Автор Жаров Сергей (С) srgazh(@)gmail(.)com. Для проекта oslinux.ru GNU/Linux ХМАО-Югра
31 мая CNews сообщила о взломе веб сервера Comcast.net на платформе Linux.

31 мая случайно нашел новость на сайте "http://safe.cnews.ru/news/line/index.shtml?2008/05/30/302582" где говорилось: "Главная страница comcast.net была заменена приветствием от хакеров. Comcast.net работает с помощью неизвестного программного обеспечения веб-серверов на платформе Linux, сообщает Netcraft."

Напомню, что Comcast.net является крупным интернет провайдером в США.

Интересно где авторы статьи (к тому же ссылку CNews не удалось проверить) нашли информацию о том , что там платформа Linux !
Начнем со ссылки CNews. Идем на сайт news.netcraft.com
К удивлению там ни чего похожего нет.

Дальше проводим несколько тестов:

Interesting ports on 217-212-252-80.customer.teliacarrier.com (217.212.252.80):
Not shown: 1708 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh Akamai SSH Server-VII (protocol 1.99)
|_ SSH Protocol Version 1: Server supports SSHv1
80/tcp open http AkamaiGHost (Akamai's HTTP Acceleration/Mirror service)
|_ HTML title: Invalid URL
443/tcp open ssl/http AkamaiGHost (Akamai's HTTP Acceleration/Mirror service)
| SSLv2: server still supports SSLv2
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_IDEA_128_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
|_ SSL2_RC4_128_EXPORT40_WITH_MD5
|_ HTML title: Invalid URL
500/tcp open ssh Akamai SSH Server-VII (protocol 1.99)
|_ SSH Protocol Version 1: Server supports SSHv1
1080/tcp filtered socks
9050/tcp open tor-socksport?
Aggressive OS guesses: HP 4200 PSA (Print Server Appliance) model J4117A (93%), Check Point ZoneAlarm Z100G firewall (92%), Actiontec MI-424-WR wireless broadband router (Linux 2.4.21), HP Brocade 4100 switch, or Netgear WNR834B wireless broadband router (92%), Buffalo WHR-G125 wireless broadband router running DD-WRT Linux 2.4.34 (92%), FreeBSD 6.2-RELEASE (91%), Broadband router (Actiontec GT701-WG or GT724-WG; BeWAN 770G ADSL2+; D-Link 500T; Linksys WAG54G, WAG354G, or RTP300; Netgear DG834G, or WELL PTI-850G) (90%), Telkom Mega 100 WR DSL modem (Linux 2.4.17_mvl21-malta-mips_fp_le) (90%), F5 BIG-IP Local Traffic Manager load balancer (89%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (87%), Linux 2.6.9 (87%)
No exact OS matches for host (test conditions non-ideal).


Нельзя сказать что используется Linux или не используется, вдобавок мы узнаем что по данному адресу находится (Akamai's HTTP Acceleration/Mirror service) название говорит само за себя .

После некоторых поисков в сети, я узнаю что атака была не на сам сайт, а на DNS сервер на котором была изменена регистрационная информация, но это факт ни где не подвержен. Кроме того, есть большая вероятность того, что к атаки на портал Comstat.net причастны те же ребята совершившее успешную атаку на социальную сеть MySpace.

Проводим сканирования MySpace:

PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS webserver 6.0
_ robots.txt: /
|_ HTML title: MySpace ............
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: WAP|switch
Running (JUST GUESSING) : D-Link embedded (97%), TRENDnet embedded (97%), HP embedded (97%)
Aggressive OS guesses: D-Link DWL-624+ or TRENDnet TEW-432BRP wireless broadband router (97%), HP 4000M ProCurve switch (J4121A) (97%)
No exact OS matches for host (test conditions non-ideal).
TCP Sequence Prediction: Difficulty=259 (Good luck!)
IP ID Sequence Generation: Randomized
Service Info: OS: Windows


Пища для размышления. Проведем сканирование

www.comcast.com:
........
........
Host 68.87.60.144 appears to be up ... good.
Interesting ports on 68.87.60.144:
Not shown: 1712 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS webserver 6.0
|_ HTML title: Comcast: The Official Website | High Speed Internet | Cable | ...
443/tcp open https?
|_ HTML title: Comcast: The Official Website | High Speed Internet | Cable | ...
.......
.......
TCP Sequence Prediction: Difficulty=261 (Good luck!)
IP ID Sequence Generation: Randomized
Service Info: OS: Windows

Теперь сравниваем визуально два сайта www.comcast.com и www.comcast.net

После всех сканирований становится очивидным, что вебсерверов управляемых Linux среди просканированных нет.

_____________________________________

Копирование материала разрешено только при наличии ссылки на источник:
неофициальный проект GNU/Linux ХМАО-Югра www.oslinux.ru