un1c0rn, «Google для уязвимостей»

    На хабре уже появлялись статьи о незащищенных инстансах mongodb и непропатченных openssl с heartbleed.
    Проект un1c0rn решил не мелочиться и сделать целый «поисковик уязвимостей», в статье на Motherboard.vice.com un1c0rn даже назвали «Google-ом для уязвимостей».



    UPDATE 17.06.14 — un1c0rn стал платным! Теперь для доступа к результатым эксплойтов они просят перевести на их кошелек сумму не менее 0,01 BTC
    Warning:
    Only part of the leaked data is available.
    Send your contribution to… (> 0.01 BTC) to unlock the full leak.



    Принцип работы похож на Shodan: робот сканирует определенные порты для всех IP адресов (на данный момент более 62 тыс. около 59 000), но в отличии от shodan еще и запускает набор эксплойтов, и что самое странное, публикует результаты в открытом виде на сайте.

    Авторы статьи утверждают что если ввести в строку поиска «credit card» и покопаться в результатах можно найти много интересного.

    «Покопаться» надо основательно, так как поиск оставляет желать лучшего (нельзя например фильтровать по одному IP или диапазону). Я сам, если честно, дальше просмотра результатов не пошёл, но то, что увидел, похоже на достаточно опасную информацию, в особенности в уязвимостях типа heartbleed.

    Например
    un1c0rn.net/?module=hosts&action=detail&ip=168.144.27.186
    — heartbleed — 8443 | b6j8
    95c3166d6a53d23026887c1f8c; locale=en-US; psaContext=dashboard; BarExpanded=True
    u5hM]
    D=ce1a9195c3166d6a53d23026887c1f8c; locale=en-US; psaContext=dashboard
    697178f7e7fa0c2863fb8f0886d9f04e/referer/branding-77-manage.myhosting.com/activated_by_mouse_click/true/nodeid/plesk_vps_main
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: en-US,en;q=0.8
    login_name=admin&passwd=Chicken1234&locale=en-US&locale_id=en-US&login_locale=en-US…

    Или

    un1c0rn.net/?module=hosts&action=detail&ip=212.186.117.162

    — heartbleed — 443 | =RV>
    yiNC
    fFG>
    Aog,C
    r: 212.186.117.162/themes/pfsense_ng/login.css
    Cookie: PHPSESSID=d5754d40720b50293753aeb61fc78954; cookie_test=1401391652
    Connection: keep-alive
    If-Modified-Since: Fri, 12 Apr 2013 14:31:46 GMT
    If-None-Match: «4079480975»
    %3Aed9e87ca72211055016df7735239f480bc83f0c1%2C1397210984&usernamefld=admin&passwordfld=khk%2326%239020&login=Login
    rjXp~

    UPDATE- Пароль в открытом виде практически у всех систем с pfSense — поиск строки &usernamefld=admin&passwordfld дает страшные результаты
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 29

      –3
      Еще один повод для введения многофакторной авторизации сделок, да и вообще любых действий. Хотя с каждым разом становиться все сложнее и сложнее. Уже проще сходить в магазин и купить просто в магазине.
        +2
        Количество дефейсов в этом полугодие вырастет втрое.
          +3
          Астрологи объявляют неделю дефейсов
          +8
          Спасибо, обновил систему на 212.186.117.162, пароль сменил :)
          не знаю чей это фаервол, но так, на всякий случай
            +2
            Вот как удачно, я то я сдуру к вам напрямую зашел (если честно не думал что пароль реальный), и уже писал письмо с объяснениями на админ контакт домена :)
              +5
              фаервол не мой, я просто пофиксил :D
                +3
                Ну так пароль отправьте новый хоть владельцу то :)
                +3
                «Фаервол не мой, я просто обновил систему.»
                  0
                  болею, что поделать.
                  за вчера обновил 8 фаерволов, сменил 5 паролей.
                  потом плюнул и просто письма рассылал «смените сами»
                    0
                    а что вручную? может сделать скрипт для автоматической смены пароля и уведомления на abuse адрес?
                      0
                      я ж болею! скриптом только подготовил логин-пароли и грепнул версию установленную.
                      кстати у некоторых стоит «защита по рефереру». которая лечится тупо не передачей реферера…
                        0
                        Мои искренние комплименты :) надо подать идею команде проекта
              +2
              Пароль в открытом виде практически у всех систем с pfSense — поиск строки &usernamefld=admin&passwordfld дает страшные результаты
                –1
                я не знаю почему они автоапдейт не включают. в 2.1.2 пофиксили дыру ж: blog.pfsense.org/?p=1253
                  +2
                  интересно. у народа 2.1.3, а пароль подходит. то есть народ апает но не меняет пароли :)
                0
                может кто подскажет
                как тогда монгу закрыть можно?
                  0
                  Ну хотя бы файрволлом, что ли
                    0
                    А в чем здесь проблема с монгой?
                      0
                      По умолчанию к монге есть доступ из-вне,
                      если используется только с того же хоста, то, как рекомендовал humbug ниже, надо прописать bind_address=127.0.0.0
                      если доступ с нескольких хостов то можно ограничить с помощью iptables (то что я имел ввиду говоря про файрвол)
                        0
                        т.е. порт просто светится наружу?

                        а откуда тогда leak data?
                        вот первый попавшийся:
                        — openmongo — 93.114.46.115/edutrain 0.203GB
                        MongoDB shell version: 2.6.1
                        connecting to: 93.114.46.115/edutrain
                          0
                          так если порт доступен, то данны тоже — никакой защиты ведь нет
                            0
                            а админский логин/пароль?
                              0
                              да, надо запускать с ключом --auth = true
                              он по умолчанию тоже отключён
                                0
                                И кстати, порт все равно надо закрывать, Bruteforce еще никто не отменял, и даже если пароль достаточно сложный, сами попытки создадут лишнюю нагрузку.
                    +2
                      0
                      У себя закрыл через iptables, а что бы и дальше получать к монге доступ с рабочего компа просто пробросил порты через ssh-тоннель :) bind_ip пытался использовать, но что-то не взлетело и подключиться становилось не реально, то ли баг был то ли еще чего, не было времени особо разбираться.ё
                      0
                      [del]
                        –5
                        хм. а я тут намедни запустил — publicwww.com
                        не то чтоб для поиска уязвимостей, но сайты по сигнатурам технологий искать умеет

                        Only users with full accounts can post comments. Log in, please.