Журналисты издания Bleeping Computer сообщили, что в минувшие выходные был взломан даркнет-хостинг Deep Hosting. Известно, что в ходе инцидента пострадали клиенты сервиса.

Согласно официальному заявлению администрации, взлом произошел после того, как злоумышленник зарегистрировал аккаунт виртуального хостинга на Deep Hosting. Взломщик использовал учетную запись для загрузки на серверы проекта двух шеллов, один из которых был написан на PHP, а другой на Perl. Проведенное операторами хостинга расследование показало, что выполнить версию на Perl атакующему не удалось, однако PHP-версия сработала.

«Большая часть PHP шелла оказалась непригодной к использованию, так как ряд функций были заблокированы для виртуального хостинга, но одна функция блокирована не была. Атакующий сумел получить доступ к серверу и выполнить команды с ограниченными правами», — пишут представители Deep Hosting.

Судя по опубликованной администрацией хронологии событий, операторам Deep Hosting потребовались почти сутки, чтобы понять, что произошло, перевести скомпрометированный сервер в read only состояние и начать экстренно менять все FTP и SQL пароли пользователей. В настоящее время операторы хостинга полагают, что злоумышленник сумел экспортировать немало клиентских сайтов и мог добраться до баз данных.

Представители Bleeping Computer пишут, что им удалось связаться с самим взломщиком, который скрывается под псевдонимом Dhostpwned. Злоумышленник охотно поделился с журналистами списком, содержащим адреса 91 скомпрометированного сайта (список можно найти в конце данного материала). В числе прочего, в этот перечень вошли торговые площадки, продававшие наркотики и малварь (например, M.N.G Market), а также хакерские и кардерские форумы. В настоящее время большинство ресурсов уже не работают из-за сброса паролей MySQL.

«Я их взломал. С точки зрения безопасности их виртуальный хостинг был ужасен, — заявил Dhostpwned. — У меня на руках большинство файлов, хостившихся на их сайте, все их SQL базы данных. Там хостилась и сеть заказных убийств, но я не смог туда добраться, потому что это был их VPS-хостиг, и у них нет никакой панели доступа к VPS».

В качестве доказательства взлома Dhostpwned загрузил в корневую директорию M.N.G Market текстовый файл, которой можно увидеть на скриншоте ниже. Дело в том, что в отличие от администраторов других сайтов Deep Hosting, операторы M.N.G Market забыли сменить пароль по умолчанию от своего VPS box. Сразу после этого торговая площадка ушла в оффлайн, а злоумышленник признал, что случайно стер MBR на их жестком диске.

Стоит отметить, что это не первый взлом провайдера даркнет-хостинга. В феврале 2017 года был взломан Freedom Hosting II, и в результате атаки компрометации подверглись 10 613 .onion-сайтов. Тогда неизвестный хакер сообщал, что поводом для атаки послужило детское порно, которое в нарушение всех правил свободно размещалось на серверах Freedom Hosting II. По данным аналитиков, этот инцидент серьезно сказался на «ландшафте» даркнета: после взлома количество сайтов сократилось на 85%.

Атака на Deep Hosting явно не повлечет за собой столь масштабных последствий. Все же на этот раз пострадало меньшее количество сайтов, к тому же, Dhostpwned заявил, что он не собирается публиковать и продавать похищенные данные клиентов хостинг-провайдера.

23mg64vxd2t6kurv.onion
27msssu6jaqhuk6m.onion
33qvlt5je5kif3jq.onion
3kqpypputjn2dhpp.onion
5ehtvrvuf2ef5h4h.onion
5xwgogyjnfcvrmvj.onion
654krjf5q6iupjot.onion
66xflun3ot54h6re.onion
6ccxadxrr4g3qm7d.onion
acteamwneyw3ik2w.onion
alphaor4wguil6wo.onion
anpbcfvqjg2txyw4.onion
aom6u55durkqpwaz.onion
assassinuyy7h425.onion
azo3mftev62hfckw.onion
azvjv2ji2ucukemz.onion
b6kbmmeh5qivsr47.onion
bzp2k3z63s4js3mo.onion
c7wgwx7zlmqntrm5.onion
cardobgwrjlzzqfl.onion
cbossftu5bjk5nx6.onion
ccguruetr5jwye5g.onion
cd2bkzxjx7vq3gxc.onion
cerberxypcgoxiw5.onion
clonedxpjlq5764s.onion
dc5clejbfoaxcqbk.onion
dhostov5qbwwyhcw.onion
dhwikikgqceifior.onion
dpanely75rdnw7yv.onion
dxke6tzygtgqvb6a.onion
e5nocpxm3rccdjeq.onion
e6wdnr4mcrzzefkt.onion
eurx66uednuvulfh.onion
feap5rllvmqi7lka.onion
g3n3bnjwhwokjco7.onion
g6ipitbghd6qutma.onion
gadmai6ebvzji6v6.onion
gbpoundzv2ot73eh.onion
gdbvx3pywrphpd5a.onion
hwikikijkk5g6acr.onion
iacwsvpfd4q43oer.onion
icloud4ho7bmn662.onion
imlz5jkbdcgl2c7s.onion
ji4qnwqney7siu2r.onion
jqcpeb5d77npwgyi.onion
k6sblsjcsgqpeym7.onion
kshdh4ipnl62xu2i.onion
lxhbgl43362zhmoc.onion
lxtrcj4uf3kxdhth.onion
mngmt4bouza7mobn.onion
mpt374ndlhhaxcsd.onion
mxs3tmyprhbne25m.onion
mz252nufkj42unlf.onion
n7gaof3th7hbktct.onion
nddgne7tasavd65z.onion
nfi3plp7famvohxm.onion
openwikicra5e6y2.onion
pacho2llwjm3c7ko.onion
q7ozu2gu7xt74gxk.onion
qyhaps2d7mzwwund.onion
rampshqaygkfwphb.onion
rj3herig755gboy5.onion
rothminhoy6dq45c.onion
scant2tnmpah5uao.onion
sholq4wfbybbzvj7.onion
shops64lgjykjrkp.onion
sux4lbtmxux5ou4f.onion
teekvknyeypyzpst.onion
teranovif5tsxdb6.onion
terrafmx663yli7u.onion
tgfc3mn2c6m6zga5.onion
tnmarkyzsx7xfbdg.onion
torwikica2juwzcg.onion
trinixy73gm6z4fq.onion
twiljiy37asd3t24.onion
ucdanzi5vdstr2gl.onion
unoppqar7cy3zvux.onion
vkzw2vhqqt7vvirr.onion
vn4bhyvlquetya7e.onion
vzpqzsukomqmlocz.onion
warezj5fngb44vn5.onion
webde3vkni6mhr3v.onion
xigjkusfkt2zvcvn.onion
xosnp3buimehxvma.onion
xwl45tkgnd7dv5ta.onion
y4rxzpod66bxgr4q.onion
zaoklnavsgzaxhf4.onion
zerodwbjcejayq7v.onion
zhqwte56j3xbnzdu.onion
zi5ivi3ufa7ijqys.onion
zoyel6xobic62353.onion

 

5 комментариев

  1. vadimuha

    11.07.2017 at 12:28

    Взламывать hidden services гениально. Взламывай (почти) все что хочешь и правоохранительные органы тебя даже не тронут

  2. kampotish

    20.07.2017 at 15:33

    Я вот не пойму. В-общем, сейчас в гугле кешированные страницы оттуда проявились, с онион. С моим никнеймом. Я там печатала для самопроверки. Это и есть взлом такой? Что записи проявились?

Оставить мнение