Senai berašiau ką nors ilgesnio. Daugiau nei prieš mėnesį, tik rugsėjo 18 d. O kadangi žadėjau parašyti apie tai, kaip defeisino šį blog’ą, tai jau ir pats laikas būtų. Po defeiso blog’ą atstatyti ruošiausi kokias dvi savaites, tai parašyti ką nors naujo laiko prireikė dar daugiau. Vis nustūminėjau tą mintį apie naujus įrašus. Kažkaip pastaruoju metu daugiau kitų prioritetų gyvenime, nei blogin’imas. Turbūt jau ir patys tai supratot.

Ok, rugsėjo 25 dieną viskas atrodė maždaug taip:

Kažkoks berniukas įdėjo savo nuotrauką, turbūt norėdamas mane sugundyti. Galiu pasakyti, kad jam tai nepavyko. Nesusigundžiau. Gal kitą kartą čia galėtų užsukti moterų?

Jei jau pamanėte, kad defeisas buvo atliktas per mano blogui naudojamą WordPress sistemą, tai galiu Jus nuraminti. Ją prižiūriu kiek man galimybės leidžia. Ne web’e čia problemos. Tačiau esu visiškai bejėgis prieš hostingo tiekėją. Taip taip, kaip tikras lietuvis pasirinkau pigiausią. Nors ir siūliau savo pagalbą atliekant tyrimą, tačiau, kaip būna tokiais atvejais, tiekėjas buvo išdidus ir to atsisakė. Beje, dar ilgai ginčijosi ir sakė man, kad ne su jų prižiūrimu serveriu problemos, o su mano web’u. Kai pradėjau pirštu badyti, nebeatsakė nieko. Kadangi negaliu prieiti prie visų man reikalingų resursų ir faktais pagrįsti viso pasakojimo taip pat negaliu iki galo, todėl čia neminėsiu jokių pavadinimų ar vardų. Laikykim tai tik gražia ir neteisinga istorija.

Negalėdamas gauti reikiamų serverio duomenų, pradėjau savo tyrimą. Tiesa, kiek iš kitos pusės. Vadovavausi tokia prielaida, kad Lietuvoje nėra daug žmonių, galinčių surasti naujus pažeidžiamumus sistemose. O tie, kurie tai gali, lyg ir neturėtų būti linkę užsiiminėti tokiais žaidimais. Vadinasi, turėjo būti panaudotas kažkoks viešas pažeidžiamumas, pasirodęs nesenai ir kurio serverio adminai nebuvo pašalinę iš karto.

Pradėjęs žiūrinėti paskutinius serveryje veikiančių sistemų pažeidžiamumus, radau, kad visai nesenai buvo paviešintas phpMyAdmin pažeidžiamumas, leidžiantis prieiti prie bet kurio failo Apache serverio teisėmis. O būtent phpMyAdmin ir yra naudojamas MySQL duomenų bazės valdymui serveryje. Apie patį pažeidžiamumą galite pasiskaityti rusų arba anglų kalbomis. Programuojantiems pažeidžiamumo išnaudojimo kodas nėra sudėtingas, tiesa? Tačiau norint išnaudoti šį pažeidžiamumą, reikia, kad būtų užtikrintos dvi sąlygos. Pirmoji, paprastesnė, serveryje turi būti išjungtas “magic_quotes_gpc” parametras. Ką jis daro, rasite PHP dokumentacijoje. Patikrinus šio parametro statusą serveryje, rezultatas gaunamas toks:

Taip, parametras išjungtas ir pirmoji sąlyga tenkinama. Nors žinant lietuviškų (o šiuo atveju ir ne tik jų) web sistemų kokybę, geriau reikėtų turėti jį įjungtą.

Antroji sąlyga kiek sudėtingesnė. Norint įvykdyti pažeidžiamą kodą, reikia jau turėti prisijungimą prie kurio nors kliento phpMyAdmin aplikacijos. O kadangi priėjimas prie jos suteikiamas tik klientams, vadinasi serveryje reikia rasti nors vieną pažeidžiamą web alikaciją, išlaužti ją, gauti priėjimą prie phpMyAdmin’o to kliento teisėmis ir tuomet jau bus galima pasiekti beveik bet kurį failą serveryje. Kaip tai padaryti?

Pradėti reikėtų nuo kitų svetainių paieškos tame pačiame serveryje. Tą padaryti nesunku, jei žinai kur pele baksnoti. Taip, pasinaudokim paieškos sistemomis. Pvz. pažiūrėti su kuo dar tame pačiame serveryje sukasi tinklalapis www.vrm.lt galima panaudojant www.live.com paiešką. Tiesiog į paieškos langelį reikia įrašyti parametrą “IP:” ir vrm.lt serverio ip adresą. Viskas turi atrodyti taip:

Pilnus pavyzdžio rezultatus pamatysite paspaudę šią nuorodą. Štai potencialios aukos tame pačiame serveryje jau ir turimos. Žinant tai, kad pažeidžiamumų turi maždaug ~80% lietuviškų web sistemų, tai tarp visos krūvos surasti vieną pažeidžiamą neatrodo neįmanoma misija. Juolab, kad kartu su informacijosapsauga.lt tame pačiame serveryje sukasi ir jau spėjusios liūdnai pagarsėti lietuviškos turinio valdymo sistemos. Paanalizavus detaliau, iš tiesų galima surasti, kad tame pačiame serveryje daugiau pažeidžiamų tinklalapių tikrai yra. Ką gi, turim įvykdomą ir antrą salygą.

Toliau prisijungus kurio nors kliento vardu prie phpMyAdmin sistemos ir, panaudojant pažeidžiamumą, nuskaitomi kiti failai, kuriuose yra dominanti informacija ir prie kurių gali prieiti Apache serveris. Tokių bus pakankamai daug. Pvz. galima bandyti nuskaityti sistemos DirectAdmin, skirtos valdyti klientų tinklalapiams, prisijungimo prie duomenų bazės konfigūracinį failą. Šis konfigūracinis failas failinėje sistemoje turėtų būti tokiu keliu: /usr/local/directadmin/conf/mysql.conf. Jame galima rasti vartotoją “da_admin” bei jo slaptažodį. T.y. tokiu būdu jau gauti daugiau teisių į MySql DBVS ir t.t. Apache serverio teisėmis perskaityti galima pakankamai daug. Iš tiesų šioje vietoje ir yra sunkiausia nuspėti kas buvo padaryta toliau, neturint galimybės žvilgtelėti į patį serverį, todėl daugiau nebespėliosiu.

Tačiau kodėl manau, kad vis tik buvo pasinaudota serverio pažeidžiamumu? Atasakymą į šį klausimą galiu pagrįsti paprastai. Net ir dabar žvilgtelėjus į phpMyAdmin autorių puslapio skiltį “Security”, galima rasti, kad paskutinis pažeidžiamumas buvo praneštas 2008-09-23 dieną. Atnaujinimai pasirodė dieną prieš tai. Nors pagal aprašymą jis ir neatrodo taip plačiai pritaikomas kaip ankstesnysis, tačiau jo pavojingumą autoriai įvardina taip:

Nors šiandien jau spalio 27 diena, tačiau serveris vis dar rodo štai tokią įdiegta phpMyAdmin versiją:

Atrodo, kad problema čia pakankamai aiški. O blogiausia, kad tinklalapių savininkai tokiais atvejais nelabai ką ir begali padaryti. Ir gaunasi po to 300 tinklalapių su pjautuvais ir kūjais per vieną savaitgalį. Kadangi hostingas buvo pirktas metams ir jo dar liko nemažam laikui, tad šio tinklalapio nulaužimų dar turėtų būti. Taip sakant “allways welcome”.

» Temos: Nulaužimai
» Žymėtis: kaip.tik.ten :: topix.lt :: del.icio.us