Trocha vyšetřování z britského hacku eskortních webových stránek

Několik mediálních webových stránek sdílelo přes víkend příběh o marockém hackerovi, který vystupuje pod jménem ElSurveillance. Podle zpráv hacknul 37 britských eskortních webových stránek z náboženských důvodů.

Představujeme Vám stručné šetření toho incidentu a níže jsou naše zjištění.

Dvě sdílení obsahující jméno “ElSurveillance” byla publikována na pastebinu. První obsahuje seznam 15 eskortních webových stránek, druhé sdílení 22 webových stránek.

Všech 15 webových stránek z prvního sdílení se nachází na stejném serveru s IP adresou 160.153.162.130. Celá zpráva ze zranitelnostního skeneru je přístupná zde.

22 webových stránek z druhého sdílení se nachází na jiném serveru s IP adresou 185.116.214.18. Celá zpráva ze zranitelnostního skeneru je k dispozici zde.

Jak můžete vidět výsledky výše, oba servery hostují mnoho webových stránek (884 a 650 příslušně), některé z nich šíří malware nebo jsou využívány ve phishingových kampaních. Nejpravděpodobněji byly zkompromitovány také před touto událostí. Tyto servery jsou slabě nakonfigurovány a používají zranitelný software, zahrnující zranitelnou verzu cPanelu, který byl pravděpodobně využit ke kompromitaci serveru.

Podle Softpedia hacker plánuje uvolnit příští týden 100 000 uživatelských záznamů z napadených webových stránek. Toto tvrzení je pochybné, jelikož napadené stránky nevypadají, že mají uživatelskou registraci a osobní profily. Obsahují jen vstupní stránky s reklamou na eskortní servisy. Některé ze stránek jsou znovu zpátky, obnoveny po hacku.