![]() |
|||
Появление этого материала, в общем-то уже устаревшего, в этом номере, обязано недавнему заявлению от AV компаний. Читайте об этом в разделе News. Для восстановления справедливости, и восстановления реального развития событий в этой области и появилась эта статья здесь. Все началось еще в 2003 году. 14 ноября, один из постоянных посетителей форума на mazafaka.ru запостил сообщение о неких ботах, которые позволяют быстро находить php-include баг на сайтах, используя для этого Google (исходники ботов были выложены немного позже - но в хистори файле именно это число отмечено, как дата релиза первой версии). Мне удалось задать пару вопросов, лично, создателю ботов. Привожу здесь текст этого небольшого интервью, которое состоялось у меня через icq: PoizOn: Привет! Я знаю что у тебя мало времени, поэтому сразу перейду к вопросам. Как появилась идея создать эти боты? usun: Хай, сорри я редко в аську теперь выхожу - работы много. А боты появились именно под воздействием mazafaka.ru Я пару раз видел, что появлялись вопросы что можно сотворить с багом, когда доступны на просмотр файлы сервера, например etc/passwd. Я решил сначала ради любопытства посмотреть, а как легко такие дырки можно обнаружить, используя обыкновенные посковики? Опять же на мазе читал статью про расширенный синтаксис поиска в гугле и как его можно для поиска конфиденциальной инфы навести. Используя этот синтаксис inurl:"index.php?file=" я вручную обнаружил, что оказывается таких дырок дофига, и поиск легко можно алгоритмизировать просто вводя что-то типа http://site.com?file=../../../../../../../../../../../../../etc/passwd и проверяя появлялись ли волшебные строчки вида 'root:' :) Я до этого слышал, что Google предоставляет свободно - вебсервис для автоматизации поиска - Google API. Все это легко связалось вместе и я сходу написал сначала черновую версию ботов (которые с консоли просто работали), использующих веб сервис гугла. Потом, я с удивлением обнаружил, что таким образом удается найти херову тучу уязвимых серверов, а Хмелик (Khmelic), предложил еще более интересную дырку, когда доступен внешний инклуд, и которая так же легко искалась гуглом и проверялась. Так я в итоге выложил первую версию ботов. Затем они стали пользоваться некоторой популярностью и я решил их кардинально улучшить. Еще пару лет до этого, я делал проект - framework, для создания систем автоматизации, и у меня был базовый движок, на котором могли довольно устойчиво и многопоточно работать различные роботы - именно туда (JobsFramework) я и перевел дальнейшие версии ботов. Позже - летом, я защищал диссертацию по IT и использовал разработки своего движка ботов, но после этого, вынужден был прекратить работы над ним, из-за нехватки времени. PoizOn: То есть ты окончательно закрыл свой проект, и считаешь это уже историей и не более того? usun: Нет, я все же лелею надежду выложить все исходники с описаловом, и сделать open source проект в будущем - как появиться время :) PoizOn: Спасибо за рассказ о ботах,
удачи тебе и успехов в дальнейших проектах! PoizOn: О! Я от всей mazafaka.ru поздравляю тебя с приближением этого события. Думаю остальные присоединяться ко мне в разделе regardz :-). Вот такой вот разговор. Но мы вернемся в январь 2004 года. Сразу интерес к ботам не возник, хотя поиск подобных сайтов был любимым занятием тогдашней тусовки на мазе, так как давал во многих случаях web-shell, или чтение файлов на сервере. Root-аккуаунты брали просто и много, тем более ptrace-баг был очень распрастранен (особенно удачлив был Khmelic, позже он написал статью о том как рутать серваки используя этот баг, и выложил ее на форуме в разделе Hacking (как мы видим из интервью с usun'ом, он был одним из тех кто подкинул ему идею, заложенную в ботах). Интерес к ботам постепенно возрастал. На бэкграунде этого интереса, трудился __SPiRiT__, который активно взаимодействовал с usun'ом, и пытался разобратся с настройкой и использованием этих ботов. Результатом этого взаимодействия стала статья (мануал) по настройке ботов "для поиска полуфабрикатов" - (полуфабрикатами они были названы потому, что использовались найденные сайты зачастую только для дефейса, и именнно такой стикер висел в разделе Hacking - "Полуфабрикаты для дефейса"). Текст этой статьи был выложен на форуме 6 января 2004 года, его я приведу здесь без изменений.
После этой статьи - количество полуфабрикатов значительно увеличилось (так же как и количество дефейсов и порутанных серверов), так как боты стали популярны, и понятны большинству народа, которые стали сотнями регать ключи на гугл и прочесывать интернет с помощью Google. Через несколько месяцев такой активной работы, (плюс ко всему, боты usun постоянно апдейтил, и делал все более дружественными для пользователя) сайты с php-include стали встречаться все реже и реже. Админы начали шевелиться, и менять конфиги в php.ini :-). Но эта эра, господства ботов usun'a еще не закончилась. Идея понравилась народу, который мог еще кое-что кодить. Через некоторое время said запостил в разделе Programming статью о использовании Google API для взаимодействия с этим поисковиком и в качестве примера реализовал это на Perl. Еще позже появилась программа ftp-hakka от Khmelic'a, написанная на Delphi и работающая с google, (она использовалась для брута ftp аккаунтов), почти одновременно с ней вышла программа sql-ninja написанная мной, которая опять же работала с google, используя все те же механизмы что и боты usun'a (Google API), она использовалась для поиска sql-inject'а, поддерживала прокси и многопоточность (справедливости ради, надо заметить, что идея поиска sql-inject'a через гугл принадлежала опять же usun'у, но алгоритм поиска в sql-ninja немного отличался). Написана она была благодаря статье said'a (а значит и благодаря появлению ботов usun'a). Вообще, анализируя всю эту историю, я вижу что создание и развитие этих ботов - результат всеобщего взаимодейстивя в данной тусовке. Из этого можно сделать вывод об успехе этого проекта, если он будет когда либо продолжен в качестве open source. Также, я надеюсь, что теперь, вам станет понятна тормознутость AV компаний, которые только теперь предлагают что-то подобное (после эпидемии perl'ового червя :-))). В общем - следите за рекламой и вы будете на шаг впереди. Дистрибутив самых первых ботов или более поздние версии вы можете найти в интернете, или поспрашивать у старожил форума mazafaka.ru (ссылка на последние версии приводиться в этой статье). |
|||
![]() ![]() ![]() ![]() |
|||
Автор:
PoizOn /11.02.05/ © Mazafaka.Ru - E-Zine - 2005 © |