Привет, Хабр!
Наконец то дописал продолжение моей истории.
Опять напомню:
Итак… закончил я рассказ на месте где google обратил мое внимание на то что существует способ залить веб-шел.
Итак я перешел по ссылке и прочитал мини статью о том как получить доступ в админку зевса.
Основные моменты в процессе хека админки были в том что нужно было иметь:
Последние две вещи любезно предоставил автор статьи, а с первыми двумя пунктами мне помог уже упомянутый сниффер Wireshark. Было словлено как я упоминал GET запрос к файлу конфига и POST на гейт.
В статье было указано что обычно файл админ панели называется in.php и лежит рядом с гейтом, но мне не повезло и по адресу рядом с гейтом админки не было :( Это меня не огорчило ибо эксплоит к админке заливал и выполнял php код, я видимо немного приукрасил :) когда описывал что эксплоит (да и статья про заливку шела) позволяли залить именно веб-шел, на самом деле изначально эксплоит пользуясь уязвимостью в гейте заливал и исполнял php код который получал данные подключения к mysql базе и доставал оттуда логин и пароль пользователя(ей). Ну а так как вводить это все добро мне было некуда я модифицировал код эксплоита так чтоб тот заливал веб-шелл и мейлом слал мне где он лежит и собственно логины и пароли.
Веб-шелл залит, на почте письмо с логин\пасс от юзеров и естественно линк на шел. Заходим… потер следы моего эксплоита (php скрипт который слал данные юзеров).
И тут мне приглянулось что владелец ботнента особо не волновался и все было с правами root.
Итого у меня был доступ к абузоустойчивому серверу (в Китае) и к всем его ресурсам и содержимым (включая базу т.к. в конфиге админ панелти я обнаружил опять root юзера к mysql).
Полазив по серваку(если память не изменяет P4(1.8)\1024\200gb\100mbit), почистив логи и прочие радости жизни я полез изучать далее что на веб сервере живет. К сожалению там только зевс и был :( ничего чтоб еще разобрать не было 1 виртуальный хост к которому алиасами было привязано 6 доменов.
Ладно, лезем в админку…
В админке оказалось ~2000 ботов из стран СНГ, ~2000 Великобритании и ~1000 США.
Админка говорила что за последние 24 часа к ней отстучало около ~40% ботов.
В оналайне было ~900 ботов, больше всего Великобритании.
Посмотрел логи, бот как было видно выполнял свою работу на отлично. Похищенных данных было много.
Ну особо тут больше рассказать нечего. Про админку, бота, его работу и функционал я опишу в отдельной статье.
Дальше меня посетила мысль что надо как-то подпортить малину так сказать.
Создав себе нового пользователя в системе с root правами я сел думать чтоб сделать.
Первая идея была оповестить протрояненных пользователей что они заражены (вру… сначалая хотел поработить этой бот армией мир а потом спасти бедных протрояненных юзеров).
Был написан простенький .bat файлик (типа hello world) в котором было нечто «Вы заражены вирусом, пожалуйста скачайте и установите антивирус, желательно ESET NOD32» (потом меня распирала гордость что возможно я принес ESET сотню новых клиентов) поставлен на прогрузку 2 файла, на русском для СНГ и на английском для других соответственно.
Посидев подумал еще я понял что не уйду оттуда без мегокрутого дефейс месаджа и я создал в корне сайта owned.txt
содержание которого было:
…
На следующий день вернулся посмотреть на стату задач по прогрузки моего inform .bat файлика, особо не был удивлен что задачи удалены, но порадовало что количество активных ботов за сутки упало с ~40% до ~28% ( или 25%, не помню).
Потом ради интереса заглянул в место харения owned.txt и увидел там:
Потом проверил доступы к root юзерам системы и mysql они были сменены.
Особо больше ничего я задумать коварного не смог да и не хотел.
Я прописал в консоли rm -rf /
и удалился с сервера.
Вот и все :)
Буду рад ответить на ваши вопросы и пожелания про что еще написать из темы малвари.
На днях последует статья о Zeus в подробностях.
Наконец то дописал продолжение моей истории.
Опять напомню:
Вся информация в этой статье предоставлена чисто для ознакомления и рассчитана прежде всего указать на ошибки в системах безопасности.
Итак… закончил я рассказ на месте где google обратил мое внимание на то что существует способ залить веб-шел.
Итак я перешел по ссылке и прочитал мини статью о том как получить доступ в админку зевса.
Ломать — не строить
Основные моменты в процессе хека админки были в том что нужно было иметь:
- Конфигурационный файл бота
- Путь к гейту бота
- Декриптор конфига
- Эксплоит для админки
Последние две вещи любезно предоставил автор статьи, а с первыми двумя пунктами мне помог уже упомянутый сниффер Wireshark. Было словлено как я упоминал GET запрос к файлу конфига и POST на гейт.
В статье было указано что обычно файл админ панели называется in.php и лежит рядом с гейтом, но мне не повезло и по адресу рядом с гейтом админки не было :( Это меня не огорчило ибо эксплоит к админке заливал и выполнял php код, я видимо немного приукрасил :) когда описывал что эксплоит (да и статья про заливку шела) позволяли залить именно веб-шел, на самом деле изначально эксплоит пользуясь уязвимостью в гейте заливал и исполнял php код который получал данные подключения к mysql базе и доставал оттуда логин и пароль пользователя(ей). Ну а так как вводить это все добро мне было некуда я модифицировал код эксплоита так чтоб тот заливал веб-шелл и мейлом слал мне где он лежит и собственно логины и пароли.
OWNED!
Веб-шелл залит, на почте письмо с логин\пасс от юзеров и естественно линк на шел. Заходим… потер следы моего эксплоита (php скрипт который слал данные юзеров).
OWNED part 2!
И тут мне приглянулось что владелец ботнента особо не волновался и все было с правами root.
Итого у меня был доступ к абузоустойчивому серверу (в Китае) и к всем его ресурсам и содержимым (включая базу т.к. в конфиге админ панелти я обнаружил опять root юзера к mysql).
Сестра, скальпель!
Полазив по серваку(если память не изменяет P4(1.8)\1024\200gb\100mbit), почистив логи и прочие радости жизни я полез изучать далее что на веб сервере живет. К сожалению там только зевс и был :( ничего чтоб еще разобрать не было 1 виртуальный хост к которому алиасами было привязано 6 доменов.
Ладно, лезем в админку…
В админке оказалось ~2000 ботов из стран СНГ, ~2000 Великобритании и ~1000 США.
Админка говорила что за последние 24 часа к ней отстучало около ~40% ботов.
В оналайне было ~900 ботов, больше всего Великобритании.
Посмотрел логи, бот как было видно выполнял свою работу на отлично. Похищенных данных было много.
Ну особо тут больше рассказать нечего. Про админку, бота, его работу и функционал я опишу в отдельной статье.
О_о кто ты и что ты тут забыл!?
Дальше меня посетила мысль что надо как-то подпортить малину так сказать.
Создав себе нового пользователя в системе с root правами я сел думать чтоб сделать.
Первая идея была оповестить протрояненных пользователей что они заражены (вру… сначалая хотел поработить этой бот армией мир а потом спасти бедных протрояненных юзеров).
Был написан простенький .bat файлик (типа hello world) в котором было нечто «Вы заражены вирусом, пожалуйста скачайте и установите антивирус, желательно ESET NOD32» (потом меня распирала гордость что возможно я принес ESET сотню новых клиентов) поставлен на прогрузку 2 файла, на русском для СНГ и на английском для других соответственно.
Посидев подумал еще я понял что не уйду оттуда без мегокрутого дефейс месаджа и я создал в корне сайта owned.txt
содержание которого было:
owned.
form .ru with love
…
На следующий день вернулся посмотреть на стату задач по прогрузки моего inform .bat файлика, особо не был удивлен что задачи удалены, но порадовало что количество активных ботов за сутки упало с ~40% до ~28% ( или 25%, не помню).
Потом ради интереса заглянул в место харения owned.txt и увидел там:
owned.
form .ru with love
мат, мат, мат отсюда
Потом проверил доступы к root юзерам системы и mysql они были сменены.
Особо больше ничего я задумать коварного не смог да и не хотел.
Я прописал в консоли rm -rf /
и удалился с сервера.
Вот и все :)
Буду рад ответить на ваши вопросы и пожелания про что еще написать из темы малвари.
На днях последует статья о Zeus в подробностях.
