Wpis z mikrobloga

Dzisiejsza afera związana z #morele i twierdzenie @xArm :

Cześć wykopkowicze. Ostatnio natknąłem się na pewien otwarty serwer i był to serwer morele net, niezabezpieczone żadne porty, otwarty phpmyadmin i najcudowniejszy framework na świecie, który jest wystawiany na światło dzienne.

Przypomniała mi historię pewnego polskiego portalu sprzed prawie 10 lat. Historia będzie krótka, ale nie zdziwi mnie, jeśli zbliżona do aktualnej.

Paronastoletni „haker” Czaks postanowił wraz z Xenu (x3nU), twórcami #vichan i, z tego co mi wiadomo, nieznanym hakerem, który odwalił całą robotę, shackować pół polskiego internetu. Celowali ambitnie, Nasza-Klasa, ale skończyło się mniej ambitnie. Skończyło na interesującym skanie #nmap :

Interesting ports on ip-91-102-117-196.beyond.pl (91.102.117.196):
Not shown: 995 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
25/tcp filtered smtp
80/tcp open http Apache httpd 2.2.3 ((CentOS))
| html-title: Wykop.pl - newsy, aktualno\xC5\x9Bci, gry, wiadomo\xC5\x9Bci, muzyka, poli...
|_ Requested resource was [url][http://www.wykop.pl/](http://www.wykop.pl/)[/url]
443/tcp open ssl/http Apache httpd
| sslv2: server still supports SSLv2
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_IDEA_128_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
|_ SSL2_RC4_128_EXPORT40_WITH_MD5
|_ html-title: 403 Forbidden
8081/tcp open blackice-icecap?

Zaciekawieni portem 8081 drążyli dalej:

inetnum: 92.43.114.144 - 92.43.114.159
netname: WYKOP-NET
descr: Wykop.pl
country: PL
inetnum: 91.102.117.192 - 91.102.117.207
netname: WYKOP-NET
descr: Wykop.pl
country: PL

Mając pulę adresów, skanowali kolejno następne adresy, od serwera pocztowego wykopu, serwer mySQL i serwery testowe.
Czy wspomniałem o serwerze mySQL?

mysql -h 92.43.114.149 -u root
ERROR 1045 (28000): Access denied for user 'root'@'69.163.33.80' (using password: NO)

Nie odrzuca połączenia, dobry znak, skanują dalej. Trafiają w końcu na nowo postawiony serwer:

Interesting ports on ip-91-102-117-202.beyond.pl (91.102.117.202):
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0)
|_ banner: SSH-2.0-OpenSSH_5.1p1 Debian-5
running lenny

Następnym krokiem myśle byli bardziej zaskoczeni, niż aktualnie czytający:

mysql -h 91.102.117.202 -u root
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 73535
Server version: 5.1.34-0.dotdeb.1 (Debian)
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
mysql> show databases;
+-------------------------+
| Database |
+-------------------------+
| information_schema |
| mysql |
| wykop_global |
| wykop_level_commercials |
| wykop_level_links |
| wykop_site_pl |
+-------------------------+
6 rows in set (0.20 sec)

Brak hasła na serwerze trzymającym kopię bazy danych. Good job #wykop.Tym ludziom powierzacie swoje dane.

Następstwa są chyba oczywiste. Baza została pobrana, wyciekły między innymi hashe sha-1 haseł 118275 użytkowników.

Ciekawe, czy u @morele_net było podobnie.

#bezpieczenstwo #security #it #hacking #informatyka #komputery #technologia
  • 4
  • Odpowiedz