De hacker speurt webservers af en vervangt alle bestanden die beginnen met 'index' door een eigen pagina. Op deze pagina is de boodschap 'Hacked by Iskorpitx (turkish hacker) virus sacan porno ve adult siteler her zaman cezalandirilacak!' te lezen. Behalve de boodschap wordt er ook een Shockwave-bestand getoond met Turkse teksten. Dit bestand wordt gehost op een Amerikaanse server.

Hoeveel sites er exact beklad zijn, is onbekend. De website Zone-h.org die kopieën van bekladde websites bewaart heeft al 352 recente meldingen van sites in de database staan. Van een anonieme tipgever wiens naam bekend is bij de redactie zijn er 150 sites beklad.

De hacker heeft ook eind december flink huis gehouden. Toen bekladde hij tevens honderden sites, waarbij het voornamelijk om sites ging met een com- of de-domein. Al de bekladde websites worden op een Linux-server gehost met Apache. Het is nog onbekend hoe de hacker toegang tot de servers heeft weten te verkrijgen.

Iskorpitx is geen onbekende. In mei 2006 kwam de Turkse hacker ook in het nieuws toen bleek dat hij vele websites beklad had. Ook toen werden de index-pagina's vervangen door een eigen, Turkse boodschap.

Oorzaak onbekend

De Nederlandse hoster Neostrada is een van de getroffen webhostingbedrijven. Andrew de Brouwer van Neostrada: "Er zijn zo'n 300 tot 400 domeinen getroffen. Deze zijn van 30 tot 35 reseller-klanten van ons. De gewone hostingklanten zijn niet getroffen."

De Brouwer weet nog niet hoe de hacker is binnengekomen. "Op dit moment willen we eerst alle sites weer werkend krijgen. We hebben een volledige back-up gemaakt van de getroffen server. Zodra alles weer werkt gaan we die back-up nader inspecteren om te achterhalen wat er exact gebeurd is", aldus De Brouwer.

Overigens lijkt deze aanval niet op zichzelf te staan. Het aantal bekladde sites wereldwijd neemt donderdag in rap tempo toe, waarbij hetzelfde patroon lijkt te worden gevolgd. Zo heeft hacker Looorans donderdag in enkele uren tijd meer dan tweehonderd sites beklad.