Найди и поимей!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #036, стр. 036-090-6

Действуй осторожно

Ты уже не маленький, и понимаешь, что все эти действия описаны лишь с ознакомительной целью. Ответственность за их применение на практике несешь только ты и никто другой.

Как правило, кардеры - народ ленивый. Возможно, он не будет гнаться за тобой, когда узнает, что ты позаимствовал у него пару тысяч свежих кредиток ;). Но раз на раз не приходится, поэтому всегда необходимо принимать меры предосторожности, подробно описанные в этой статье.

Бинарный поиск

В ряде случаев не получается перезапустить mysqld, а также залогиниться в СУБД. Тогда можно попробовать поискать кредитки в бинарных таблицах. Они находятся в /var/lib/mysql/data. Просмотреть их содержимое можно командой grep. К примеру, запрос grep -ir visa * > cc.log запишет лог совпадений с шаблоном.

Различные логи

Пути к логам напрямую зависят от демона, через который инфа поступает в файлы. В случае с syslogd, журналы будут располагаться в папке /var/log (если админ не перенастроил /etc/syslog.conf). Если программа другая (например, ng-syslogd), пути будут иными. Узнать их можно по конфигу демона.

Самое легкое - это зарегиться на фриварном хостинге с FTP-доступом с поддержкой CGI либо PHP (зачем это нужно, я расскажу ниже). Плюсы данного метода очевидны: легкий поиск жертвы, никакого риска при этом, а также полная уверенность, что креды находятся именно на этом сервере (либо в сегменте).

Взломщик заходит на канал буржуйских трейдеров, делает /WHOIS каждого сидящего и сканит его сервер на уязвимости. Если учитывать, что на таких каналах сидят 200-300 человек, то вероятность взломать какого-нибудь зазевавшегося буржуя довольно высока.

Если хакеру посчастливилось получить root-права, то не нужно вообще ничего искать. Достаточно убить процесс mysqld, затем запустить базу заново с параметром --skip-grant-tables.

Наряду с mySQL существуют другие СУБД, такие, как PostgreSQL, Oracle и др. Вряд ли ты с ними столкнешься, но не вредно знать, что в PostgreSQL базы узнаются командой "select * from postgres_db", а таблицы "select * from postgres_tables". Остальные запросы полностью совпадают с синтаксисом mySQL.