Как был взломан "Релком-Украина"

(первый и до сих пор один из крупнейших украинских провайдеров)

Это произошло в субботу, 19 сентября в 12.00. Мы всего лишь сменили гордость Релкома - www - на то, чем вы можете любоваться до сих пор здесь (за что спасибо Д. Леонову).

Надо сказать, что Релком-Украина известен параноидальной любовью к безопасности своих машин. С год тому назад на их машинах какая-то западная поисковая система засекла файлы с детской порнографией (видно просто сопоставили имя+размер уже имеющихся в коллекции ФБР картинок); с тех пор там любой работающий в шелле каждые 10 мин вводит "last -20".

Часть кейлога с виндоуз-машины Релкома:


…toc[RETURN]sasha[RETURN]octybj89[RETURN]last -20 uueurostt[RETURN]last -20 
uueurost[RETURN]last –20

Собственно, взлом то был чисто дружеским. Мы не хотели "убивать" Релком. Никакая информация не была стерта (лишь файл index.html был переименован в suxxx.htm), не были выведены из строя роутеры, да и оперативность, с которой починили сайт (1,5 часа) говорит не о "шустрости" админов, а о том, что мы не усложняли им задачу.

Вам не терпится узнать как же это мы ухитрились взломать чуть ли не самого защищенного провайдера Украины ? Все очень просто: люди, уделявшие особое внимание Unix серверам совсем забыли о том, что существуют открытые рабочие станции под Windows с реальными ИП-шниками.

Этим летом, когда вышел BackOrifice, я написал скромненький сканер, который проверял 31337 порт на предмет BO. Запустил его на ночь. На следующее утро я получил от провайдера сообщение типа "еще одно письмо с угрозой расправы за попытки сканирования сетей и я закрываю вам все UDP порты на выход". Ну что ж... Я порылся в своем ночном "улове", а в каждой подсетке C оказалось по 10-15 зараженных машин, и свил себе гнездо в одном скромном институтском компьютере далекого города. Надо сказать, что BO я значительно переделал расширив возможности. Теперь сканирование сетей шло с удаленного компьютера. Подсетки я выбирал чисто случайно. Без определенной цели. Среди улова была машина (насколько я понял финансового директора) предприятия, выпускающего навигационное оборудование для оборонной промышленности РФ. Папка "Мои документы" имела следующее содержание: 

Contents of directory 'c:\мои документы\*.*':
     0 D------ 11-11-96 09:21 .
     0 D------ 11-11-96 09:21 ..
 16384 -A----- 02-20-98 16:59 Salary.xls
     0 D------ 06-24-98 13:13 Gyrocompass
     0 D------ 03-03-97 11:33 Отчеты
     0 D------ 03-03-97 11:32 Планы
     0 D------ 07-02-98 14:37 VISTA
     0 D------ 03-26-97 15:13 Ходатайства
     0 D------ 05-08-98 13:53 Картинки
 20480 -A----- 12-16-97 15:00 График отпусков 1998.doc
     0 D------ 07-14-98 16:24 радио
     0 D------ 03-12-97 09:04 labels
     0 D------ 07-02-98 09:20 Гироскопы
     0 D------ 03-24-97 12:25 Обоснования
 52224 -A----- 07-15-98 16:07 bins.doc
     0 D------ 06-30-98 16:03 ProSoft
 19456 -A----- 05-22-98 09:23 Визы1.doc
     0 D------ 03-14-97 09:35 Распоряжения
 23040 -A----- 05-28-98 08:20 list1.doc
 89056 -A----- 07-15-98 16:04 Bv4bnsv2.tif
     0 D------ 02-12-97 10:04 strat
567544 -A----- 07-16-98 12:54 oernst.ra
     0 D------ 03-03-97 11:33 Служеб_зап
227235 -A----- 07-06-98 16:22 price-se.htm
     0 D------ 01-28-98 15:44 КАЛМАН
 19456 -A----- 12-18-97 12:21 Визы.doc
     0 D------ 04-17-98 11:33 iso
     0 D------ 10-01-97 18:03 федерал
     0 D------ 05-25-98 15:54 Мафтер
     0 D------ 04-30-98 15:24 Подпись
 19456 -A----- 05-20-98 16:12 ip-адреса.doc
     0 D------ 06-25-97 17:10 Характеристики
     0 D------ 03-13-97 18:35 Договора
     0 D------ 07-07-98 16:03 FOG
 24064 -A----- 05-20-98 10:43 Галкин_бланк.doc
     0 D------ 07-02-98 15:27 Итоговые собрания
     0 D------ 07-17-97 11:08 Внутр факсы
     0 D------ 07-09-98 15:17 Морозов
     0 D------ 06-10-98 12:23 Трофимов
     0 D------ 06-10-98 16:57 Столы
     0 D------ 03-03-97 11:36 Положения
     0 D------ 02-24-98 09:50 Программы
   360 -A----- 07-14-98 15:58 RealPlayer.lnk
     0 D------ 07-20-98 10:16 Приказы о командир
     0 D------ 03-03-97 11:33 Статистика
 19456 -A----- 07-16-98 15:00 Лист 5    Договора подряда.doc
  6731 -A----- 07-28-98 10:14 Dog-pmo2.asc
     0 D------ 03-06-98 15:20 ping
 41984 -A----- 07-29-98 14:30 Dog-pmo2.doc
     0 D------ 04-17-97 09:52 Vizitka
     0 D------ 04-30-97 12:57 Командировки
     0 D------ 03-26-97 11:52 Перечень ПЭВМ
     0 D------ 07-18-97 09:27 Приказы
     0 D------ 07-29-98 18:07 Договора подряда
     0 D------ 07-25-97 09:54 Знаки
Total files: 55

Кроме того на этой машине был доступ еще к десятку офисных компьютеров. Неплохой улов, не правда ли ? Я честно написал чудаку письмо о том, что у него проблемы и предложил приехать к ним и научить как хранить свои тайны. Чудак сказал мне "спасибо" и все. Orifice кто-то убил, но дальнейшее сканирование их сети показало, что у их разделенные ресурсы доступны через 139. А пароли: 


Resource: 'P_5_VER'  Password: '1478'
Resource: '15997'  Password: '82239'
Resource: '1_HP_133'  Password: '1478'
Resource: 'BTO'  Password: 'BTO'
Resource: 'SMIRNOFF'  Password: 'SMIRNOFF'
Resource: 'FS6'  Password: '82239'
Resource: 'FS2'  Password: 'SMIRNOFF'
Resource: 'FS1'  Password: '1478'
Resource: 'HALL'  Password: 'OIS'
Resource: 'HP150'  Password: 'NESTOR'
Resource: 'NT'  Password: '548935Yу'
Resource: 'ONR'  Password: '1478'
Resource: 'OASUP'  Password: '548935  '
Resource: 'ONR'  Password: '548935`?Ш '
ScreenSaver password: 'PSSDUDE'

кажется так до сих пор и висят ;)). Вышеперечисленное я публикую как привет директору этого предприятия. Так что, запускайте свои Legionы. Разочаровавшись в человеческой благодарности я решил действовать более конкретно. Следующей жертвой оказался наш местный провайдер. Достаточно быстро я "освоил" весь их офис, включая НТ-сервер с НТФС. Кроме того, имел пароли к 3-м Юникс машинам. Так как бэкапы хранились не на специальных устройствах, а на жестких дисках, то в моей власти было за ночь уменьшить число провайдеров в нашем городе на одного. Я этого не сделал - опять написал письмо сисадмину. В качестве благодарности мне предложили слепить сайт по безопасности и около 10 часов бесплатного интернета ;)). Я опять долго смеялся над своей добротой.

Очередной машиной, на которой мой сканер зарегестрировал наличие BackOrifice оказался 193.124.229.71 - KROK из офиса Релком-Украина. Сразу же я убил там "чужую" бошку и поставил свою - с паролем и измененным портом. Таким образом, я уже тогда оказал Релкому неоценимую услугу - если бы первым ее нашел не я, то проблемы могли бы быть куда серьезнее.

Я даже и не надеялся на то, что получу от Релкома какую-то благодарность. Даже интернетовская безлимитка в Киеве мне просто не нужна, а денег они все равно не заплатили бы. Я посоветовался со своим "коллегой" и мы решили пока просто понаблюдать за тем как работает первый украинский провайдер, чужой опыт всегда полезен ;).

Кейлоги велись круглосуточно практически на всех машинах, а потом мы выкачивали их пользуясь двумя редиректами. Кстати, устанавливать редиректы мне просто нравится, и как показывает практика, в том режиме, в котором мы работаем, найти нас невозможно. Много раз наши кейлоги регистрировали смены паролей. Самый простой пароль имел 5 символов (User:alesha, passw:mzo.5), а стандартно включали по 8-9 символов (Se05WebMr, NiaTwThly, EpK0Qw33). Немного посовещавшись мы приняли решение всего лишь поменять www - хоть моральное удовлетворение получить. Здесь нас поджидали некоторые трудности. Во-первых, машина ultra.ts.kiev.ua (на ней хранится ввв) оказалась уж очень хорошо защищена. Нам пришлось установить редирект на офисной машине с романтичным названием Olways для входа на нее телнетом.

Но выход мы нашли. В субботу утром мы пользуясь редиректами закачали в один сильно захламленный инкаминг забытой богом ФТП файлы с нашей страничкой. Затем, используя двойной редирект зашли сначала телнетом на машину uacom.ts.kiev.ua (дозвоночный сервер) проверили пароли к главному серверу.

Когда мы зашли на ultra.ts.kiev.ua то запустив фтп-клиент, повытягивали наши заготовки пока что в каталог zz. Ну, а затем уже одному не составляло труда менять ввв, пока другой чистил логи под другим паролем (кстати, root там висит как пользователь постоянно).

Вот и все.

Потом наделали скриншотов, закинули копию странички на Nettaxi, где ее уже убили по непонятным нам причинам и читали себе почту на Хотмэйле (тоже через редирект с выходом на вингейт (еще один редирект)). Скажите, что у нас тоже паранойя. Может быть, зато спим спокойно. Ответы, кстати, получились очень интересные. Ради них стоило все это затевать ;).

В заключении хочу дать несколько советов провайдерам:

  1. Не держите у себя на работе гамеров-ламеров, и не пускайте левый народ за служебные машины.
  2. Не давайте всем машинам подряд реальные ИПшники. Возможности современных компов позволяют делать проксирование\маскарадинг\НАТ без потери качества сети. Чем меньше вас видят, тем сложнее прицелиться.
  3. Почаще смотрите что происходит с машинами, с которых вы запускаете Телнет, ФТП и т.п. И уж во всяком случае, не делайте этого с ИП, роутящихся через КОНКУРЕНТОВ.
  4. Читайте новости о безопасности сетей. Например, обзоры Хакзоны - оперативные, интересные, достаточно подробные, да еще и на русском языке.

...и начинающим хакерам:

  1. Не пытайтесь пользоваться BackOrifice для серьезных взломов - наша версия достаточно переделана и не оставляет следов.
  2. Если вы не уверены, что вам надо что-то взломать, не взламывайте это. Здоровье сбережете. Мы описали идеально простой взлом, но даже здесь не все было так гладко.
  3. Не светитесь. Пользуйтесь редиректами, анонимайзерами... Отработайте сначала взлом в моделе на своей локалке и попробуйте найти свои же следы. Не лезьте в незнакомые ОС.
  4. Читай пункт 4 советов провайдерам.

Хакинг | Главная | Содержание

Hosted by uCoz