошибку, но после перезагрузки работает)

[denchis.livejournal.com]

Подозрение все таки на сервера ЖЖ.

Про страницы, вчера ночью заметил уже данную проблему, что не с первого раз открываются страницы в ЖЖ.

[0-l-g-a.livejournal.com]

Вот это новость.

[minotavrh.livejournal.com]

хорошо что все вернули обратно, эхх...и в ЖЖ дыра, Киев горит.
Ка кто первый день зимы не задался.

[pryf.livejournal.com]

Как? У меня FB, месяц как отвалился.

[nikolka22.livejournal.com]

судя по ip взламывли из глухой сибирской тайги. самое время для конспирологических версий о секретных центрах фсб.

[dolboeb.livejournal.com]

Это московский IP, не увлекайтесь кривыми картографическими визуализациями.

[celesto.livejournal.com]

Ведомостям резко повысили количество просмотров. Приобщили народ.

[cquercus.livejournal.com]

А я использую внешний агрегатор для ЖЖ, так что у меня эта красота с Набиуллиной до сих пор есть. Сохраню на память)

[njhg.livejournal.com]

Я тоже агрегатором пользуюсь. У вас какой?

[judgev.livejournal.com]

получается и выбор "жертв" был рандомным

[dolboeb.livejournal.com]

А так всегда и бывает, когда исследуют уязвимость, а не отрабатывают заказ.

До кого дотянулись, тех и поломали.

[pryf.livejournal.com]

У меня даже пароль не поменяли, остался прежним.

[kukutz.livejournal.com]

Обязательно смените.

[njhg.livejournal.com]

Хакер попался культурный. И кстати, статью он поместил весьма полезную и содержательную.

[arturonly4.livejournal.com]

Не только культурный, но и с чувством юмора.
Вот, что хакер написал от имени Навального у Навального:

[dewald.livejournal.com]

полюбоваться можно:

(http://fotki.yandex.ru/users/vitvol/view/960865/)

[dalekootmorya.livejournal.com]

Ну вам-то, мосье Носик, грех жаловаться. Это вас просто-навсего догнали молитвы блогиров об орошении и удобрении вашей кипы.
Поделом.
Кстати, с учетом глюков с отправкой каментов присоединяюсь к вышеупомянутой молитве же.

[allbeam.livejournal.com]

Дак код в жж большой как писец. Ни разу не рефакторился. К тому же на перле. Там дырок, имхо, хоть попой жуй. Через админа залезли в sql и вперед.
Объявите конкурс и награду в 100$ за дыры в жж. Вам их современные security expert-ы в миг запатчат, имхо.

ЖЖ же под лицензией GNU/GPL а значит код открыт. Вот он тут почти весь лежит: http://code.livejournal.org/trac/livejournal
И еще вот. http://code.livejournal.org/trac/ljcom
Кроме всяких там паролей, расчет соц.капа и прочее.

[maniacscientist.livejournal.com]

100 баксов за уязвимость? Не смешите мои прохоря

[burgasov.livejournal.com]

Местоположение по данным сайта 2ip.ru
Это видать медведи баловались перед спячкой

[miggerrtis.livejournal.com]

Ксению Анатольевну за что? Она к невиновной подружке Табуреткина на плюшки ходит.

[pe3yc.livejournal.com]

Сцупп™ как всегда, из семи залупп. Ничего не меняется, отрадная стабильность.

[tretiy3.livejournal.com]

нет никаких дыр.
просто жужу не использует шифрование. все через http, в отличие от fb, twitter, vk и т.п. где https. это значит, что любой "местяковый" админ, который находится между вами и сервером жужу может выдрать куки с айдишником вашей сессии из запроса к жужу, и сделать с вашим акаунтом все, что угодно. а если вы вдруг еще и вздумаете залогинится, тогда он сможет выдрать и пароль, что гораздо опаснее, конечно.
на самом деле это, просто, ебаный стыд: в 21 первом веке крупная соцсеть гоняет данные открытым текстом. одноклассники грешат еще такой херней.

[stas]

Это правда. Но либо злоумышленник должен сидеть очень близко к серверам ЖЖ, либо каким-то образом слушать сетки сразу десятка различных людей, географически неблизких. Второе маловероятно, а вот первое вполне возможно в случае, если кто-то получил доступ во внутреннюю сеть ЖЖ. При этом даже никаких админских паролей не надо, достаточно возможности слушать входящий трафик. Но для этого всё равно нужна какая-то дырка.

[maniacscientist.livejournal.com]

Хакеры - это прекрасно. Табличка Access Denied не должна быть неотвратимой - это карт-бланщ на мерзости любой степени

P.S. Кто скажет - "а как насчет тебя взломать" - тот пидарас :-)

[sancho571.livejournal.com]

Моя программа уже перебирает пороли к твоему жж

[allbeam.livejournal.com]

Статья про черный список банков и события на "Банковской" площади(?) насильственный разгон демонстрантов с жертвами(?) в Украине могут быть связаны, например. Привлечь внимание российской общественности к Украине, как вариант, для теории заговора, почему бы и нет.

[pro100-petrov.livejournal.com]

Мудёр, должно быть, тот мыслитель, кто задумал такую затейливую комбинацию. Кстати, Банковской площади не существует, по крайней мере, в Киеве.

[hackjvc.livejournal.com]

http://hackjvc.livejournal.com/676717.html
Какой же это взлом?
Власть испугалась когда народ ринулся забирать деньги из банков.
Всем СМИ разослали предписание разместить информацию, успокоить население!
Эккаунты топовых блоггеров им не принадлежат. У нас в стране хозяин один - Государство.

http://bullking.livejournal.com/65771.html
а здесь еще круче!