Контакты

Для связи с нами можно использовать:
irc://irc.chatnet.ru:#gfs
icq://546460
email://cobalt[@]gfs-team.ru

Все материалы предоставлены только с ознакомительной целью
ГлавнаяСтатьиХакингПоиграем в гольф? или как был взломан UK-хостинг
© Fel0n 21.06.2006 статья не оптимизирована

Лирическое отступление:

Лето - прекрасное время года, девушки одевают откровенные наряды, открываются
пляжи, все вокруг расцветает и окружающий нас мир наполняется позитивом.
Системные администраторы тоже люди и с первыми солнечными лучами начинают
выбираться из своих берлог, и частенько от изобилия гормонов теряют свою голову,
 напрочь забывая о доверенных им серверах. Информационный мир штука очень
динамичная и своевременно не установленный апдейт, либо некорректно написанный
скрипт приводит к довольно печальным последствиям , в чем мы далее и убедимся.
Как это бывает..
Это был обычный летний вечер, включив погромче одного из лучших трансовиков
планеты, взломщик взялся за поиск новой жертвы.
На этот раз главной целью этой ночи должен был стать взлом кого-либо ЮК-шоппа
(картон данной страны ценится среди Кардеров, значит и проблем с его продажей
быть не должно). Настроив систему для взлома(Надев свежий лично-установленный
сокс, и запустив Впн (тема самым зашифровав весь свой траффик)) наш герой
отхлебну глоток свежевыжатого пивка и 
открыл свой любимый поисковик. 
Через несколько секунд был составлен запрос для поиска:
site:uk +allinurl:*.php?file=*.* +"shop".
Рассмотрим подробно каждый параметр. 
1)site:uk 
т.к как взломщик хотел найти жертвы именно среди сайтов "Соединённого
королевства", он ввел этот запрос.
Т.е получив на вход этот параметр, поисковик понял, что поиск надо производить
только среди сайтов из доменной зоны .uk.
Введя site:ru, поиск бы производился лишь среди Российских сайтов.

2)allinurl:*.php?file=
Это доп. условием  обозначает что необходимы вывести сайты, имеющие в своем
адреса следующую конструкцию вида:
ЛЮБОЕ_ИМЯ_ФАЙЛА с расширением пхп, имеющее переменную "file" указывающую на
что-либо.

3)"Shop" - Сообщает поисковику, что в любой части странице обязательно наличие
слова "Shop" (что в переводе с буржуйского означает "Магазин").
Легким движение руки взломщик нажал затертую клавишу "Enter". После недолгих
раздумий поисковик вернул
около 10 страниц с ссылками на скрипты шопов, которые будут насиловаться с
особым пристрастием.
Опытный читатель понял, что взломщик поставил себе цель найти бажный скрипт,
страдающий банальным "инклудом". Об этой ошибке ты можешь прочитать практически
везде, полно статей с подробным описанием сути этой ошибки и об методах её
эксплотации.

Завязка.
Через пару десятков минут хакер таки наткнулся на один сайт одного из "гольф
клубов", который при себе размещался где-то на серверах, за тысячи километров от
родного дома. Подставив в скрипт значение "../../../../../../../../etc/passwd"
(без ковычек), хакер получил все логины пользователей хостившихся на этом сервере.
Строка запроса приняла примерно следующий вид:
www.golf-club.co.uk/shop/index.php?file=../../../../../../../etc/passwd?status=view.
Следующее сочетание символов - "../" , - обозначает переход на один уровень вверх
по директориям, т.е допустим изначально скрипт берет имена файлов из текущей
директории /shop/ добавив вышеописанное сочетание символов скрипт будет брать
указанный файл из директории уровнем выше, т.е из папки, где расположены все
web-filы (например public_html). В указанном выше примере, взломщик добавляет
такое количество символом "../" чтобы подняться в корневую папку сервера - "/",
 а оттуда благодаря знаниям Unix-like операционных систем и их устройства, он
достает файл, в котором записана все учетные записи пользователей. (по дефолту во
многих unix операционных системах (например все Версии Linux, Freebsd, Solaris),
этим файлом является "/etc/passwd" ).
РЕшив узнать что за операционная система установлена на данном сервере, сетевой
злодей, составил следующий запрос:
www.golf-club.co.uk/shop/index.php?file=../../../../../../../proc/version?status=view
на который получил следующий ответ:
Linux version 2.6.15.1 (gcc-Version 3.3.5 (Debian 1:3.3.5-13)) #1 Sat Jan 21 20:09:30
CET 2006
Что означало что сервер крутится под Debain Linux-ом с ядром 2.6.15.1.
Решив не тратить время на поиск конфигов, хакер решил попытаться сбрутить аккуант на
сервере. Прогнав содержимое passwd через самописный парсер написанный на
кроссплатформеном Perl-e, был получен комболист вида login:login. Натравив брут на
21 (FTP) порт сервера, хакер довольно улыбнулся, ибо в считанные секунды он поимел
доступ к нескольким учеткам юзеров. Из этого видно, что Системный администратор
следящий за системой ввел не правильную политику, разрешая своим пользователям
устанавливать пароли схожие с логином. Допустим можно зарядить изначально в кронтаб
скрипт, который будет препятствовать появлением таких паролей в системе, и если оные
появятся то скрипт немедленно отписал бы пользователю его новый пароль, сменив
старый.

Атака изнутри:
Воспользовавшись учетной записью пользователя, наш герой принялся распознавать, за
каким же именем сайта скрывается контент данной учетной записи.(в данном случае
системный администратор поступил правильно, не дав учетной записи пользователя имя
типа megasait.com, хотя такие инциденты встречаются довольно часто, как на наших
так и на зарубежных хостинг компаниях). Конечно, можно было поэкспериментировать
с запросами и попытаться найти конфигурационный файл Апача, в котором прописано в
какой директории лежит контент какого сайта, но посчитав это сложной затей и далеко
не 100% надежным (возможно прав на чтение конфигурационного файла могло не хватить)
способом хакер решил пойти другим путем. 
Для поиска имени домена достаточно проанализировать индексную страничку сайта,
чаще всего именно в ней можно встретить ссылку, непосредственно на сам сайт (чаще
всего полностью пишут ссылки на форумы и гостевые книги. Например
http://megasait.com/forum/index.php, хотя можно и обойтись такой ссылкой
"forum/index.php"). Наш сетевой герой слегка удивился, не увидев имя домена
при внимательном просмотре содержимого корневого файла. Но "против лома, нет
приема" - гласит народная поговорка и действительно, народ не обманул. Взор
взломщика пал на папку images, зайдя в неё он обнаружил файл logo.gif,  в нем то
и был гордый анимированный баннер, на котором легко было узреть название сайта
(пусть имя будет johnsmit.co.uk), которое сияло и переливалось всеми цветами
радуги. Переименовав шелл в неприметное имя config_inc.php, взломщик успешно им
воспользовался, набрав в адресной строке
http://johnsmit.co.uk/includes/config.inc.php. Перед глазами появилась приятно
удивившая взломщика запись " uid=65533(wwwrun) gid=102(wwwrun) groups=102(wwwrun) ",
под данной учетной записью можно было просматривать каталоги абсолютно любого
пользователя. Предчувствуя близкую победу, хакер  пробрался в директорию шопа.
После недолго поиска, был найден конфигурационный файл движка шопа, в нем
естественно взломщик нашел заветное имя пользователя и пароль, для доступ к
базам данных с пользователями. После недолгих махинаций хакер оказался внутри
заветной базы. Улов был не очень большим, около n100 валидных картонок (к сожалению
пользователя этого шопа предпочитали платежную систему egold, payapl, и банк
трансферы, видимо просто печальный опыт). Также были получены уникальные е-маилы,
которые были потом проданы за некоторое количество WMZ, знакомому спамеру.
 
Got a Root ?
Решив не останавливаться на достигнутом хакер, решил исследовать систему изнутри по
подробнее. 
Зайдя в корневую папку взломщик был немного удивлен, папка с администраторскими
файла, была доступна на чтение ! Ну и что скажите вы ? где не бывает ?! А нет,
сетевой преступник не зря её приметил, т.е об администраторе сложилось уже совсем
не положительное мнение (еще бы ! пароль юзеров могут быть логин:логин, под правами
веб-пользователя можно перечитать всё и вся ). В общем зайдя в папку /root челу
приглянулась папка stats, зайдя в ней он обнаружил самопальную статистику, которая
измеряла общий размер файлов находящихся в юзерских папках, если он превышал лимит,
то админу отправлялась письмо, плюс ко всему этому некоторые дополнительные данные
наряду с этими писались в mysql таблицу, как оказалась позже. После недолгих
поисков хакер нашел конфигурационный файл, и что вы думаете он там увидел ?. Не
удивительно, login:root Pass:SDDfGH#4S. "Хоть пасс труднобрутабельный " - подумал
сетевой мошенник и криво улыбнулся. Просмотрев, все интересные базочки данного
хостинга, и собрав приличную коллекцию е-мыл, наш герой остался доволен собой. Но
тут появилась одна довольно примитивная мысль, а вдруг пасс подойдет и к SSH ? Уже
через мгновение руки с заметным волнением набивали в консоли, логин root и пасс.
Волнение сменилось радостью, пароль оказался схожим. Уже через рутовый пасс к
хостингу был продан знакомому, который занимается нагоном траффика, на свой же
трой.
.. на следующей день деньги были обналичены. Солнце светило ярче чем обычно. Хакер
праздновал победу.

Админ ?! Постшоковая терапия.

Что нужно было сделать, чтобы как можно больше усложнить жизнь хакеру ?! ДА все
просто.
1)Для начала, как минимум было необходимо запретить удаленно логинится пользователю
по учетной записью суперпользователя.
2)Вторым шагом было необходима грамотная расстановка прав, пользователям. Было бы не
плохо загнать юзеров в chroot.
Возможно админ не знал что это такое ? Для нас это останется секретом.
3)Запрет, пользователям использовать пароль схожий с логином.
4) Ну чтож и о самом наболевшем. НЕЛЬЗЯ!!! ставить одинаковые пароли на столь
значимые сервисы, это по меньшей мере не этично и глупо!

Вот из-за таких глупейших ошибок, люди лишаются работы и денег. 
Надеюсь после прочтения этой статьи, вы пересмотрели свой взгляд на столь важную
вещь как безопасность и это стало для вас хоть каким-то уроком. Не повторяйте чужих
ошибок, ведь на месте обескураженного администратора или юзера с обнуленным CC
балансом могли оказаться и вы ;)
See yet.



© Fel0n 21.06.2006 статья не оптимизирована

e-Commerce Partners Network
fraIzer написал:

Неплохая статья, единственное, что убило, так это разъяснение на пол статьи, как пользоваться гуглом =/

Ник:

Текст:
P Br B I Qute



Код: обновить
Последние комментарии
20.09.2017 08:47:03 Avito777jeax написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Здравствуйте,...
Предупреждение
20.09.2017 08:20:25 Avito777jeax написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Мое...
Новая статья
20.09.2017 08:15:19 Avito777jeax написал:
<b>Пополение баланса Авито (Avito) за 50%</b> | <b>Телеграмм @a1garant</b> <b>Приветствую...
Новый релиз
Реклама

Тут должна была быть ваша реклама, но мы потеряли глиняную табличку с ее текстом. SapeId: 665044

Rambler's Top100