Aktion von AnonyPwnies Nach dem GEMA-Hack ist vor anderen Defaces

Digital

24. August 2011

Der digitalen Aktivistencrew AnonyPwnies, eine Untergruppe von Anonymous, ist es gelungen, die Seite der deutschen Musikverwertungsgesellschaft Gema zu hacken.

Linux Servers.
Mehr Artikel
Mehr Artikel

Linux Servers. Foto: Phil! Gold / CC BY-SA 2.0

24. August 2011
2
0
3 min.
Drucken
Korrektur
Doch www.gema.de wurde im Gegensatz zu den früheren Angriffen nicht mit einer DDoS-Attacke lahmgelegt. Man drang nach eigenem Bekunden über eine Lücke im Webserver in das interne Firmennetzwerk ein. Die Hacker haben es geschafft, über einen Server, der im Intranet der Company eingebunden war, in das Firmennetzwerk einzudringen.

Dort entdeckten sie einige Server mit Remote-Management-Karte von Dell, bei denen das von der Computerfirma voreingestellte Standardpasswort nicht geändert wurde. Solche Passwörter lassen sich ohne grossen Aufwand in den offiziellen Manuals der Maschinen nachschlagen. Auf diesem Weg sind die Aktivisten dann weiter vorgedrungen und hatten so auch vollen Zugriff auf diverse Daten der Verwertungsgesellschaft. Von einer Veröffentlichung dieser geklauten Files hat die Gruppe aber bis zum heutigen Tag abgesehen.

Öffentliche Kontaktmöglichkeiten: Man kann AnonyPwnies via Twitter unter @AnonyPwnies oder per E-Mail unter AnonyPwnies@hushmail.com erreichen. DeltaWOPR und LiQuid aka The Senqu können ebenfalls unter Twitter erreicht werden.



Die offizielle Pressemitteilung von AnonyPwnies:

 

 

Sehr geehrte Damen und Herren, wir sind AnonyPwnies.

Wir haben die Webseite der Gema nicht mit einer DDoS Attacke lahmgelegt, sondern sind über eine Lücke im Webserver der Gema in diesen und auch in das interne Firmennetzwerk eingedrungen.

Das Bild, dass momentan im Internet herumschwirrt, wurde von uns veröffentlicht. Link: http://img6.imagebanana.com/img/y9w4hc23/calvin.png

Der Server der Gema steht im Intranet, wir haben einen Reverse Socks Server zum Laufen bekommen und hatten somit eine Verbindung in das interne Netzwerk.

Als Nächstes haben wir das Subnet gescannt, dabei sind uns ein paar grosse Dell Server aufgefallen.

Die Server haben ein Dell DRAC System, welches per IP zu erreichen ist. Das ist vergleichbar mit einem Netzwerk KVM. Das Passwort um sich an diesem System anzumelden wird bei der Installation gesetzt und hat laut Dokumentation natürlich geändert zu werden. Das ist offensichtlich nicht passiert, sodass wir uns ohne grössere Probleme in das System einloggen konnten. Standardpasswort (root:calvin, aus der Dokumentation des Systems zu entnehmen)

Dann wurde das System neu gestartet und z.B. nach dieser Anleitung: http://www.petri.co.il/vmware-esx-server-root-password-reset-recovery-lost.htm das root Passwort geändert.

Auf der Maschine waren dann allerlei Datastorages verbunden. Etwas über 30TB. Einiges davon haben wir kopiert.

Zusätzlich hatten wir noch Zugriff auf mehrere Drucker und VMs.

Diese Informationen dürfen zur Verbesserung der deutschen Infrastruktur gerne veröffentlicht werden.

Mit freundlichen Grüssen

AnonyPwnies