Hi,

ich hatte gestern einen seltsamen Eintrag in unserem Wiki unter dem Titel "FIRTINA BOZO U H T":


'''THE LAST KİNG OF HACKER FIRTINA BOZO'''

'''DESPOT & DARK'S OUTH ESCAPEİN & MİCRO HACK & CRAZY MEMO'''

'''ULKUCU HACK TEAM'''

http://pic1.resimupload.com/r10/thumb_780946291.bmp

Das ist natürlich keine große Kunst; schließlich kann jeder ohne Anmeldung im Wiki schreiben.

Ich habe mal alle Log-Einträge zu dieser IP gesammelt: http://www.archlinux.de/~pierre/spinner.log

Sieht eigentlich ganz gewöhnlich aus; es wurde auch sehr wahrscheinlich ein Browser (IE 6) und kein Bot verwendet.

Wenn man nach diesem ominösem Hack-Team sucht, findet man nicht sehr viel. (evtl. ein paar ehm. Defacements?)

Das verlinkte Bild ist eigentlich der einzige Anhaltspunkt. Es könnte entweder Exploits für Clients (Browser) enthalten, oder versuchen via CSRF an Accountdaten zu kommen. Für letzteres sollte MediaWiki aber nicht anfällig sein.

Lange Rede kurzer Sinn: Hat jemand eine Idee was das sollte? Was wurde hier versucht? Ich sehe da nämlich zur Zeit nichts Gefährliches.

Ich dacht erst das wär Französich oder Italienisch.

Laut Google und Alltheweb.com ist "ulkucu" ein Türkisches wort. Was es bedeutet bin ich noch am recherchieren.

Wenn Du paranoid bist kannst Du ja mal den Rechner auf sonstige Spuren analysieren - ansonsten würde ich sagen: "normaler Wiki-Spam" - und halt für die Zukunft evtl. über ein paar Restriktionen nachdenken...

Ich hab sie gefunden :D
http://www.ulkucu-hack-team.net.tc/

durch ~> http://www.suchmaschinenindex.de/show.php3?kat=205

und durch ~> www.google.de




Wenn Du paranoid bist kannst Du ja mal den Rechner auf sonstige Spuren analysieren - ansonsten würde ich sagen: "normaler Wiki-Spam" - und halt für die Zukunft evtl. über ein paar Restriktionen nachdenken...


Es macht einfach spaß, nach zu haken wer das war ;)

Ja, das hatte ich auch schon. Sieht mir aber sehr nach einer gesperrten Seite bei einem freehoster aus.

@marce: Ja, ich bin völlig paranoid. ;-) Ich habe sonst nichts entdeckt. Ich habe es eigentlich nur gepostet, da mir der Sinn nicht klar ist. Klassischer Spam ist es ja auch nicht, da nicht automatisiert und keinerlei kommerzielle Absichten erkennbar.

Für Restriktionen sehe ich noch keinen Grund. Gegen Bots habe ich schon ein gutes Mittel und das ist jetzt seit Monaten das erste Mal, daß jemand so was seltsames einträgt.

Es macht einfach spaß, nach zu hacken wer das war
... dann mach das lieber im Garten und nicht hier im Forum.

Wer den Wortwitz findet - darf ihn behalten...

Ja, das hatte ich auch schon. Sieht mir aber sehr nach einer gesperrten Seite bei einem freehoster aus.

Du kannst ja den Wiki beitrag archivieren. Bei diesem Freehoster nachfragen, und weiter verfolgen wer der Straftäter ist :ugly: Und den Wiki und die Logs als Beweise.

Straftäter?

*rofl*

Straftäter?

*rofl*

jap, wenn das Spam ist. Ist es Verboten. Somit eine Straftat.



SERVICE NOTICE UPDATE:
We are aware of the issue with your site. We apologize for the extended delay, our engineers are working on this now for you.
Your website will return to normal very soon! Estimated completion time is Monday 18th June at 12 PM Pacific Time (PST)
Sorry for the inconvenience.

Für mich sieht das so aus, als wär nicht die Page down, sondern der Hoster.

Es ist ja kein Spam. Höchstens Vandalismus. (zumindest sehe ich bisher keinen Grund etwas anderes anzunehmen)

Wenn sie dein Wiki zerstört haben, bzw was verändert usw dann ist es Vandalismus. Aber wenn sie nur diesen Shit da gepostet haben, dann ist es einfach nur Spam :ugly:

Hast Du das verlinkte Bild mal downgeloadet und evtl. einem Virenscanner vorgeworfen?

@tomekk228: Es wurde der Murks einfach nur gepostet. Da ist nichts zerstört.
@marce: Laut aktuellem clamav ist kein Virus enthalten.

Es wurde der Murks einfach nur gepostet. Da ist nichts zerstört.

Dann ist das einfach nur Spam ;)

Ok, wunderbar. Dann würde ich, auch in Verbindung mit #5 (http://www.linuxforen.de/forums/showpost.php?p=1547711&postcount=5) mit das Ding einfach ausdrucken, auf's Klo hängen und evtl. die nächsten Tage ein bisschen öfters mal die Logs durchschauen...

Vielleicht war's ja eine Art "Probleklingeln" - wie schnell merkt der Admin das und entfernt es um daran zu erkennen, ob sich jemand um die Seite kümmert...

Ansonsten wäre mir aktuell kein größreres Angriffszenario auf MediaWikis bekannt (wobei ich mich da zugegebenermassen auch nicht drum kümmere...)

Das sind halt irgendwelche 1337 Kids, die meinen des is cool, ähnlich wie Autos zerkratzen.
Ich glaube nicht, dass du da Angst haben musst, bloß weil sie mit IE6 Wiki-posts schreiben :ugly:

Gut, Danke für Eure Anteilnahme. Ich hatte mich halt gefragt, was jemanden in Ankara dazu bewegt nach Wikis in Deutschland zu suchen und dort sinnlosen Müll zu posten. ;-)

Aber ich bin halt lieber vorsichtig und frage lieber einmal zu viel als zu wenig. Hätte ja auch ein bekannter Angriff sein können, den ich so erstmal nicht durchschaue. Ist also mehr Vorsicht als Angst. :-)