O imitatores, servum pecus! Начало этой истории было положено топиком на форуме от spitfire в котором она кинула ссылку на сайт besthlam.nm.ru Зайдя на сайт сразу уперся взглядом в какие-то подозрительно знакомые новости :) Удивительные дела встречаются сплошь и рядом, все новости на этом сайте были абсолютно полностью содраны с rst.void.ru, также были содраны и все статьи и программы... Поразительно, но неужели у автора этого сайта не хватило мозгов даже на то, чтобы написать самому хоть одно слово? Видимо нет :( Походив по сайту все таки нашел то, что этот идиот сделал сам :) во всех статьях он удалил авторов и в конце статей приписал ссылку на свой убогий сайт :) В разделе contact я нашел немного инфы о авторе сайта и его почтовый адрес. В полной уверенности в разумность людей (даже таких) я сел писать письмо с просьбой убрать с сайта то, что не является результатом труда админа. > --- > From: > To: > Subject: site > > http://rst.void.ru сравните с новостями и дизайном на вашем сайте. > Плагиат это не хорошо. Убедительная просьба убрать наши новости с > вашего сайта, убрать наши статьи, наши релизы и наши эксплоиты. > --- Помоему вполне здравая просьба. Через некоторое время получаю ответ следующего содержания. > --- > From: > To: > Subject: Re: site > > Я знаю что ето не хорошо.Я извиняюсь но как только я раскручусь > а ето уже 20 рил на день сразу всьо уберу ваш банер на каждой моей странице !!! > --- Хммм... с русским у человека не лады :) Но да ладно это его проблемы. Баннеров я правда на сайте не заметил... удаленных авторов из статей заметил... а баннеров нет :( Подумав, что админ возможно просто не совсем правильно понял текст моего письма (с русским то у него туго) я решил написать более конкретно. > --- > From: > To: > Subject: Re[1]: site > > Вы видимо не поняли. Убрать надо сейчас, а не когда раскрутитесь. > --- Отослав письмо успокоился и стал заниматься своими делами, время еще было. Прождав три дня (может он эстонец) зашел опять на этот сайт... все по старому =( Администратор категорически не хотел идти на контакт =( Придется его немного подтолкнуть - подумал я. На этот раз просматривал сайт с более конкретной целью, обращая внимание на ссылки и используемые скрипты. nothing :( Сайт заделан полностью на html, а искать баги в самом newmail.ru с целью порутать сервак ради одного сайта было крайне лень, тем более, что уверенности в том, что я смогу найти багу в хостинге не было никакой. Клик на ссылке forum принес некоторое приятное разнообразие, меня перекинуло на другой сайт hlam.com.ua в пенаты phpBB =) Точно! На nm.ru php не выполнить и соответственно форум там админ прикрутить не смог, сделав форум на другом сайте. Ну мне особой разницы чем бы поторопить админа не было и я решил сделать что-нибудь хорошее (чтобы всем сразу стало плохо) на сайте hlam.com.ua Выбирать долго не пришлось, что вижу в то и тыкаю =) Форум был версии 2.0.6, получить хеш пароля администратора все равно, что отобрать конфетку у ребенка =) Все по стандартной схеме... Пустил с командной строки сплоит переписанный для работы через прокс, получил хеш, зарегистрировался на форуме и получил оттуда кукисы, изменил куки вставив хеш админа, залогинился на форум под админом... Перейдя в административный интерфейс форума легко и изящно (не без удовольствия) удалил все разделы, сменил админу пароль и мыло и написал в названии форума что-то вроде: "Убирай плагиат с сайта иначе будет продолжение". Имхо достаточно чтобы админ одумался и внял наконец к просьбам. Зародившуюся идею получить на сайте шелл через скуль убил на корню, так как возится было влом и цели сломать полностью сайт hlam.com.ua не стояло, просто оставил напоминание админу, вдруг он забыл про меня? За логи волноваться было нечего т.к. вся работы была через прокс. Первая часть марлезонского балета подходила к логическому завершению. Полный самых радужных надежд, ковыряя в носу, сидел и ждал письма от админа... Дождался :) > --- > From: > To: > > Щяс я качаю логи с другова сервера єсли там били ваши руки вам пизда форум > ваш улитит нахуй . и хост тоже !!!! > --- Ооооо... !!! Угрозы =) Это я люблю. Хотя это и не совсем то, что я ожидал, но тоже не плохо... по крайней мере весело. Значит конструктивного диалога не получится :( Отвечать на это письмо я не стал. Гораздо интереснее было посмотреть за его действиями. Пару дней сидел ждал когда же наступит "форум ваш улитит нахуй . и хост тоже !!!!" Не дождался =) Может магнитные бури? Или солнечная активность была сильной и явно не на стороне админа. Значит придется самим удалять плагиат с nm.ru Как я уже писал сайт был на html так что поиск скриптов бажных отменялся. Что осталось? Брутфорс пароля... долго и маловероятно. Мои внуки сломавшие на пенсии этот сайт врятли оценят полученные перспективы да и админ к тому времени вероятно уже склеит ласты. Восстановление пароля к сайту через секретный вопрос... то что дохтор прописал. Сервис новой почты на мою слезную просьбу "Забыл пароль" озадачил меня вопросом "Девичья фамилия матери"... откуда мне знать? я с ней не живу :) Чтож наступила пора более близко познакомится с этим человечком, пособирать на него информации. На тот момент времени была информация о двух его почтовых адресах admin@hlam.com.ua и kitamin@ua.fm и аське 232463571 =) Вполне достаточно. Просмотр информации в аське дал мне его имя: Игорь и телефон: +380 (67) 9235713 Незалежна Украина... или как там у них правильно пишется? Я с украинским не в ладах. Поиск в сети по почтовым адресам дал немного =( Два адреса форумов на которых он был зарегистрирован в качестве юзера. Информация с форумов также не дала ответа на насущный вопрос о фамилии его матери, да и о его фамилии инфы тоже получить не удалось. Было решено получить как можно больше различных его паролей с целью либо выявить какую-либо закономерность в создании им паролей и занятся брутфорсом, либо попробовать полученные пароли к nm.ru (вдруг он везде использует один и тот-же пароль). На тот момент был хеш пароля с форума на hlam.com.ua который я поставил на расшифровку и приступил к дальнейшему сбору. За время когда я занимался сбором инфы админ сайта тоже видимо не сидел сложа руки. Новая созданная новость на его сайте гласила "24.09.04 началась атака на rst.void.ru Вам піздец." Вау! Первая новость написанная им собственноручно! Прогресс налицо. Ну раз началась атака на наш сайт то нам следовало резко начать его бояться, забиться всем скопом под стол и сидеть дрожа от страха... Под стол я не влез так что решил боятся сидя на стуле. Посидел, минут 15 побоялся... потом мне что-то надоело боятся, да и судя по логам атаки так и не случилось, тогда я решил продолжить. Игорек (админ сайта этого) также поставил новый форум взамен немного поломанного мною. Просто обновил версию до 2.0.9 (гы также дырявая версия). Я решил просканить сайт hlam.com.ua на наличие бажных скриптов. Поиск оказался результативным и спустя пару минут я втыкал в файлик hlam.com.ua/error_log Занимательное чтиво скажу я Вам =) Например такое: [28-Aug-2004 02:07:25] PHP Warning: file(): Unable to access Впишите сюда путь к файлу со словарем, например word.txt или ../word.txt in /home/hlamcom/public_html/BruteMaxgal.php on line 12 [28-Aug-2004 02:07:25] PHP Warning: file(Впишите сюда путь к файлу со словарем, например word.txt или ../word.txt): failed to open stream: No such file or directory in /home/hlamcom/public_html/BruteMaxgal.php on line 12 [28-Aug-2004 02:07:25] PHP Warning: file(): Unable to access А сюда путь к файлу с зашифрованными паролями in /home/hlamcom/public_html/BruteMaxgal.php on line 18 [28-Aug-2004 02:07:25] PHP Warning: file(А сюда путь к файлу с зашифрованными паролями): failed to open stream: No such file or directory in /home/hlamcom/public_html/BruteMaxgal.php on line 18 [28-Aug-2004 02:09:07] PHP Warning: file(): Unable to access D:\\Program Files\\Arsenal company\\Сократ Персональный 4.0\\diction.en in /home/hlamcom/public_html/BruteMaxgal.php on line 12 [28-Aug-2004 02:09:07] PHP Warning: file(D:\\Program Files\\Arsenal company\\Сократ Персональный 4.0\\diction.en): failed to open stream: No such file or directory in /home/hlamcom/public_html/BruteMaxgal.php on line 12 [28-Aug-2004 02:09:07] PHP Warning: file(ftp://217.9.10.1): failed to open stream: No such file or directory in /home/hlamcom/public_html/BruteMaxgal.php on line 18 [28-Aug-2004 05:02:28] PHP Warning: dir(/home/hlamcom/): failed to open dir: Permission denied in /home/hlamcom/public_html/remview_2003_10_23.php on line 687 [28-Aug-2004 05:08:33] PHP Warning: dir(/home/hlamcom/): failed to open dir: Permission denied in /home/hlamcom/public_html/remview_2003_10_23.php on line 687 А Игорек то оказывается балуется с расшифровкой паролей =) А также мучался с remview ... хакер блин.. опасный человек. Попробовал открыть hlam.com.ua/remview_2003_10_23.php но получил отлуп =\ видать он побаловавшись уже удалил скрипт. Дальнейший просмотр файла логов одарил меня следующей записью: [28-Aug-2004 05:13:30] PHP Warning: fopen(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/home/hlamcom:/usr/lib/php:/usr/local/lib/php:/tmp) in /home/hlamcom/public_html/nfm.php on line 1077 Хех и нафига ему passwd сдался? Зато запрос hlam.com.ua/nfm.php вернул мне приятный интерфейс скрипта для выполнения команд на серваке =) Аллилуя... Как оказалось старый форум Игорек все-же оставил на сайте, он просто скопировал его в папку forum2. Я быстренько изучил структуру сайта, посмотрел доступные каталоги и файлы. Особо интересных файлов найдено не было =( Слил файлы конфигов старого и нового форумов. Получил два новых пароля в копилку: $dbhost = 'localhost'; $dbname = 'hlamcom_xmb1'; $dbuser = 'hlamcom_xmb1'; $dbpasswd = 'ZKRQyLx2zS'; $dbhost = 'localhost'; $dbname = 'hlamcom_phpbb1'; $dbuser = 'hlamcom_phpbb1'; $dbpasswd = 'QEzPNTjuYh'; Мдя... если у него все пароли такие то мне нифига не светит. Но возможно эти пароли автоматом генерятся хостингом для скуля. Далее залил на сайт наш скрипт для доступа к базе mysql (rst_mysql.php для тех кто в танке) и пользуясь полученным доступом к скулю, вытащил хеш админа с нового форума... В тоже время быстренько окучил один из форумов, который был найден ранее при поиске в сети по мылу Игорька. И соответственно приплюсовал хеш пароля с того форума к копилке паролей. Итак на данный момент времени было 3 хеша которые следовало попробовать расшифровать, что я незамедлительно и сделал... Время шло, а расшифровка хешей так и не приносила логического результата. Надо было найти другой путь дабы дождаться результата раньше наступления маразматической старости. Решил пощупать сервис новой почты на тему возможностей уворовать пароль другого пользователя. Для этого создал на nm.ru аккаунт и стал смотреть и изучать как там у них все устроено... сейчас мы их проверим сейчас мы их сравним. Методом научного тыка было выяснено следующее: - Служба восстановления пароля высылает реальный дествующий пароль на любое мыло которое будет указано в форме вне зависимости от мыла прописанного в настройках, конечно при условии правильного ответа на секретный вопрос. - Для смены секретного вопроса и ответа не требуется ввод пароля - Через интерфейс администрирования также доступен и веб интерфейс почтового ящика Просмотрев html код формы смены секретного вопроса получил ссылку с помощью которой можно сменить вопрос-ответ: http://www4.nm.ru/users/chpass.dhtml?cp_msg=1&__post=1&cp_quest=111&cp_answ=222 Если пользователь новой почты откроет эту ссылку, когда он залогинен на сайте, то секретный вопрос сменится на 111 а ответ соответственно на 222 Таким образом оставалась лишь одна проблема... как заставить пользователя открыть эту ссылку. Поизучав немного почту nm.ru я был приятно удивлен тем, что в теги в пришедших письмах не фильтруются вообще =) Дальше дело за малым. Написал письмо следующего содержания: --- Привет. Клевый у тебя сайт! Давай знакомится! --- Если пользователь новой почты откроет такое письмо через веб-интерфейс то будет загружена картинка урл которой как раз и совпадает с запросом смены секретного вопроса. Так-же размеры картинки сделаны нулевого размера чтобы пользователь ничего не увидел и не заподозрил. Создав быстренько почтовый ящик на рамблере, как бы от имени девушки желающей познакомится с админом такого классного сайта besthlam.nm.ru, отослал письмо с ява-скриптом на ящик besthlam@nm.ru. Далее оставалось только ждать, надеясь на то что Игорек просматривает почту через веб-интерфейс и картинки у него грузятся. Я не ошибся в своих надеждах и спустя пару часов увидел, что секретный вопрос сменился =) Восстановил пароль на свое мыло и сел ждать письма от суппорта новой почты. Далее все было прозаично... получив письмо с паролем залогинился на nm.ru, сменил пароль, инфу и секретный вопрос. Итак сайт besthlam.nm.ru под моим контролем. Тот факт, что сервис новой почты при восстановлении пароля позволяет высылать текущий пароль был весьма кстати по одной простой причине о которой далее. Безусловно с помощью xss можно было не менять секретный вопрос а получить данные из кукисов залогиненного юзера, но в таком случае воспользовавшись этими данными в дальнейшем я бы не смог просмотреть пароль юзера, который был достаточно важен для меня... Большинство пользователей не утруждают себя выдумыванием большого количества различных паролей на разные сервисы и получив пароль, например к одному почтовому ящику, можно практически с 99% уверенностью утверждать, что этот пароль совпадет с паролями и на большинстве других ящиков этого пользователя. Видимо фортуна наконец решила махать перед моим носом не только филейной частью и пароль Игорька от сервиса nm.ru подошел также и к мылу kitamin@ua.fm =) Пользователь оставляющий письма на сервере - это просто подарок судьбы какой-то =) Видимо Игорек не слышал о существовании программ почтовых клиентов, тем хуже для него. В папках этого почтового ящика я нашел большое количество архиинтересных мыл с паролями и прочими вкусняшками =) Например такие вкусности: FTP: allweb.h12.ru login: allweb9 password: izDvJt6D FTP: hlam.siteburg.com login: hlam1 password: wnYLmPUn Ваш логин: hlam Имя вашего сайта http://hlam.wol.bz Ваш пароль: 0354417 FTP: lafa.h12.ru login: lafa9 password: c5pqnxqC Вы зарегистрировали сайт: http://web-url.wol.bz Ваш логин : web-url Ваш пароль: 0354417 Но эти сайты меня мало интересовали т.к. бесплатные сайты мне нафиг не нужны. Зато порыскав еще маленько по почте Игорька я нашел то, что и искал. Инфа о сайте hlam.com.ua включаюшая логин и пароль для доступа к панели управления. Зер гуд Вольдемар. Сменил пароль на мыле kitamin@ua.fm, сменил пароль для панели управления сайтом hlam.com.ua и поставил редирект с этого сайта на наш сайт. После этого на besthlam.nm.ru написал на главной странице послание Игорьку-плагиатору... the end ... ? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1dt.w0lf // RusH security team // http://rst.void.ru // ~04.10.04