[Metalab] MaXaT ?

L. Aaron Kaplan aaron at lo-res.org
Mon Oct 27 15:48:45 CET 2014 

Hi Leopold, 


On Oct 27, 2014, at 12:59 PM, leopold zyka <leopold.zyka at gmail.com> wrote:

> Hi,
> 
> Die harmlose Site http://www.handmadevisuals.com/ wo ich an einem Workshop
> im Rahmen von Vienna Open teilgenommen haeb wurde gehackt.
> Gut gemacht, sogar mit Sound:
> http://www.handmadevisuals.com/

Standard defacement... sehen wir in der Arbeit taeglich bis zu ein paar Hundert Mal.

> 
> Ich habe eine email an "against-cybercrime at bmi.gv.at" gesendet.
> Ich wollte wissen ob das BMI das überhaupt interessiert.
> Ich habe folgende Antwort erhalten:
> >Ihr Bekannter sollte eine Anzeige in einer Polizeiinspektion machen um >polizeiliche Ermittlungen zu ermöglichen. Eine „Online“ Anzeige ist nicht >möglich.
> 
> >Das Ausforschen des Täters ist in vielen Fällen leider nahezu unmöglich, da >diese Ihr Identität bzw. die des Computers durch diverse Möglichkeiten >verschleiern.
> Die Fragen der Polizeinspektion kann ich mir vorstellen...
> 
> Auf der Suche nach MaXaT stösst man auf 
> http://www.cyberizm.org/
> http://www.cyberizm.org/com
> 
> Habt Ihr eine Idee wie man herausfinden könnte, wer da überhaupt 
> dahintersteckt ? Ist das eine ISIS Aktion ?

Wuerde nicht davon ausgehen. warum?
a) der Text ist tuerkisch. Google translate sagt: "Says: Ne Mutlu Turkum Diyene ! " -> "Says: What Happy Turk who says I am!"
b) da ist nicht viel Terror-IS-Angstmache drauf. 
c) MaXat in der Suchengine eingeben --> man findet viele "hacked by MaXat" seiten. Das ist vermutl. automatisiert passiert. https://duckduckgo.com/?q=MaXaT



Schaut nach einer typischen Defacer Seite aus. 


Tipp: server ansehen, wegsichern, log files ansehen, alles bereinigen und/oder den server neu aufsetzen (um sicher zu gehen) und die Luecke im vermutl. CMS fixen.  Dann erst wieder online nehmen.
Aus den log files kannst du unter Umstaenden etwas mehr rauslesen. Evtl. findest du dort auch eine PHP shell.
Wenn du rootkit binaries am server findest, dann nehmen wir die gerne entgegen.

lg + hope it helps,
a.

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 801 bytes
Desc: Message signed with OpenPGP using GPGMail
URL: <http://lists.metalab.at/pipermail/metalab/attachments/20141027/39eb3905/attachment.sig>

More information about the Metalab mailing list