r00t-y0u.org : tel est pris qui croyait prendre

aka… forensics for dummies 😀

Il y a quelques jours, le forum r00t-y0u.org affichait un curieux message affichant qu’il était désormais controlé par les autorités.

WTF ? Tout le monde s’est dis qu’il s’agissait d’un fake ou d’un deface sans importance…

Mais il s’est avéré que le serveur a réellement été saisi par la police fédérale australienne qui, dans un élan de vantardise, a placé ce message en page d’index alors qu’ils étaient filmés en parallèle dans le cadre d’un reportage de la chaine ABC sur la cybercim’ ^_^

Evidemment ça fait un peu tâche : quand on effectue une opération de ce type, mieux vaut rester discret plutôt que d’inciter les habitués à wiper leur disque.

Mais ça ne s’arrête pas là : le forum détourné qui devait servir de honeypot à la police (pour récupérer IP & co) s’est fait piraté.
Les intrus ont en effet découvert une installation de XAMPP par défaut, sans mot de passe, ont obtenu un shell sur la machine et ont eu accès à des informations sur l’enquête en cours avant de redéfacer la page à leur sauce avec un petit message à l’attention de la police.

http://pastebin.com/f477a1516
http://blog.spywareguide.com/2009/08/law-enforcement-altered-r00ty0.html

Origine de l’article :
http://www.theregister.co.uk/2009/08/18/r00t_y0u_sting_backfires/