Как это бывает на самом деле

Master-lame-master

Xakep, номер #052, стр. 052-046-2

Начало взлома

Прошло 2 месяца. Интерес нашего героя к unix-like системам значительно возрос, поэтому, вспомнив свой старый аккаунт на убогом солярисе, взломщик стал бродить по каталогам системы с целью ее изучения и возможно - приручения. Хотя сам факт взлома, пусть даже незащищенной системы, был для него скорее мифом, чем реальностью, ему не хватало опыта. Изучать в этой системе было, собственно, нечего: для удобства разбитые по алфавиту директории с сабдиректориями, содержащие в себе имена доменов в этом хостинге, не представляли собой ничего интересного. Тем более что доступ в них был запрещен - на директориях установлен бит 700.

Отчаявшись, хакер зашел в папку /etc. Пролистав ее и не найдя ничего заслуживающего внимания, он хотел было выйти, но увидел интересный файл под именем test.pl :). В то время хакер увлекался изучением Perl, поэтому сделав cat test.pl, увидел небольшой скриптик, который коннектится на локалхост и чекает мыло админа! Да, разумеется, в нем были определены заветные переменные $login и $password - радости взломщика не было предела! Сходив на кухню за новой бутылкой пива для храбрости, он робко набрал команду su admin. Осваивать систему стало гораздо интереснее. Прочитав историю команд, хакер радостно заулыбался, так как понял, что полностью завладел сервером. На машине была установлена программа gsu, позволяющая суидиться на рута определенным юзерам (полный аналог sudo), введя лишь пароль этого юзера. Админ был в листе, как выяснилось из файла /home/admin/.history, а потом подтвердилось практикой.

Чистка логов

Что примечательно, хакер был очень чистоплотен и никогда не забывал чистить свои логи. Найдя их в /var/adm/messages (и заодно запомнив, что в соляре, в отличие от пингвинов, они хранятся именно тут), он почистил логи простым grep'ом. Он мог бы просто воспользоваться vi-редактором, но из-за его сложности и своего неумения с ним работать, поступил иначе. Задачей хакера было убрать хост www.security.ru из лога. Он добился этого простой командой:

# cd /var/log

# grep -v 'www.security.ru' messages > temp

# mv temp messages

Здесь ключик -v команды grep означал вывод всех строк, не содержащих определенный шаблон. Тем самым взломщик отсортировал лог на предмет хоста во временный файл, а затем переименовал его в messages. Это придется проделывать каждый раз после входа в систему, дабы избежать записи нежелательной информации. Глянув в last, хакер увидел огромное количество записей сессий по ftp и shell от разных клиентов, поэтому махнул рукой на wtmp. Теперь его ожидала самая ответственная работа - сбор информации с этого сервера.

Сбор данных

Информация обещала быть ценной. Останавливало лишь одно - на сервере стоял какой-то экзотический SQL сервер, совсем не похожий на mysql или postrgesql. Думаешь, это его остановило и он сделал disconnect от удаленной машины? Не-а, ошибаешься. В его жилах текла горячая кровь предков, которые не останавливались ни перед чем. Старательно изучив истории команд всех администраторов системы, он наткнулся на интересный скрипт с именем sql. В параметрах был запрос данных из базы, причем синтаксис был очень похож на mysql. Недолго думая, хакер просмотрел структуру всех баз данных и нашел инфу о доменах и pop-аккаунтах к этим доменам. Также пригодилась и вторая база, под названием payment, в ней расположилась инфа о кредитках, по которым покупали домены. Размер таблицы был порядка 10 мегабайт.