Учебник хакера


Как был взломан "Релком-Украина"


(первый и до сих пор один из крупнейших украинских провайдеров)

Это произошло в субботу, 19 сентября в 12.00. Мы всего лишь сменили гордость Релкома - www - на то, чем вы можете любоваться до сих пор здесь

(за что спасибо Д. Леонову).

Надо сказать, что Релком-Украина известен параноидальной любовью к безопасности своих машин. С год тому назад на их машинах какая-то западная поисковая система засекла файлы с детской порнографией (видно просто сопоставили имя+размер уже имеющихся в коллекции ФБР картинок); с тех пор там любой работающий в шелле каждые 10 мин вводит "last -20".

Часть кейлога с виндоуз-машины Релкома:

…toc[RETURN]sasha[RETURN]octybj89[RETURN]last -20 uueurostt[RETURN]last -20 uueurost[RETURN]last –20

Собственно, взлом то был чисто дружеским. Мы не хотели "убивать" Релком. Никакая информация не была стерта (лишь файл index.html был переименован в suxxx.htm), не были выведены из строя роутеры, да и оперативность, с которой починили сайт (1,5 часа) говорит не о "шустрости" админов, а о том, что мы не усложняли им задачу.

Вам не терпится узнать как же это мы ухитрились взломать чуть ли не самого защищенного провайдера Украины ? Все очень просто: люди, уделявшие особое внимание Unix серверам совсем забыли о том, что существуют открытые рабочие станции под Windows с реальными ИП-шниками.


Этим летом, когда вышел BackOrifice, я написал скромненький сканер, который проверял 31337 порт на предмет BO. Запустил его на ночь. На следующее утро я получил от провайдера сообщение типа "еще одно письмо с угрозой расправы за попытки сканирования сетей и я закрываю вам все UDP порты на выход". Ну что ж... Я порылся в своем ночном "улове", а в каждой подсетке C оказалось по 10-15 зараженных машин, и свил себе гнездо в одном скромном институтском компьютере далекого города. Надо сказать, что BO я значительно переделал расширив возможности. Теперь сканирование сетей шло с удаленного компьютера. Подсетки я выбирал чисто случайно. Без определенной цели. Среди улова была машина (насколько я понял финансового директора) предприятия, выпускающего навигационное оборудование для оборонной промышленности РФ. Папка "Мои документы" имела следующее содержание:

Contents of directory 'c:\мои документы\*.*': 0 D------ 11-11-96 09:21 . 0 D------ 11-11-96 09:21 .. 16384 -A----- 02-20-98 16:59 Salary.xls 0 D------ 06-24-98 13:13 Gyrocompass 0 D------ 03-03-97 11:33 Отчеты 0 D------ 03-03-97 11:32 Планы 0 D------ 07-02-98 14:37 VISTA 0 D------ 03-26-97 15:13 Ходатайства 0 D------ 05-08-98 13:53 Картинки 20480 -A----- 12-16-97 15:00 График отпусков 1998.doc 0 D------ 07-14-98 16:24 радио 0 D------ 03-12-97 09:04 labels 0 D------ 07-02-98 09:20 Гироскопы 0 D------ 03-24-97 12:25 Обоснования 52224 -A----- 07-15-98 16:07 bins.doc 0 D------ 06-30-98 16:03 ProSoft 19456 -A----- 05-22-98 09:23 Визы1.doc 0 D------ 03-14-97 09:35 Распоряжения 23040 -A----- 05-28-98 08:20 list1.doc 89056 -A----- 07-15-98 16:04 Bv4bnsv2.tif 0 D------ 02-12-97 10:04 strat 567544 -A----- 07-16-98 12:54 oernst.ra 0 D------ 03-03-97 11:33 Служеб_зап 227235 -A----- 07-06-98 16:22 price-se.htm 0 D------ 01-28-98 15:44 КАЛМАН 19456 -A----- 12-18-97 12:21 Визы.doc 0 D------ 04-17-98 11:33 iso 0 D------ 10-01-97 18:03 федерал 0 D------ 05-25-98 15:54 Мафтер 0 D------ 04-30-98 15:24 Подпись 19456 -A----- 05-20-98 16:12 ip-адреса.doc 0 D------ 06-25-97 17:10 Характеристики 0 D------ 03-13-97 18:35 Договора 0 D------ 07-07-98 16:03 FOG 24064 -A----- 05-20-98 10:43 Галкин_бланк.doc 0 D------ 07-02-98 15:27 Итоговые собрания 0 D------ 07-17-97 11:08 Внутр факсы 0 D------ 07-09-98 15:17 Морозов 0 D------ 06-10-98 12:23 Трофимов 0 D------ 06-10-98 16:57 Столы 0 D------ 03-03-97 11:36 Положения 0 D------ 02-24-98 09:50 Программы 360 -A----- 07-14-98 15:58 RealPlayer.lnk 0 D------ 07-20-98 10:16 Приказы о командир 0 D------ 03-03-97 11:33 Статистика 19456 -A----- 07-16-98 15:00 Лист 5 Договора подряда.doc 6731 -A----- 07-28-98 10:14 Dog-pmo2.asc 0 D------ 03-06-98 15:20 ping 41984 -A----- 07-29-98 14:30 Dog-pmo2.doc 0 D------ 04-17-97 09:52 Vizitka 0 D------ 04-30-97 12:57 Командировки 0 D------ 03-26-97 11:52 Перечень ПЭВМ 0 D------ 07-18-97 09:27 Приказы 0 D------ 07-29-98 18:07 Договора подряда 0 D------ 07-25-97 09:54 Знаки Total files: 55

Кроме того на этой машине был доступ еще к десятку офисных компьютеров. Неплохой улов, не правда ли ? Я честно написал чудаку письмо о том, что у него проблемы и предложил приехать к ним и научить как хранить свои тайны. Чудак сказал мне "спасибо" и все. Orifice кто-то убил, но дальнейшее сканирование их сети показало, что у их разделенные ресурсы доступны через 139. А пароли:

Resource: 'P_5_VER' Password: '1478' Resource: '15997' Password: '82239' Resource: '1_HP_133' Password: '1478' Resource: 'BTO' Password: 'BTO' Resource: 'SMIRNOFF' Password: 'SMIRNOFF' Resource: 'FS6' Password: '82239' Resource: 'FS2' Password: 'SMIRNOFF' Resource: 'FS1' Password: '1478' Resource: 'HALL' Password: 'OIS' Resource: 'HP150' Password: 'NESTOR' Resource: 'NT' Password: '548935Yу' Resource: 'ONR' Password: '1478' Resource: 'OASUP' Password: '548935 ' Resource: 'ONR' Password: '548935`?Ш ' ScreenSaver password: 'PSSDUDE'

кажется так до сих пор и висят ;)). Вышеперечисленное я публикую как привет директору этого предприятия. Так что, запускайте свои Legionы. Разочаровавшись в человеческой благодарности я решил действовать более конкретно. Следующей жертвой оказался наш местный провайдер. Достаточно быстро я "освоил" весь их офис, включая НТ-сервер с НТФС. Кроме того, имел пароли к 3-м Юникс машинам. Так как бэкапы хранились не на специальных устройствах, а на жестких дисках, то в моей власти было за ночь уменьшить число провайдеров в нашем городе на одного. Я этого не сделал - опять написал письмо сисадмину. В качестве благодарности мне предложили слепить сайт по безопасности и около 10 часов бесплатного интернета ;)). Я опять долго смеялся над своей добротой.

<


Начало  Назад  Вперед