Xakep #305. Многошаговые SQL-инъекции
Вчера вечером наш сайт задефейсили.
Я специально говорю "задефейсили", а не
"сломали", т.к. у меня язык не
поворачивается назвать то, что вчера
произошло - взломом.
Ситуация очень похожа на взлом
void.ru, только еще забавнее. Все вы знаете
наших постоянных веб-авторов NcRoot-a и Epsilon-a.
Эти люди имеют аккаунт у нас на сервере, могут
постить свои новости, статьи, загружать
файлы, изменять контент. В общем, это наши
люди, которые работают на наш сервер и
получают за это зарплату. Однако, в наших
рядах завелась "крыса".
Заходим на сайт cewl hax0rs gr00p - Twisted
Metal. Смотрим раздел "members". Ух ты!
Какая неожиданность! NcRoot, собственной
персоной. Вопросы есть? Правда, вход в
систему был не под его аккаунтом, а под
Эпсилоновским. Но здесь есть нюанс. Команда,
делающая сайт постоянно общается друг с
другом, логин-пароль от мыла xa@xakep.ru
есть у всех и вообще, ребята работают в
cooperate-режиме. Троица Pupkin Zade, NcRoot и Epsilon -
кернел сайта, люди, которые работают чуть ли
не с самого открытия. Поэтому этот дефейс
лично мне вдвойне неприятен. Во-первых,
ненавижу "крыс". Делать заподло своим
же людям - это полный слив. Во-вторых, еще и
подставлять другого человека из команды -
это уже ни в какие ворота не лезет.
Никаких эксплоитов использовано не было,
никакого изучения сервера, никаких поисков
уязвимостей. Ничего. Единственный баг,
который был у нас на сайте - это доверие
нашей команде. Как оказалось, у некоторых
людей, жажда дешевой славы превышает все
моральные устои.
Хм... я вот тут думаю, может нашему админу,
Борису Скворцову, сделать дефейс сразу 6-ти
сайтов? (xakep.ru, gameland.ru, fantom.ru, e-shop.ru, mobilecomputers.ru,
modernart.ru) И везде написать "Хакнуто
компанией Gameland!!!" =) А что? Очень похоже на
вчерашнюю ситуацию.
Для любопытных лог здесь.