Pilli Network İkinci Defa Hacklendi
Tarih: 12 Kasım 2008
Pilli Network Ekran Görüntüsü
12 Kasım Çarşamba günü Pilli Network’ün anasayfası olan www.pilli.com adresine girmeye çalışanlar, “Owned” mesajlı bir şifre sorgu ekranıyla karşılaştılar. Sistemdeki bir açıktan dolayı kontrol paneline erişerek yönetimi ele geçiren bazı kullanıcıların kötü niyetli eylemi olarak gerçekleşen ilk saldırıdan sonra, çok daha vahim bir gözüken bir ikinci hacklenme vakasıyla karşı karşıyayız. (aybars badur’dan gelen açıklama üzere, durumun teknik bir sorun olduğu anlaşıldı) Siteye giren kullanıcılar “welcome to nginx!” mesajıyla karşılaştılar ve bu sefer sunucu elden gitmiş gibi çünkü Ruby on Rails üzerine kurulu sistemdeki herhangi bir sayfaya erişmek mümkün gözükmüyor. Güncelleme: Nginx’in kurulumu henüz tam yapılmamış bir RoR modülü(sunucusu?) olduğunu yeni kavradım. Muhtemelen bunun konfigürasyonunda bir hata oldu ama bu, “owned” yazısı nedir onu açıklamıyor.
Yazı yayınlanmadan önce bir gelişme: Bildirgec.org, Hafif.org ve diğer pilli sitelerinde yaklaşık yarım saat içinde müdehale oldu ve “Bakımdayız” mesajlı bir sayfa görüntüleniyor. Güncelleme: Web sayfaları kısa bir süre sonra tekrar normal yayınına devam etmeye başladı. İlgili ekran görüntüleri için yazının devamını okuyun…
İlgili Ekran Görüntüleri:
Pilli Network Bakımda Uyarısı
Bildirgeç Ekran Görüntüsü
12
PM
günlük 10 ytl den reklam alıyorlar bunları güvenlik olarak sitelerinde değerlendirebilirler diye düşünüyrm.
12
PM
aslına bakarsanız işin hackleme mi yoksa dalgınlıktan doğan uzun süreli bir erişim problemi mi olduğunu tam olarak ben de çözemedim. aslında ilk gördüğümde “vah! hacklemişler siteyi” diye bu yazıyı yazdım ama nginx’in bir ruby on rails modülü olduğunu öğrenince de kafam karıştı. acaba o owned yazısı da adminlerin bir geyiği olabilir miydi, bilemiyorum
13
AM
nginx pilli’nin web server’ı. apache gibi yani. screenshot’unu verdiğiniz pencere de bir .htaccess şifresi soruyor. sitenin dizini bir süreliğine şifre ile koruma altına alınmış. herhalde geçici birşeydi.
13
PM
evet, sonradan araştırınca durumu kavradım. neyse, sonuçta tüm ağın yayını eskisi gibi sorunsuz sürüyor. bunu görmek yeterince rahatlatıcı. daha fazla kurcalamaya gerek yok =)
13
PM
yok hacklenmedik, sorun mysqlde myisam tablolardan biri sürekli locked kalıyordu, akabinde sitelerde hata vermeye başladı, apar topar innodb ye çevirmek zorunda kaldık.
siteler hata vermeye başlayınca kapattık, ama aceleyle kapatırken bazı siteleri şifre soracak şekilde çevirmişiz, onu düzeltirkende nginxin default sayfası gelmeye başladı. sorunu giderince tekrar yayına açtık.
ilginize teşekkürler.
14
AM
ben de açıklama için teşekkür ederim. biraz heyecanlı bir kullanıcı olarak, hemen panik olup “battık bittik” dedim ben de =))