Сейчас в сети развелось очень много обменников виртуальных денег
WebMoney, Яndex.деньги, e-gold и т.д. И мы знаем, что никто от взлома не застрахован.Как-то вечером в поисках
приватного веб-шелла взломщик наткнулся на сайт с ошибкой в коде.
Хотел установить прокси-сервер, но не было прав на запись - Апач был запущен под
nobody. Сервер был заброшен на несколько дней. Вскоре взломщика одолел интерес.
Он зашёл на сайт и ввёл команду "locate .ru" - она искала по всему серверу файлы и папки содержащие в названии
.ru. Нашлось порядка 15 доменов. Сам сервер принадлежал одному московскому провайдеру.
Походив через браузер по сайтам взломщик наткнулся на обменник (назовём его
XXX). Взломщик решил посмотреть из чего же состоят обменники.
Набрав "ls /home/XXXru/" взломщик обломался - доступ закрыт. Немного подумав он набрал "ls
/home/XXXru/public_html/", тут его ждала удача - он
получил листинг корневой директории сайта www.XXX.ru.
Посмотрев пхпшные скриты взломщик не нашёл ничего интересного.
Неужели это всё?! Нет! Зайдя в "/home/XXXru/public_html/cgi-bin/"
наш хакер увидел файлик WMSigner.ini. Заглянув в него он
обнаружил целых три строки: Идентификатор ВебМани, Пароль от кипера ВебМани и адрес, где лежит файл с ключами.
Он попробовал стянуть его "cat /home/XXXru/xxx.kwm". Ничего не получилось - файл открывался в тестовом режиме.
Тоже самое с файл с паролями. Взломщик знал, что на кипере было чуть больше 3500 долларов США.
Даже если бы он перевёл их на свой кипер или вывел наличными - его бы сразу же
выследили. Он рассказал об этом администратору сайта xxx.ru и со спокойной душой лёг спать.
На следующий день после обеда взломщик проверил почту. В ящике было письмо от его друга - он работал сисадмином у местного провайдера.
От первых же строчек письма взломщик пришёл в ужас.
В них были логи соединений взломщика и требовалось выдать его, в противном случае подключалось управление "Р".
Срок ждал от 5 лет. Было выслано ответное предложение в помощи владельцам сервера залатать дыры, а про взломщика забыть.
Так и сделали.
А теперь хочу рассказать в чём заключались ошибки обоих сторон.
У взломщика была только одна ошибка: появление на свет =)
А если серьёзно, то он просто забыл надеть прокси, что чуть не привело к трагическом концу.
Владельцам сервера необходио закрывать все директории для юзеров
вроде Apache, nobody итд. Оставлять только папки доступные с веба.
Также и с public_html. Желательно закрыть для тех же пользователей команду locate.
В конфиге php запретить функции system() и passthru() - кому они понадобятся?!
Держать платные ресурсы и бесплатные на разных серверах.
Список можно продолжать до бесконечности.
Эта статья показывает как всем известная дыра может понести за собой тяжелые последствия. Возможно и для обоих сторон...
Огромное спасибо в написании этой статьи, да и просто огромное спасибо SPIDER'у.