Расскажу свою историю, которая станет в некоторой степени поучительной. Изначально дело происходило летом, примерно в июле-августе.
Представьте себе провинциальный городок с населением около 60000 человек. В городе этом два провайдера. Один действует уже около 8 лет и имеет около 5000 клиентов. Про него и сей рассказ.
Просматривая один из ресурсов (а точнее — сайт администрации того города), расположенный на сервере, принадлежащем провайдеру, изменил запрос /news.php?id=123 на /news.php?id=124-1. Результат не изменился — ошибок нет, отображается та же новость. Дальше — рутинная работа по подбору количества полей. В принципе, ничего интересного я не ждал, подобных ошибок полно, если бы всё это дело не работало из пользователя root. К тому же не фильтровались теги и яваскрипт в теле новостей. И тут Остапа понесло…
Были найдены и остальные ресурсы, расположенные на том же сервере — сайты прокуратуры, УВД и пр. Однако на них на поиск уязвимостей тратить время не стал. Обращения к серверу из под root'a позволяли читать все файлы и базы данных на сервере всё через ту же инъекцию. Были найдены конфигурационные файлы серверов и средств разработки, файлы паролей, программные коды сайтов, систем биллинга и оплаты, конфигурационные файлы phpmyadmin и файлы авторизации в нём же. Так был получен и удобный полный доступ ко всем БД. На одном сервере хранились и данные, необходимые для деятельности самого провайдера и базы сайтов.
Слито было всё, что могло быть интересно: личные данные 5000 пользователей (информация, которую они предоставляли для договоров), логины, пароли, договора, деньги на счету и информация о картах оплаты (номинал, активирована или нет). Естественно, я мог любому пользователю положить миллион на счёт, другого обанкротить, мог активировать карты и т.д.
Далее работа по залитию шелла. Был найден заброшенный ресурс на том же сервере, никем не посещаемый уже пару лет с админкой к «мамбе». Через phpmyadmin создал там пользователя-администратора, зашёл под ним и залил шелл, дополнительно кинув туда скрипт-прокси, через который потом цеплялся для доступа к некоторым ресурсам сети, закрытым от доступа извне.
Погуляв по серверу, оставил всё как есть до будущих времён. Отчасти не по своей воле. Просто отдел «К» изъял из дома три компьютера по другому делу. Продержав технику у себя шесть с лишним месяцев после суда вернули и я вспомнил про тот шелл.
Зайдя — немного удивился, поскольку вместо ожидаемого увидел там красочную надпись «Hacked by Вася». Честно говоря немного испугался, как бы хакер Вася чего не натворил. Но Васи хватило только на изменение этой странички чужого шелла, до интересных данных он не добрался.
Дальнейшие действия вы, скорее всего осудите. Да топик не об этике. Провайдеру было написано письмо с доказательствами того, что я имею полный доступ к информации и предложение «купить» у меня информацию об ошибке за скромное вознаграждение, благо репутация дороже. Ответ не заставил себя ждать. Мне позвонил коммерческий директор данной организации. Состоялся разговор, в котором я попросил 40 000 рублей за обещание данную информацию не распространять и объяснить их специалистам как устранить дыру. Собеседник попросил день на раздумье, поскольку подумал, что в его организации есть крот, сливший мне данные.
На следующий день звонка не последовало, интерфейс phpmyadmin «исчез», а шелл и прокси были удалены. Однако через инъекцию я всё же мог читать все файлы. Позвонил коммерческому директору сам и сказал что раз пошла такая пьянка, то его клиентам наверное будет очень интересно увидеть свои данные на одном из официальных сайтов, допустим — прокуратуры. Это подействовало. Договорились на 30 000 рублей двумя частями — первую сразу, вторую — после раскрытия информации об уязвимости.
Дальнейшее уже малоинтересно. Все выполнили свои обещания. Все довольны.
Мораль сей басни такова — я, может, и скотина и гореть мне в аду. Но! Уважаемые, если кто-то занимается предоставлением подобного рода услуг, следите за безопасностью. Ошибка «детская», но к чему может привести видно из данной истории.
P.S. Если кому интересно, за что изымали компьютеры сотрудники отдела «К», могу написать отдельно. Так как это уже другая история, с обыском, следствием, допросами, экспертизами и судом.
Представьте себе провинциальный городок с населением около 60000 человек. В городе этом два провайдера. Один действует уже около 8 лет и имеет около 5000 клиентов. Про него и сей рассказ.
Просматривая один из ресурсов (а точнее — сайт администрации того города), расположенный на сервере, принадлежащем провайдеру, изменил запрос /news.php?id=123 на /news.php?id=124-1. Результат не изменился — ошибок нет, отображается та же новость. Дальше — рутинная работа по подбору количества полей. В принципе, ничего интересного я не ждал, подобных ошибок полно, если бы всё это дело не работало из пользователя root. К тому же не фильтровались теги и яваскрипт в теле новостей. И тут Остапа понесло…
Были найдены и остальные ресурсы, расположенные на том же сервере — сайты прокуратуры, УВД и пр. Однако на них на поиск уязвимостей тратить время не стал. Обращения к серверу из под root'a позволяли читать все файлы и базы данных на сервере всё через ту же инъекцию. Были найдены конфигурационные файлы серверов и средств разработки, файлы паролей, программные коды сайтов, систем биллинга и оплаты, конфигурационные файлы phpmyadmin и файлы авторизации в нём же. Так был получен и удобный полный доступ ко всем БД. На одном сервере хранились и данные, необходимые для деятельности самого провайдера и базы сайтов.
Слито было всё, что могло быть интересно: личные данные 5000 пользователей (информация, которую они предоставляли для договоров), логины, пароли, договора, деньги на счету и информация о картах оплаты (номинал, активирована или нет). Естественно, я мог любому пользователю положить миллион на счёт, другого обанкротить, мог активировать карты и т.д.
Далее работа по залитию шелла. Был найден заброшенный ресурс на том же сервере, никем не посещаемый уже пару лет с админкой к «мамбе». Через phpmyadmin создал там пользователя-администратора, зашёл под ним и залил шелл, дополнительно кинув туда скрипт-прокси, через который потом цеплялся для доступа к некоторым ресурсам сети, закрытым от доступа извне.
Погуляв по серверу, оставил всё как есть до будущих времён. Отчасти не по своей воле. Просто отдел «К» изъял из дома три компьютера по другому делу. Продержав технику у себя шесть с лишним месяцев после суда вернули и я вспомнил про тот шелл.
Зайдя — немного удивился, поскольку вместо ожидаемого увидел там красочную надпись «Hacked by Вася». Честно говоря немного испугался, как бы хакер Вася чего не натворил. Но Васи хватило только на изменение этой странички чужого шелла, до интересных данных он не добрался.
Дальнейшие действия вы, скорее всего осудите. Да топик не об этике. Провайдеру было написано письмо с доказательствами того, что я имею полный доступ к информации и предложение «купить» у меня информацию об ошибке за скромное вознаграждение, благо репутация дороже. Ответ не заставил себя ждать. Мне позвонил коммерческий директор данной организации. Состоялся разговор, в котором я попросил 40 000 рублей за обещание данную информацию не распространять и объяснить их специалистам как устранить дыру. Собеседник попросил день на раздумье, поскольку подумал, что в его организации есть крот, сливший мне данные.
На следующий день звонка не последовало, интерфейс phpmyadmin «исчез», а шелл и прокси были удалены. Однако через инъекцию я всё же мог читать все файлы. Позвонил коммерческому директору сам и сказал что раз пошла такая пьянка, то его клиентам наверное будет очень интересно увидеть свои данные на одном из официальных сайтов, допустим — прокуратуры. Это подействовало. Договорились на 30 000 рублей двумя частями — первую сразу, вторую — после раскрытия информации об уязвимости.
Дальнейшее уже малоинтересно. Все выполнили свои обещания. Все довольны.
Мораль сей басни такова — я, может, и скотина и гореть мне в аду. Но! Уважаемые, если кто-то занимается предоставлением подобного рода услуг, следите за безопасностью. Ошибка «детская», но к чему может привести видно из данной истории.
P.S. Если кому интересно, за что изымали компьютеры сотрудники отдела «К», могу написать отдельно. Так как это уже другая история, с обыском, следствием, допросами, экспертизами и судом.