Как это бывает на самом деле

Master-lame-master

Xakep, номер #052, стр. 052-046-3

Радуясь легкой добыче, хакер сделал дамп всего этого добра и заботливо слил его по вебу с этого же сервера. Не забыв удалить архивы с ценной инфой, чтобы не озадачить админа :), взломщик еще раз убедился, что логи действительно не содержат информации о вторжении, после чего спокойно вышел из системы. Для него она уже не представляла особого интереса. Впоследствии хакер изучил базу с кредитками и нашел в ней много левых номеров (это только на первый взгляд, на самом деле их было не много, а очень много), но удовлетворившись явным перевесом "валидных" номеров, полез покупать себе шелл для eggdrop на более продвинутой платформе.

Итог как всегда печален: сервер был сломан из-за беспечности системного администратора, который наверняка знал, что его скрипт могут прочитать клиенты этого хостинга. Он не позаботился о его удалении или скрытии от посторонних лиц. Грустно то, что компания в конце концов перестала быть хостингом, и www.awc.net сейчас занимается несколько иными вещами. Возможно, теперь там более ответственные админы.

Этюд второй: www.sweb.ru - крупный питерский хостинг

Теплой весной 2002 года некто, сидящий за компьютером, увидел в ICQ странное сообщение от типа, сообщившего, что его направили хорошие люди. После десятиминутного разговора стало ясно, что этот человек предлагает нашему герою, назовем его "злобным хакером", работу. Так как у хакера не было опыта взлома на заказ, он долго не мог понять, что же конкретно от него хотят. А оказалось, что клиент просит получить на время доступ к web-интерфейсу известного хостинга www.sweb.ru (для справки: на нем как раз хостились такие сайты как www.nwgsm.ru и www.udaff.com). Он дал хакеру один аккаунт для теста и попросил особо не светить его в логах. За успешно выполненную работу заказчик платил 100 WMZ ($100 через www.webmoney.ru), заметив, что это легкие деньги для хакера средней руки. Подумав, хакер согласился.

Выбрав для вторжения темное время суток, чтобы не наткнуться на бдящих админов, он залез на ssh хостера под выданным ему аккаунтом. Но помня, что светить его нежелательно, первым делом скопировал себе /etc/passwd и стал тупо брутфорсить аккаунты на 21 порту в надежде, что встретится пароль, идентичный логину пользователя. Результат оправдал ожидания, и взломщик нашел целых три таких учетных записи. Одну из них он использовал для входа на сервер.

После долгих скитаний хакер понял, что там стоит не что иное, как RedHat 7.1 (хотя сами админы тщательнейшим образом скрывали версию системы, хакер узнал ее лишь через файл /proc/version). Интересно было, что бинарник /usr/bin/w показывал лишь одного взломщика, хотя юзеров было трое. Воспользовавшись /usr/bin/users, хакер увидел, что в системе было еще два рута, видимо админы не хотели, чтобы их видел кто-то из клиентов. После неудачных испытаний паблик-эксплоитов, хакер забил на sweb и направился в IRC - место, которое он считал своим вторым домом. Увидев там знакомого взломщика, он попросил у него пару приватных сплоитов, и, естественно, получил отказ. Тогда наш герой решил схитрить, попросив собеседника пощупать довольно крупный хостинг. Тот не отказал (еще бы, поломать что-либо, особенно локально - одно удовольствие) и с помощью мощных эксплоитов справился с задачей за полчаса, дав путь к суидному шеллу. Радости хакера не было предела (еще бы, получить $100 практически на халяву), поэтому, добавив одну строку в .htpasswd, лежащий в админской директории, он связался с заказчиком и радостно сообщил, что работа выполнена досрочно. После небольшой проверки хакер получил баблосы на свой электронный счет, а также слова благодарности и приглашение на удаленную работу.