فردا دوباره !

فردا صبح که رفتم شرکت دوباره متوجه شدم که سایت دستکاری شده است و باز خبر دیگری گذاشته است و به قول خودش برای اینکه سایت را در zone-h ( اتوپیای لمر ها و اسکریپت کیدی ها ) ثبت کند این کار را کرده است. در اینجا متوجه شدم که اینها به فایل پایگاه داده دسترسی دارند ولی دسترسی در حد خواندن ، چون اگر توانایی نوشتن داشتند حتما صفحه اول را به طور کامل تغییر می دادند. اما سوال اینجا بود که از چه طریق ؟

متاسفانه من از سرور مطمئن بودم و آن روز با زمان کمی که برای خواندن log ها گذاشتم فقط آنچه  که نشان می داد این بود که wwwroot_shell به سیستم وارد می شود و خبر را اصلاح می کند، همین و دیگر هیچ !

خب در اینجا بود که اشتباه بعدی را مرتکب شدم و با انجام تغییراتی سایت را دوباره بالا آوردم. چاره ای نداشتم آن روز باید می رفتم گلپایگان برای پروژه بهران محور و تا دو روز نمی توانستم به سایت برسم و هیچ چیزی در دسترسم نبود. برای بررسی بیشتر فقط باید می رفتم شرکتی که هاست را به ما داده بود و چاره ای نبود جز اینکه تا 3-4 روز صبر کنم و به دلیل اینکه می دانستم مشکلی از سایت حل نشده و هنوز دسترسی روی سایت وجود دارد و این بار دقیقا می دانستم داستان چه هست ، اما باورش برایم سخت بود چون امثال این اشکال دو سال قبل حل شده بود اما متعجب که چرا دوباره این اتفاق افتاده است. باز سایت را اصلاح کردم و بالا آوردم. اینجا نیز اشتباه دیگری بود که مرتکب شدم و به دلیل اینکه فکر می کردم طرف هر چقدر هم پست باشد سایت را از یک طریق سه بار تغییر نمی دهد. اما فرهاد به لمر ها گروهی دیگر افزود ، «لمرهای برره». دیگر فرصتی نبود و باید همان روز می رفتم گلپایگان.

لمر های برره و ناتوان!

در سایت بهران در گلپایگان بودم که خانمم زنگ زد و بعد از احوال پرسی گفت : راستی خبر های بد را شنیدی ؟ دلم هری ریخت ! گفتم نکنه اتفاقی برای پدربزرگم که مریض بوده افتاده است. بعد ادامه داد : سایتت را دوباره هک کردند ، من دوباره بهت تسلیت می گویم! کلی خندیدیم و خیلی خیالم راحت شد. با هزار زور و زحمت یک ارتباط اینترنتی پیدا کردم و صفحه اول سایت را به طور کلی تغییر دادم و همان متنی را نوشتم که خیلی ها فکر کردند فرهاد نوشته است :

This site hacked by a script-kiddy hacker (ISP-Cracker) because this group dont have a root password, i replace this page for them!

IF YOU ARE A POWER HACKER PLZ CHANGE THIS PAGE !

 Whitehats Nomad Group

با این متن فقط می خواستم بگویم که آنها با دسترسی که دارند حتی قادر نیستند که متن روی صفحه را تغییر دهند در حالیکه بعد ها که اشکال را بررسی می کردم متوجه شدم که آنها می توانستند این کار را انجام دهند ولی نتواستند و این دلیلی بود که آنها واقعا هیچ خلاقیتی از خود ندارند! و شاگردان تنبل دبستان هکر ها هستند. ( قابل توجه محمد مسافر! ) وقتی دیدم این امکان وجود داشته است که از طریق آن صفحه را تغییر دهند، متوجه شدم که چه ریسک بزرگی کردم که خوشبختانه به خیر گذشت.

دیگر دقیقا می دانستم که چه اتفاقی افتاده است اما مجبور بودم برای بررسی های بیشتر صبر کنم که به تهران برگردم.

چهارشنبه پر مشغله و مشکل قدیمی

سه شنبه شب از گلپایگان آمدم و فردا اول وقت که شرکت رفتم برای بعد از ظهر مرخصی رد کردم که با خیال راحت سراغ سرور بروم . اما متاسفانه آن روز آنقدر در شرکت مشغله کاری وجود داشت که نتواسنتم زودتر از پنج بعد از ظهر بروم. اول از همه رفتیم سراغ مشکلی که حدس می زدم و حدسم نیز درست بود.

داستان از این قرار بود که در ویندوز های 2000 و در IIS 5.0 برای بینندگان صفحات وب ، IIS نام کاربری را به طور پیش فرض در نظر می گرفت و این نام کاربری در صورتیکه هاست های دیگری نیز روی سرور وجود داشت برای آنها نیز استفاده می شد. همین نام کاربری که فقط روی هاست ها اجازه خواندن و در بعضی مواقع روی پایگاه داده اجازه نوشتن هم داشت باعث می شد که با دسترسی به یک سایت، سایت های دیگر نیز مورد تهدید قرار گیرند.( بهترین نمونه آن ASP Shell ها بود) این مشکلی بود که در سالهای گذشته باعث هک شدن هزاران سایت در یک سرور می شد. اما این مشکل با راه حلی که داده شده بود حل شده و قرار شده بود برای بینندگان هر سایتی یک نام کاربری یکتا در نظر گرفته شود و این کار روی سرور ما نیز انجام شده بود.

اما از بخت بد من وقتی سایت از روی سرور2 روی سرور1 منتقل شده بود، نام کاربری IIS سایتهای دیگر را به طور سهوی به آن اختصاص داده بودند. این سایتها که اغلب نیز متعلق به شرکت مورد  نظر بود دارای مشکلاتی در سطح برنامه کاربردی بودند که همین طعمه خوبی شده بود برای لمر ها.

خلاصه در وقت کمی که آن روز داشتم فقط توانستم مشکل سطح دسترسی را درست کنم و برگردم چون باید در روز آینده راهی زنجان (پروژه وزارت اقتصاد و دارای زنجان) می شدم.

برنامه نویسان ابله خوراک «لمر های برره»

پنجشنبه شب وقتی از زنجان برگشتم فرصتی دست داد تا بتونم یک نگاهی به log فایل های سایت های دیگر داشته باشم. با یک جستجوی کوچک در این فایلها متوجه شدم که یکی از سایتهایی که در سرور وجود داشت شامل مشکلاتی بود که اجازه دسترسی به فایل هاا می داده است.برای اینکه موضوع را بهتر بفهمید می توانید نگاهی به مدخل ها بیندازید :

2006-02-24 16:24:11 81.246.50.209  66.48.76.205 80 GET /News_Archive/ss1471.asp action=download&file=D:|customers|web1790|NEWSN*****.MDB 200 0 5599583 528 340218 HTTP/1.1 ***************.com Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) - http://****************.com/News_Archive/ss1471.asp?raiz=D:\customers\web1790

دو حالت می تواند اتفاق افتاده باشد:

یک حالت اینکه این برنامه را یک برنامه نویس ابله برای برخی مقاصد نوشته بوده است که متاسفانه بدون هیچگونه احراز هویتی می توان به آن دست پیدا کرد.

حالت دیگر اینکه این برنامه را لمر ها روی سیستم آپلود کردند.

هر چه باشد جریان از سایت آسیب پذیر ادامه پیدا می کند و در اینجا اشتباه مدیر سرور در استفاده نام کاربری یکسان IIS برای بینندگان هر دو سایت امنیت وب و سایت آسیب پذیر اشتباه دوم را رقم می زند و اجازه ادامه کار را به لمر ها می دهد و آنها می توانند پایگاه داده سایت امنیت وب را دانلود کرده و از طریق پنل سایت، اخبار را تغییر دهند.