Разоблачение хакера

Master-lame-master

Xakep, номер #061, стр. 061-052-1

Нашумевшие истории крупных взломов

Любой хакер ищет легкие пути для взлома сервера. Будь то сайт на фриварном хостинге или западный банк. Нередко, добившись своего, взломщик на минуту забывает о собственной защите, в результате чего его быстро разоблачает системный администратор. Админы тоже ведь не конченые дураки, и заслуженно получают свою зарплату.

Я хочу сказать, что далеко не всегда хакеру удается выйти сухим из воды. Атаки быстро вычисляются, если сервером рулит грамотный сисадмин. В доказательство своих слов хочу рассказать тебе историю о взломе российского хостинга www.ruhost.ru.

Постановка задачи

Начало истории банальное. Одному опытному хакеру предложили порутать крупный хостинг – заказчик хотел откушаться на показе баннеров. Взломщику же за успешную работу предлагали вполне солидные деньги.

Итак, взломщик зашел на сайт. Ничего интересного страница собой не представляла – простой html с данными о хостинговой компании. В конце текста прилагался e-mail адрес для контактов: root@ruhost.ru. Самый что ни на есть стандартный сайт. Включив поддержку proxy-сервера в браузере, наш пионер еще немного побродил по страницам с целью выявления дырявых скриптов, но так ничего и не обнаружил.

Вторым шагом хакера было сканирование портов. Как всегда, взломщик делал это при помощи nmap (www.insecure.org/nmap/) с забугорного шелла. Сканер выдал список стандартных портов. В нем не было ничего лишнего: ftp, ssh, почта, web и еще парочка стандартных сервисов. Баннеры сервисов были правильные, софт своевременно обновлялся – администратор работал добросовестно.

Разгадка пароля

Тогда ломатель сайтов решил пробить домен по whois-базе с целью добычи новой информации. Это можно сделать на странице www.nic.ru/whois/?ip=ip-address (ip-address – исследуемый айпишник). Так хакер узнал еще один e-mail адрес - owner@ruhost.ru, а также местонахождение сервера – площадка Ростелекома.

Если насчет первого адреса хакер был уверен, что это обычный алиас, то e-mail в базе указывал на реальный логин в системе. Учитывая то, что в качестве почтового сервера стоял sendmail, взломщик предположил наличие реального системного аккаунта «owner». Дело оставалось за малым - угадать пароль на почту.

Брутфорс хакер считал последним методом. Я не раз упоминал об этом, поэтому не буду заострять внимание на реализации этого способа. Просто скажу, что взломщик решил заюзать самопальный потоковый pop3-брутфорсер с забугорного шелла. Исходя из того, что администратор проживает в России, для брутфорса был выбран словарь русских слов, записанных в английской раскладке. Именно такие пароли и любят наши доблестные админы :).

Хакер не ошибся. Через несколько часов брутфорсер разгадал пароль. Это было простое слово Flvbybcnhfnjh, что по-русски означает Администратор.

Локальный взлом

Наутро, посмотрев логи, злоумышленник сконнектился по ssh на сервер. Демон впустил хакера в систему, так как пароль действительно был подобран верно. Теперь следовало достать root-пароль и предоставить доступ заказчику. Что касается операционки, то на машине был установлен новый Alt Master 2.2. Ядро не поддавалось ptrace, и эксплоитов для этой системы еще не было. Пришлось действовать нестандартными путями.

Содержание  Вперед на стр. 061-052-2
ttfb: 3.6311149597168 ms