Найди и поимей!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #036, стр. 036-090-2

Но хуизать две сотни человек, мягко говоря, не кошерно... Поэтому специально для этого я написал удобный Perl-скрипт. Он коннектится на заданный сервер, заходит на канал и выполняет команду /WHO #channel. При этом выводится вся информация о пользователях, включая IP-адрес. Вот его-то скрипт и заносит в предопределенный лог-файл, причем делает это очень быстро (вся работа скрипта занимает несколько секунд). Не буду вдаваться в рутинный код трехкилобайтного сценария, при желании ты посмотришь его сам. Скачать мое творение можно по адресу http://kamensk.net.ru/forb/1/x/whois.tar.gz.

Следует сказать пару слов о файле с IP-адресами, который генерирует мой whoiser. Формат его следующий: ip # nick (#channel). Не смотря на комментарий, nmap наотрез отказывается обрабатывать такой файл, поэтому в архиве ты также найдешь скрипт nmap.pl, который немного изменяет лог хуизера и делает запрос сканеру. В итоге запрос получается следующим:

system("nmap -iL $file -o $outfile --host_timeout $timeout -p $ports -O");

Все переменные, за исключением $file, задаются в начале скрипта. Файл с "чистыми" адресами генерируется whois.pl, отделяя от первичного все комментарии.

Все методы, какими бы сложными они ни являлись, должны приводить к шеллу. Права тут не имеют значения (но, опять же, чем больше, тем лучше ;)), потому как на каждую гайку найдется ключ 10х12. Иными словами, найти креды в Linux сложно, но можно (если быть уверенным, что они там есть).

Поиск, только поиск!

Представь на секунду: попал хакер в неизвестную систему под правами nobody. В ней, кроме него, сидят два не спящих рута, и нарушитель может быть замечен в любую минуту. Очень сложно производить какой-либо взлом в таких условиях, поэтому необходимо взять себя в руки и никогда не терять координацию в системе.

Первая команда, которую выполнит взломщик - это unset HISTFILE. Несмотря на его права, bash всегда запишет историю команд, которая может быть прочитана бдительным админом сервака. Это важно помнить, чтобы не давать буржую ни единого шанса поймать нарушителя.

Креды могут находиться в нескольких местах. Если это web-ресурс, то, скорее всего, данные будут лежать в www-директории. Если это домашняя тачка буржуя, креды, вероятно, находятся в mySQL (или другой) базе (к которой, естественно, нужно иметь доступ).

Начнем с легкого пути. Хакеру нужно знать www-директорию. Для этого он выполняет команду locate httpd.conf. В ответ команда выплюнет местонахождение конфига веб-сервера. В нем и задается путь к www. Команда cat httpd.conf | grep DocumentRoot даст взломщику информацию о каталоге.

Следующим шагом будет анализ cgi/php скриптов, которые принимают запросы от клиентов. Необходимо узнать, куда скидываются кредитки - в файл или в базу. Если это файл - нужно просто заархивировать его и сохранить в темном и прохладном месте =). В противном случае ситуация немного усложняется.

Ну и запросы у вас!

Вообще, все действия напрямую зависят от ситуации: конфигурации сервака, прав на нем и т.д. и т.п., поэтому четко указать алгоритм поиска кред практически невозможно. Но я попытаюсь дать несколько советов, которые значительно ускорят действия хакера и, в конце концов, приведут к успешному результату.