اشتباهات كوچك، نتايج بزرگ؛ مروري

[Farhad3614]

از زبانwebsecurity

همه شاهد بوديم كه چند روزي سايت با مشكلات عديده اي مواجهه شده بود و گروهي با عقده گشايي هايي كه با من داشتند دست به تخريب سايت زدند.

شروعي كوچك، خطايي بزرگ

شنبه شب ساعت 11 تلفن همراهم تماس گرفت. علي از پشت خط با يك حالت ناراحتي گفت كه : بجنب سايت را هك كردند. من با خودم گفتم يعني چه كسي اين كار را كرده است ؟ سريع رفتم سراغ كامپيوتر و ديدم كه يكي از اخبار سايت توسط فرهاد ( c r 4c k) تغيير كرده است.

اولين فكري كه به ذهنم خطور كرد اين بود كه شايد نام كاربري و پسورد كسي را دزديده باشد. چون با ذهنيتي كه از اين طرف داشتم مي دانستم كه اصلا اين كاره نيست كه بخواهد به سايت دسترسي داشته باشد. حتي فكر Inject هم نكردم ، چون سايت قبلا تست شده بود. دوباره سايت را اصلاح كردم و در بخش مديريت سايت ديدم كه نام كاربري با عنوان wwwroot_shell درست شده است. فكر كردم كه اين نام كاربري فقط مي تواند توسط من و فرهاد جعفري(اين فرهاد را با آن لمر اشتباه نگيريد، اين فرهاد با سن كم در اوج دانش و ترقي طي مسير مي كند) ايجاد شده باشد ، چون كس ديگري نام كاربري مديريتي نداشته است. خلاصه كليه نام هاي كاربري را حذف كردم و فقط نام كاربري خودم را در سايت قرار دادم و سايت را دوباره اصلاح شد. ( شايد خيلي ها به من ايراد گرفتند كه چرا سايت را بعد از اولين تغييرات دوباره بالا آوردي ؟ بايد بگويم كه آن شب من چاره اي نداشتم چون تمامي نام هاي كاربري و پسورد ها را در شركت داشتم! و بدون داشتن آنهانمي شد كه تغييرات اساسي در هاست انجام داد و مثلا صفحه اول را حذف كرد)

فردا دوباره !

فردا صبح كه رفتم شركت دوباره متوجه شدم كه سايت دستكاري شده است و باز خبر ديگري گذاشته است و به قول خودش براي اينكه سايت را در zone-h ( اتوپياي لمر ها و اسكريپت كيدي ها ) ثبت كند اين كار را كرده است. در اينجا متوجه شدم كه اينها به فايل پايگاه داده دسترسي دارند ولي دسترسي در حد خواندن ، چون اگر توانايي نوشتن داشتند حتما صفحه اول را به طور كامل تغيير مي دادند. اما سوال اينجا بود كه از چه طريق ؟

متاسفانه من از سرور مطمئن بودم و آن روز با زمان كمي كه براي خواندن log ها گذاشتم فقط آنچه كه نشان مي داد اين بود كه wwwroot_shell به سيستم وارد مي شود و خبر را اصلاح مي كند، همين و ديگر هيچ !

خب در اينجا بود كه اشتباه بعدي را مرتكب شدم و با انجام تغييراتي سايت را دوباره بالا آوردم. چاره اي نداشتم آن روز بايد مي رفتم گلپايگان براي پروژه بهران محور و تا دو روز نمي توانستم به سايت برسم و هيچ چيزي در دسترسم نبود. براي بررسي بيشتر فقط بايد مي رفتم شركتي كه هاست را به ما داده بود و چاره اي نبود جز اينكه تا 3-4 روز صبر كنم و به دليل اينكه مي دانستم مشكلي از سايت حل نشده و هنوز دسترسي روي سايت وجود دارد و اين بار دقيقا مي دانستم داستان چه هست ، اما باورش برايم سخت بود چون امثال اين اشكال دو سال قبل حل شده بود اما متعجب كه چرا دوباره اين اتفاق افتاده است. باز سايت را اصلاح كردم و بالا آوردم. اينجا نيز اشتباه ديگري بود كه مرتكب شدم و به دليل اينكه فكر مي كردم طرف هر چقدر هم پست باشد سايت را از يك طريق سه بار تغيير نمي دهد. اما فرهاد به لمر ها گروهي ديگر افزود ، «لمرهاي برره». ديگر فرصتي نبود و بايد همان روز مي رفتم گلپايگان.

لمر هاي برره و ناتوان!

در سايت بهران در گلپايگان بودم كه خانمم زنگ زد و بعد از احوال پرسي گفت : راستي خبر هاي بد را شنيدي ؟ دلم هري ريخت ! گفتم نكنه اتفاقي براي پدربزرگم كه مريض بوده افتاده است. بعد ادامه داد : سايتت را دوباره هك كردند ، من دوباره بهت تسليت مي گويم! كلي خنديديم و خيلي خيالم راحت شد. با هزار زور و زحمت يك ارتباط اينترنتي پيدا كردم و صفحه اول سايت را به طور كلي تغيير دادم و همان متني را نوشتم كه خيلي ها فكر كردند فرهاد نوشته است :


This site hacked by a script-kiddy hacker (c r 4c k) because this group dont have a root password, i replace this page for them!

IF YOU ARE A POWER HACKER PLZ CHANGE THIS PAGE !

Whitehats Nomad Group


با اين متن فقط مي خواستم بگويم كه آنها با دسترسي كه دارند حتي قادر نيستند كه متن روي صفحه را تغيير دهند در حاليكه بعد ها كه اشكال را بررسي مي كردم متوجه شدم كه آنها مي توانستند اين كار را انجام دهند ولي نتواستند و اين دليلي بود كه آنها واقعا هيچ خلاقيتي از خود ندارند! و شاگردان تنبل دبستان هكر ها هستند. ( قابل توجه محمد مسافر! ) وقتي ديدم اين امكان وجود داشته است كه از طريق آن صفحه را تغيير دهند، متوجه شدم كه چه ريسك بزرگي كردم كه خوشبختانه به خير گذشت.

ديگر دقيقا مي دانستم كه چه اتفاقي افتاده است اما مجبور بودم براي بررسي هاي بيشتر صبر كنم كه به تهران برگردم.


چهارشنبه پر مشغله و مشكل قديمي

سه شنبه شب از گلپايگان آمدم و فردا اول وقت كه شركت رفتم براي بعد از ظهر مرخصي رد كردم كه با خيال راحت سراغ سرور بروم . اما متاسفانه آن روز آنقدر در شركت مشغله كاري وجود داشت كه نتواسنتم زودتر از پنج بعد از ظهر بروم. اول از همه رفتيم سراغ مشكلي كه حدس مي زدم و حدسم نيز درست بود.

داستان از اين قرار بود كه در ويندوز هاي 2000 و در IIS 5.0 براي بينندگان صفحات وب ، IIS نام كاربري را به طور پيش فرض در نظر مي گرفت و اين نام كاربري در صورتيكه هاست هاي ديگري نيز روي سرور وجود داشت براي آنها نيز استفاده مي شد. همين نام كاربري كه فقط روي هاست ها اجازه خواندن و در بعضي مواقع روي پايگاه داده اجازه نوشتن هم داشت باعث مي شد كه با دسترسي به يك سايت، سايت هاي ديگر نيز مورد تهديد قرار گيرند.( بهترين نمونه آن ASP Shell ها بود) اين مشكلي بود كه در سالهاي گذشته باعث هك شدن هزاران سايت در يك سرور مي شد. اما اين مشكل با راه حلي كه داده شده بود حل شده و قرار شده بود براي بينندگان هر سايتي يك نام كاربري يكتا در نظر گرفته شود و اين كار روي سرور ما نيز انجام شده بود.

اما از بخت بد من وقتي سايت از روي سرور2 روي سرور1 منتقل شده بود، نام كاربري IIS سايتهاي ديگر را به طور سهوي به آن اختصاص داده بودند. اين سايتها كه اغلب نيز متعلق به شركت مورد نظر بود داراي مشكلاتي در سطح برنامه كاربردي بودند كه همين طعمه خوبي شده بود براي لمر ها.

خلاصه در وقت كمي كه آن روز داشتم فقط توانستم مشكل سطح دسترسي را درست كنم و برگردم چون بايد در روز آينده راهي زنجان (پروژه وزارت اقتصاد و داراي زنجان) مي شدم.


برنامه نويسان ابله خوراك «لمر هاي برره»

پنجشنبه شب وقتي از زنجان برگشتم فرصتي دست داد تا بتونم يك نگاهي به log فايل هاي سايت هاي ديگر داشته باشم. با يك جستجوي كوچك در اين فايلها متوجه شدم كه يكي از سايتهايي كه در سرور وجود داشت شامل مشكلاتي بود كه اجازه دسترسي به فايل هاا مي داده است.براي اينكه موضوع را بهتر بفهميد مي توانيد نگاهي به مدخل ها بيندازيد :

2006-02-24 16:24:11 81.246.50.209 66.48.76.205 80 GET /News_Archive/ss1471.asp action=download&file=D:|customers|web1790|NEWSN*****.MDB 200 0 5599583 528 340218 HTTP/1.1 ***************.com Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) - [External Link Removed for Guests]:\customers\web1790

دو حالت مي تواند اتفاق افتاده باشد:

يك حالت اينكه اين برنامه را يك برنامه نويس ابله براي برخي مقاصد نوشته بوده است كه متاسفانه بدون هيچگونه احراز هويتي مي توان به آن دست پيدا كرد.

حالت ديگر اينكه اين برنامه را لمر ها روي سيستم آپلود كردند.

هر چه باشد جريان از سايت آسيب پذير ادامه پيدا مي كند و در اينجا اشتباه مدير سرور در استفاده نام كاربري يكسان IIS براي بينندگان هر دو سايت امنيت وب و سايت آسيب پذير اشتباه دوم را رقم مي زند و اجازه ادامه كار را به لمر ها مي دهد و آنها مي توانند پايگاه داده سايت امنيت وب را دانلود كرده و از طريق پنل سايت، اخبار را تغيير دهند