Script-kiddie z dostępem do netu
Po zastawieniu pułapki na lamerów okazuje się, że w sieci działają 2 grupy h0ck00r0w. Pierwsza składająca się z 12 IPków załapała się na maliny koło dwunastej. A druga 12 godzin później.
195.245.213.8 [01/Mar/2004:12:41:02 /index.php?m=../../../../../../etc/passwd 200
195.245.213.8 [01/Mar/2004:12:41:43 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:41:56 /index.php?m=../../../../../../etc/group 403
195.245.213.8 [01/Mar/2004:12:41:59 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:42:00 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:12:42:00 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:42:03 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:06 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:42 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:48 /index.php 403
195.245.213.8 [01/Mar/2004:12:47:25 /index.php?m=http://www.wp.pl 403
195.245.213.8 [01/Mar/2004:12:47:32 /index.php?m=http://www.wp.pl 403
62.233.173.118 [01/Mar/2004:12:47:32 /index.php?m=../../../../../../etc/passwd 200
62.21.63.21 [01/Mar/2004:12:47:45 /index.php?m=../../../../../../etc/passwd 200
212.182.0.179 [01/Mar/2004:12:48:00 /index.php?m=../../../../../../etc/passwd 200
193.0.74.236 [01/Mar/2004:12:48:20 /index.php?m=../../../../../../etc/passwd 200
212.182.0.179 [01/Mar/2004:12:48:26 /index.php?m=../../../../../../etc/inittab 403
212.182.0.179 [01/Mar/2004:12:48:34 /index.php?m=../../../../../../etc/issue 403
212.182.0.179 [01/Mar/2004:12:48:41 /index.php?m=../../../../../../etc/groups 403
212.182.0.179 [01/Mar/2004:12:48:48 /index.php?m=../../../../../../etc/passwd 403
62.233.173.118 [01/Mar/2004:12:49:02 /index.php?m=../../../../../../etc/group 403
212.182.0.179 [01/Mar/2004:12:49:06 /index.php?m=../../../../../../etc/passwd 403
62.233.173.118 [01/Mar/2004:12:49:06 /index.php?m=../../../../../../etc/passwd 403
193.0.74.236 [01/Mar/2004:12:49:32 /index.php?m=../../../../../../etc/motd 403
62.233.173.118 [01/Mar/2004:12:49:33 /index.php?m=../../../../../../etc/passwd 403
62.21.63.21 [01/Mar/2004:12:49:41 /index.php?m=../../../../../../etc/issue 403
62.233.173.118 [01/Mar/2004:12:49:45 /index.php?m=../../../../../../etc/passwd 403
62.21.63.21 [01/Mar/2004:12:49:49 /index.php?m=../../../../../../etc/passwd 403
212.182.0.179 [01/Mar/2004:12:49:52 /index.php?m=../../../../../../etc/passwd 403
212.182.0.179 [01/Mar/2004:12:50:35 /index.php 403
193.0.74.236 [01/Mar/2004:12:50:45 /index.php?m=../../../../../../etc/apache/httpd.conf 403
62.111.224.130 [01/Mar/2004:12:50:47 /index.php?m=../../../../../../etc/passwd 200
193.0.74.236 [01/Mar/2004:12:51:21 /index.php?m=../../../../../../var/www 403
62.111.224.130 [01/Mar/2004:12:51:35 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:12:56:00 /index.php?m=http://www.wp.pl 403
195.245.213.8 [01/Mar/2004:12:56:01 /index.php 403
195.245.213.8 [01/Mar/2004:12:56:02 /index.php?m=page&pg_id=42 403
62.87.189.119 [01/Mar/2004:12:59:15 /index.php?m=../../../../../../etc/passwd 200
62.87.189.119 [01/Mar/2004:12:59:41 /index.php?m=page&pg_id=16 403
62.87.189.119 [01/Mar/2004:13:00:03 /index.php?m=../../../../../../etc/issue 403
62.87.189.119 [01/Mar/2004:13:00:06 /index.php?m=../../../../../../etc/issue.net 403
62.87.189.119 [01/Mar/2004:13:00:15 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:04:05 /index.php?m=../../../../../../etc/passwd 200
62.21.63.21 [01/Mar/2004:13:05:37 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:13:05:38 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:13:05:45 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:06:23 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:06:51 /index.php?m=../../../../../../etc/inittab 403
80.55.36.26 [01/Mar/2004:13:07:33 /index.php?m=../../../../../../etc/motd 302
212.244.218.42 [01/Mar/2004:13:08:31 /index.php?m=../../../../../../etc/inittab 403
80.55.36.26 [01/Mar/2004:13:09:04 /index.php?m=../../../../../../etc/apache/httpd.conf 403
80.55.36.26 [01/Mar/2004:13:09:18 /index.php 403
80.55.36.26 [01/Mar/2004:13:09:19 /index.php 403
80.55.36.26 [01/Mar/2004:13:09:21 /index.php 403
212.244.218.2 [01/Mar/2004:13:09:23 /index.php?m=../../../../../../etc/inittab 403
217.153.60.98 [01/Mar/2004:14:46:27 /index.php?m=page&pg_id=47 403
80.50.33.97 [02/Mar/2004:00:37:09 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:37:23 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:37:34 /index.php?m=../../../../../../etc/passwd 403
80.50.33.97 [02/Mar/2004:00:37:46 /index.php? 403
194.9.223.27 [02/Mar/2004:00:38:34 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:38:49 /index.php?m=page&pg_id=16 403
213.76.55.193 [02/Mar/2004:00:39:01 /index.php?m=../../../../../../etc/passwd 200
194.9.223.27 [02/Mar/2004:00:39:24 /index.php?m=http://costam 403
194.9.223.27 [02/Mar/2004:00:39:33 /index.php?m=../../../../../../etc/passwd 403
213.199.194.22 [02/Mar/2004:00:39:53 /index.php?m=../../../../../../etc/passwd 200
213.199.194.22 [02/Mar/2004:00:40:23 /index.php?m=../../../../../../etc/fstab 403
213.199.194.22 [02/Mar/2004:00:40:34 /index.php?m=../../../../../../etc/group 403
213.199.194.22 [02/Mar/2004:00:40:36 /index.php?m=../../../../../../etc/groups 403
213.199.194.22 [02/Mar/2004:00:40:41 /index.php?m=../../../../../../etc/motd 403
213.76.55.193 [02/Mar/2004:00:41:55 /index.php?m=../../../../../../etc/motd 403
213.76.55.193 [02/Mar/2004:00:41:59 /index.php?m=../../../../../../etc/passw 403
194.9.223.27 [02/Mar/2004:00:42:02 /index.php?m=htp://www.tiamak.republika.pl/test 403
213.76.55.193 [02/Mar/2004:00:42:03 /index.php?m=../../../../../../etc/passwd 403
213.76.55.193 [02/Mar/2004:00:42:05 /index.php?m=../../../../../../etc/passwd 403
194.9.223.27 [02/Mar/2004:00:42:07 /index.php?m=page&pg_id=17 403
194.9.223.27 [02/Mar/2004:00:42:37 /index.php?m=./.././.././.././.././.././.././.././../etc/passwd 403
194.9.223.27 [02/Mar/2004:00:42:41 /index.php?m=./.././.././.././.././.././.././.././../etc/passwd 403
Pozwolę sobie podsumować:
- prawdziwy h0ck00r używa następujących przeglądarek:
curl/7.10.3 (i686-pc-linux-gnu) libcurl/7.10.3 OpenSSL/0.9.7c zlib/1.1.4
curl/7.3 (i686-pc-linux-gnu) libcurl 7.3 (SSL 0.9.5)
Links (0.98; Linux 2.6.3-1-386 i586; 80x24)
Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; FunWebProducts)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 4.0; FunWebProducts)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; MyIE2; .NET CLR 1.1.4322)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.23 [pl]
Mozilla/5.0 (compatible; Konqueror/3.1; Linux)
Mozilla/5.0 (Windows NT 5.1; U) Opera 7.23 [pl]
Mozilla/5.0 (Windows; U; Windows NT 5.0; pl-PL; rv:1.6) Gecko/20040206 Firefox/0.8
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.5) Gecko/20031120
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040117
Opera/7.21 (Windows 98; U) [pl]
Opera/7.23 (Windows NT 5.1; U) [pl]
w3m/0.3.2.2
Oczywiście Microsoft & IE rulez.
PS. niech ten drugi sobie lepiej uaktualni OpenSSL-a bo z myśliwego stanie się zwierzyną.
- goście muszą siedzieć na jakimś ircu lub mieć szybki sposób komunikowania się.
Świadczy o tym rozpiętość czasowa ich wizyt, po kilku minutach od pierwszego wejścia już na stronie była cała wataha żądnych sensacji (czyt. /etc/shadow) h0ck00r0w. Swoja droga ciekaw jestem jakie zjebki dostał gościu, który pierwszy zauważył "lukę" kiedy się zorientowali (?) w mistyfikacji.
- używają raczej dial-upów lub dynamicznych IPków.
193.0.74.236 | dhcp236.dwi.uw.edu.pl |
194.9.223.27 | gprs1.idea.pl |
195.214.216.10 | e-konta.pl |
195.245.213.8 | Telewizja Polska S.A. ul. Woronicza 17 |
212.182.0.179 | magellan.umcs.lublin.pl |
212.244.218.2 | jessie.lonet.gdynia.pl |
212.244.218.42 | hell.org.pl |
213.199.194.22 | imp.mt.pl |
213.76.55.193 | pb193.torun.cvx.ppp.tpnet.pl |
217.153.60.98 | GTS Internet Partners |
217.30.149.192 | dial-192.bielsko.dialog.net.pl |
217.97.227.138 | PIRXNET-GLIWICE |
62.111.224.130 | host-ip130-224.crowley.pl |
62.21.63.21 | bacza.icpnet.pl |
62.233.173.118 | FUTURO-MAN |
62.87.189.119 | dial-631.bielsko.dialog.net.pl |
80.50.33.97 | ei97.neoplus.adsl.tpnet.pl |
80.54.227.52 | de52.neoplus.adsl.tpnet.pl |
80.55.36.26 | pavulon.apteka.com.pl, sir "LANcaster" |
- i jednego proxy
212.182.14.43 matpc-14-43.umcs.lublin.pl
Jeżeli powyższe IPki to OpenProxy to ja nic na to nie poradzę, nie chce mi się tego sprawdzać.
krótko mówiąc ekipa apcohu... nie, no myślałem panowie, że co jak co ale takiemu lamerowi jak ja nie uda się nabić Was w butelkę...
- metody postępowania
używają googli w celu znalezienia odpowiedniego ciągu znaków w URLu (nie powiem czego dokładnie, nie chcę całej armii script-kiddie). Świadczy o tym nagłówek HTTP_REFERER. Zresztą zajrzyjcie na stronę tiamaka (pozdrawiam, gratuluję potomka, 403 Forbidden).
pozwolę sobie zacytować kawałek majla od tiamaka:
to jest sciema conie z tym passwd ktorym wszyscy sie podniecaja ?? ;)
normalnie mie tu ludzie wczoraj az orgazma mieli ;]
az sam musialem luknac
ale to nie wyglada normalnie :P
moim zdaniem to jest taki fake dla lamuhuf ;)
ODP: przepraszam, nie mogę odpisać, nie mogę się z podłogi podnieść ROTFL
Jak widać na załączonym obrazku wszyscy ci, którzy zechcą przetestować moje zabezpieczenia dostają 403 Forbidden i poczytne miejsce na liście banów.
Jeżeli chcesz się dowiedzieć co takiego przygotowałem dla gości specjalnych, nie wstawiaj w pasku adresu /etc/passwd pobaw się pg_id, wiedząc, że strony-pułapki robiłem dość niedawno... Chyba nie dość wyraźnie zaznaczyłem, że pg_id to liczba dodatnia a nie ciąg znaków, a ja posiadam odpowiednie validatory na wejściu.