Ресурс падонкофф... Эта фраза сопоставляется только с одним сайтом: udaff.com. Проект существует очень давно и до сих пор пользуется популярностью. Но нас не интересуют пошлые рассказы и картинки. Мы увлекаемся безопасностью. А в определенный промежуток времени у Удава были большие проблемы с секурностью.
Если ты следишь за жизнью ресурса, то знаешь, что сайт постоянно менял хостеров. Названия оных я даже боюсь произносить (честно, не помню), но один из них очень отличился. Это был SWEB. Не знаешь SWEB? Зайди на
sweb.ru и ознакомься с планами этого крутого Питерского хостинга. Клиенту предоставляется все: домен, место на диске, WWW, PHP, FTP, CGI и много других страшных слов. Ах да, и, конечно же, заветный shell-аккаунт.
Нет, ты ошибешься, если подумаешь, что я как какой-нибудь голодный скрипткидис начал
ощупывать Web-зону Свеба чтобы сделать дефейс на udaff.com ;). Все началось гораздо раньше. С того момента, как мне предложили одну интересную работу.
Ко мне в Аську стукнулся человек. Судя по разговору – очень богатый, разживающийся различными базами данных. Он предложил мне зарутать пару хостеров за сотню WMZ. Признаться, в то время у меня даже не было кошеля, поэтому пришлось регнуться на WebMoney. Первый сервер я зарутал через несколько часов. Не буду уточнять какой, скажу – это был не sweb. Пока не sweb :). Думал кинут, однако чувак заплатил сотню, как только получил полный дамп SQL-базы. Затем он кинул в меня аккаунтом к какому-то проекту и попросил добыть остальные. На этом же хостинге. Вот тут я по настоящему ступил. Я отказался от этой работы. Не помню причины: то ли не было времени, то ли желания. Одно припоминаю: чел на меня жутко обиделся и перестал работать со мной :).
Прошло 2 месяца с того времени. Я прибирался на винчестере, удалял старый архив музыки и видео, заливал новый. В общем, проводил генеральную уборку. И тут наткнулся на интересный документ: info.txt. В нем хранилась ICQ-переписка с тем перцем. Несмотря на то, что поезд ушел, и прибыли со взлома уже не срубить, я решил наверстать упущенное и пощупать интересный проект.
Скажу честно, название ресурса я тоже не помню (не думай, что мне отформатировали мозг, просто это было пару лет назад). Зашел на сайт – ничего интересного. Кроме ссылки на sweb.ru. Вспомнив, что человек хотел новых аккаунтов, я шагнул по урлу. Ознакомился с планами и инфой о хостинге. Почитал FAQ, нашел раздел про shell-аккаунт. Попробовал залогиниться под указанным логином и паролем и получил полноценный /bin/bash. Вот тут и начались интересные приключения...
Я провел в консоли около 5 часов. Система была собрана весьма интересным способом. Новенький RedHat не показывал пребывания юзеров root и webmaster. Однако бинарник /usr/bin/users выдавал эти имена с потрохами. Не буду тянуть кота за хвост: рута в тот день я так и не получил. Не было необходимого эксплойта, а те, что имелись – не проканывали на этой системе.
Прошел еще месяц. Растрепавшись в IRC с одним хакером, я узнаю, что он достаточно продвинут во взломе и имеет очень много приватных эксплойтов. Мне это показалось заманчивым, и я попросил чувака пощупать свебовый сервер. Он согласился и даже сказал, что даст рута в случае успеха. Получив заветный логин и пароль, хакер отправился ломать сервак.
Я тоже не промах, поэтому решил проследить за действиями хакера. Смотрел, что он вытворял - /usr/bin/w показывал команды cat >exploit.c, компиляцию и запуск бинарника. Моей задачей явилось копирование заветного сишника в /tmp/exploits для дальнейшего изучения. Я понимаю, поступал подло, но сплойты мне очень пригодились. Потому как чувак взял рута и отказался мне его предоставлять. Я пожал плечами, пролистал /tmp/exploits и нашел нужный сплойт для RH 7.0 (вроде на багу в date). Скомпилил, запустил – получил рута, не хуже того, что взял мой коллега :).
Пропущу изучения структуры сервера. Только скажу: тогда я узнал про то, что Удав хостится на Свебе. Однако его план был не neo (всего существовало 3 плана:
neo, morphey и trinity), поэтому сервант оказался соседним. Я вошел на него без особых проблем: рут юзал ssh-key без passphrase, что не привело ни к чему хорошему. На сервере trinity я обнаружил бэкапы SQL-базы udaff.com, а также Web-части. Это меня заинтересовало, поэтому весь последующий день я выкачивал 50 метров с диалапа. Очень сексуальное занятие, скажу я вам :).
После взлома двух серверов начались проблемы. Как выяснилось из-за того, что логи с первого сервера направлялись на далекое мыло админа. Совсем в другую сеть. Грустно было наблюдать, как сносят твои ssh-бэкдоры, обновляя версию демона...
Выручил снифер, быстро поставленный на trinity. Он выдал рутовый пароль на третий сервант morphey, где стояла FreeBSD. На тот момент расклад был следующий: меня пускало на второй сервер через незамеченный админом SSH-бэкдор (однако пароль на root изменился). На Морфея доступ сохранился. Мало того: рутпасс остался прежним, а бэкдора на Фрю я не ставил по простой причине: у меня его не было :). С сервером neo сложнее: доступ перекрыли даже для клиентских аккаунтов...
Но нет худо без добра. На связь вышел чел, который отказался предоставлять рута. Он сказал следующее: «Админы совсем взбесились и насилуют сервер уже второй день. Если хочешь, я тебе дам рута – он у меня остался». Я виртуально кивнул, и чувак выдал мне инфу о том, как прицепиться на neo. Принцип простой: хакер загрузил LKM, открывающий порт после хитро посланного UDP-пакета.
Ахтунг! Я снова внутри. У меня имеется доступ ко всем трем серверам Свеба. И я знаю, что это максимум на два дня (взлом приходился как раз на 1 мая). Единственная дурная мысль, которая пришла мне в голову – дефейс :). Да, задефейсить Удава с парой-тройкой козырных сайтов было весьма занимательным (на Свебе хостился известные порталы nwgsm.ru и gazeta.ru). Потирая руки, я прошелся по файлам /usr/local/www/conf/vhosts.conf и обнаружил там около 500 доменов (в общем счете на 3 сервера).
Осталось превратить идею в жизнь. Я слил автодефейсер (таких в инете великое множество), передал ему параметр «index.», (что значило дефейсить все index-файлы) предварительно оформив красивый HTML-документ (кто в курсе взлома, тот знает его содержимое). Осталось нажать клавишу Enter... Но я не спешил. Я хотел выполнить дефейс одновременно на 3 серверах. Что и было сделано. В конце
концов, жмакнул 3 раза на Enter. Deface complete, товарищи. Помимо важных index-файлов заменились все index.php от Webmin`а :). Наблюдать за этим процессом весьма занимательно. Когда все файлы обновились, я стер /var/log на всех серваках, сделал logout и “rm –rf /” на двух шеллах из Кореи. Их я юзал как промежуточную площадку.
Дефейс висел около двух дней. На Удаве его убрали через 4 часа, на других порталах только после праздников. Удивляет реакция админов: они написали всем клиентам письмо, гласящее о том, что их index-файлы были повреждены. Мол, замените их на новые, а мы в этом не виноваты :). Особого резонанса взлом не вызвал и спустя неделю все забыли о нем. Кроме меня и новостного портала, где до сих пор хранится известие о взломе
sweb.ru...
