Egy törés anatómiája 2.

Nocsak, nocsak. Érdekes fejlemények az Egy törés anatómiája post kapcsán.
Ugye mindenkinek megvannak a logok? (Itt és itt.)

Nos, az anatómiás post után a dolog elült, nem is nagyon foglalkoztam vele, hatóságnak se szóltam, elfelejtettem én is. Aztán pár héttel ezelőtt kaptam egy érdekes emailt:

Date: Sun, 14 Aug 2005 01:04:33 -0400
From: Krashed <[email protected]>
To: lipilee
Subject: help

i was browsing google for “krashed” and came up with a site concerning icenix on your server, , the webpage being http://lipilee.hu/linux/irc-2005-07-11/icenix.log , what was the dns of his #t0x1c net, i personally dont like him and i want to get some info on him and his net, can you help me out?

Való igaz, icenix említi az egyik logban, hogy “Krashed is pretty good friends with me (i think)”, tehát van kapcsolat a srácok között. (Krashed emailje alapján elég egyoldalú, mily kegyetlen is a sors.) Különösebben ekkor se érdekelt a dolog, de azért visszakérdeztem:

Date: Tue, 16 Aug 2005 21:12:57 +0200
From: lipilee
To: Krashed <[email protected]>
Subject: Re: help

hi,
i will need a bit of clarification here, who you need more info on exactly.

maybe if you specify what exactly you need i can help you out.

lee

Ő pedig válaszolt:

Date: Tue, 16 Aug 2005 15:48:44 -0400
From: Krashed <[email protected]>
To: lipilee
Subject: Re: help

what i need is information, the IP your server connected to, that you connected on port 6667 on, where you joined #t0x1c , i would like to
know the IRC server info

Itt véget is ért a comms. Egyrészt ha ez a srác kicsit is otthon van social engineering fronton, akkor a logokból, a hozzátartozó postból, vagy valahogy máshogy kibányássza az IP-címet, amit keres. Másrészt sehol egy “thanks”, továbbá nem is akartam különösebb kapcsolatba keveredni egy DDoS-kiddie-vel, sávszélességben valószínűleg ő nyerne. (Még ha a TCP stackem valamennyire meg is van vajákolva az ilyesmi ellen.)

És hogy miért írtam minderről pont most? Hát csak azért, mert Krashed bevallotta egy fizetett DDoS-támadás kivitelezését.

Lazán el tudom képzelni, hogy icenix és a haverok dobták fel Krashed-et, legalábbis elgondolkodtató az, hogy amikor beléptünk a csatornájukra, kérdezés nélkül elkezdtek másra mutogatni:

15:04 <@Secret> icenix is a admin and knows about security and bugs

15:05 <@icenix> Krashed is pretty good friends with me (i think)

15:05 <@icenix> he has a 120+ botnet :)

Amikor Krashed a mailt írta, rákerestem a nevére, és láttam, hogy már eljárás folyik ellene – elképzelhető, hogy kereste a gonosztevőit, és nálam megtalálni vélte. “Unlucky”, ahogy Ali G mondaná.

Tanulság: ha már script kiddie életre adod a fejed, ne barátkozz másik script kiddie-kkel, akik egy rosszalló tekintetre kiadnak téged, sőt, gyakorlatilag automatikusan.

A törés threadet pedig a magam részéről lezárom, és remélem, más sem nyitja újra meg.