-----------------------------------------------
#!/usr/share/doc/defaced/3/cases/netbilling.txt
-----------------------------------------------


                         Как был взломан netbilling.com

Как-то просматривая форум на www.xakep.ru, встретил я объявление о взломе сайтов
на  заказ,  и  вроде  как  человек предлагал хорошие деньги. Списался я с ним, и
получил  список  из трех сайтов, одним из которых значился netbilling.com. Стоял
он  на  Apache 1.3.26, чем выгодно отличался от двух других, которые тоже стояли
на Apache, но уже версии 1.3.27.
Просканил  я его XSpider, и увидел невеселую картину, открыты стандартные порты,
на  сервере возможна утечка в общедоступной памяти 'scoreboard', но так как я не
локальный  пользователь,  оно  мне  было  и  не  надо. Правда, были открытые для
просмотра директории:

/merchant/     
/files/
/images/
/info/
/mrtg/
/scripts/

но в этих директориях также не было ничего особо ценного.

Была также парочка багов с настройкой:

http://netbilling.com:80/admin/credit_card_info.php  -  кредитных  карт здесь не
оказалось,
http://netbilling.com:80/phpmyadmin/tbl_create.php  - это было интереснее, можно
было просмотреть информацию о зарегистрированных в системе юзерах по запросу:

http://netbilling.com/phpmyadmin/user_details.php,

и список баз со статистикой:

http://netbilling.com/phpmyadmin/db_stats.php.

Но все это были мелочи. 
Правда был еще один баг с настройкой:

http://netbilling.com:80/cgi-bin/printenv  -  по  поводу  которого Xspider выдал
"может быть полезная информация". Но в отличии от стандартной страницы printenv,
на  которой  иногда  может быть и бывает полезная информация aka версии сервера,
твоего  ip,  и т.д., на этот раз появилась страница Apache module update с окном
ввода Module to update:.
 
И  вот  в  это  окно  (собственно в тот момент возникла мысль, что сама страница
напоминает сценарий cmdasp.asp), я ввожу ls /, и вижу листинг корня. Ну а дальше
началось путешествие по директориям - ls /www/ и т.д.
Сайтов  там  висело  предостаточно.  Половина  из  них  было  порнушных, поэтому
потихоньку  я добрался и до паролей мемберов, тем более что команда cat работала
без проблем - cat /www/hornybitches/passwords/htpasswd2 ;-).
Скачав  все это себе на винт, я решил поискать и место расположение credit card.
В  одной  из  директорий netbillingа я обнаружил файл 1020048073633.dmp, при его
открытии  я и узрел магические символы забугорной респектабельной жизни. Но файл
был  большим,  и  при  его открытии IE в один момент завис. Пришлось перегрузить
систему,  и  вернуться  к  страничке.  Тогда  я решил скопировать файл в одну из
веб-директорий, и это тоже сработало:
 
cp    /www/netbilling/уже    не    помню    какая   директория/1020048073633.dmp
/www/netbilling/htdocs/files/1020048073633.dmp где он до сих пор и лежит ;-).

Для  тех  кто не понял - http://netbilling.com:80/files/. Забирайте файл ;-) это
мой подарок.
  
durito <[email protected]>