Ресурс падонкофф ... Ця фраза зіставляється тільки з одним сайтом: udaff.com. Проект існує дуже давно і до цих пір користується популярністю. Але нас не цікавлять вульгарні розповіді і картинки. Ми захоплюємося безпекою. А в певний проміжок часу у Удава були великі проблеми з секурностью.
Ні, ти помилишся, якщо подумаєш, що я як який-небудь голодний скріпткідіс почав
обмацувати Web-зону свебов щоб зробити дефейс на udaff.com;). Все почалося набагато раніше. З того моменту, як мені запропонували одну цікаву роботу.
Я провів в консолі близько 5 годин. Система була зібрана досить цікавим способом. Новенький RedHat не показував перебування користувачів root і webmaster. Однак бінарник / usr / bin / users видавав ці імена з потрохами. Не буду тягнути кота за хвіст: рута в той день я так і не отримав. Не було необхідної експлойта, а ті, що були - НЕ проканивалі на цій системі.
Пройшов ще місяць. Розпатланий в IRC з одним хакером, я дізнаюся, що він досить просунутий у зломі і має дуже багато приватних експлойтів. Мені це здалося привабливим, і я попросив чувака помацати свебовий сервер. Він погодився і навіть сказав, що дасть рута в разі успіху. Отримавши заповітний логін і пароль, хакер відправився ламати сервак.
Пропущу вивчення структури сервера. Тільки скажу: тоді я дізнався про те, що Удав хоститься на свебов. Однак його план не була neo (всього існувало 3 плану:
neo, morphey і trinity), тому сервант виявився сусіднім. Я увійшов на нього без особливих проблем: рут юзал ssh-key без passphrase, що не привело ні до чого хорошого. На сервері trinity я виявив бекапи SQL-бази udaff.com, а також Web-частини. Це мене зацікавило, тому весь подальший день я викачував 50 метрів з діалапу. Дуже сексуальний заняття, скажу я вам :).
Після злому двох серверів почалися проблеми. Як з'ясувалося через те, що логи з першого сервера прямували на далеке мило адміна. Зовсім в іншу мережу. Сумно було спостерігати, як зносять твої ssh-бекдори, оновлюючи версію демона ...
Але немає зле без добра. На зв'язок вийшов чол, який відмовився надавати рута. Він сказав наступне: «Адміни зовсім сказилися і гвалтують сервер вже другий день. Якщо хочеш, я тобі дам рута - він у мене залишився ». Я віртуально кивнув, і чувак видав мені інфу про те, як причепитися на neo. Принцип простий: хакер завантажив LKM, що відкриває порт після хитро посланого UDP-пакета.
Ахтунг! Я знову всередині. У мене є доступ до всіх трьох серверів свебов. І я знаю, що це максимум на два дні (злом припадав якраз на 1 травня). Єдина погана думка, яка прийшла мені в голову - дефейс :). Так, задефейсіть Удава з парою-трійкою козирних сайтів було дуже цікавим (на свебов хостився відомі портали nwgsm.ru і gazeta.ru). Потираючи руки, я пройшовся по файлах /usr/local/www/conf/vhosts.conf і виявив там близько 500 доменів (в загальному рахунку на 3 сервера).
Залишилося перетворити ідею в життя. Я злив автодефейсер (таких в інеті безліч), передав йому параметр «index.», (Що означало дефейси все index-файли) попередньо оформивши гарний HTML-документ (хто в курсі злому, той знає його вміст). Залишилося натиснути клавішу Enter ... Але я не поспішав. Я хотів виконати дефейс одночасно на 3 серверах. Що і було зроблено. В кінці
решт, жмакнул 3 рази на Enter. Deface complete, товариші. Крім важливих index-файлів замінилися все index.php від Webmin`а :). Спостерігати за цим процесом дуже цікаво. Коли всі файли оновилися, я стер / var / log на всіх серваках, зробив logout і "rm -rf /" на двох Шеллі з Кореї. Їх я юзал як проміжний майданчик.
Дефейс висів близько двох днів. На удав його прибрали через 4 години, на інших порталах тільки після свят. Дивує реакція адмінів: вони написали всім клієнтам лист, з якого випливає про те, що їх index-файли були пошкоджені. Мовляв, замініть їх на нові, а ми в цьому не винні :). Особливого резонансу зломів не викликав і через тиждень все забули про нього. Крім мене і новинного порталу, де до сих пір зберігається звістка про злом
sweb.ru ...
Покажи цю статтю друзям: