JavaScript Codes بزرگترین سایت جاوا اسکریپت ایران
سفارش تبلیغ
صبا ویژن

اشتباهات کوچک، نتایج بزرگ؛ مروری بر نحوه هک شدن سایت امنیت وب - دنیای مقالات
سفارش تبلیغ
صبا ویژن
چون خواستید از دانش بهره ببرید، بدان عمل کنید و در معانی آن بسیار بیندیشید، تا دلها آن را در برگیرد . [امام علی علیه السلام]
اشتباهات کوچک، نتایج بزرگ؛ مروری بر نحوه هک شدن سایت امنیت وب - دنیای مقالات
  • تماس با من
  • شناسنامه
  •  RSS 
  • پارسی بلاگ
  • پارسی یار
  • در یاهو
  • همه شاهد بودیم که چند روزی سایت با مشکلات عدیده ای مواجهه شده بود و گروهی با عقده گشایی هایی که با من داشتند دست به تخریب سایت زدند.

     

    شروعی کوچک، خطایی بزرگ

    شنبه شب ساعت 11 تلفن همراهم تماس گرفت. علی از پشت خط با یک حالت ناراحتی گفت که : بجنب سایت را هک کردند. من با خودم گفتم یعنی چه کسی این کار را کرده است ؟ سریع رفتم سراغ کامپیوتر و دیدم که یکی از اخبار سایت توسط فرهاد ( isp-cracker) تغییر کرده است.

    اولین فکری که به ذهنم خطور کرد این بود که شاید نام کاربری و پسورد کسی را دزدیده باشد. چون با ذهنیتی که از این طرف داشتم می دانستم که اصلا این کاره نیست که بخواهد به سایت دسترسی داشته باشد. حتی فکر Inject هم نکردم ، چون سایت قبلا تست شده بود. دوباره سایت را اصلاح کردم و در بخش مدیریت سایت دیدم که نام کاربری با عنوان wwwroot_shell درست شده است. فکر کردم که این نام کاربری فقط می تواند توسط من و فرهاد جعفری(این فرهاد را با آن لمر اشتباه نگیرید، این فرهاد با سن کم در اوج دانش و ترقی طی مسیر می کند)  ایجاد شده باشد ، چون کس دیگری نام کاربری مدیریتی نداشته است. خلاصه کلیه نام های کاربری را حذف کردم و فقط نام کاربری خودم را در سایت قرار دادم و سایت را دوباره اصلاح شد. ( شاید خیلی ها به من ایراد گرفتند که چرا سایت را بعد از اولین تغییرات دوباره بالا آوردی ؟ باید بگویم که آن شب من چاره ای نداشتم چون تمامی نام های کاربری و پسورد ها را در شرکت داشتم! و بدون داشتن آنهانمی شد که تغییرات اساسی در هاست انجام داد و مثلا صفحه اول را حذف کرد)

    فردا دوباره !

    فردا صبح که رفتم شرکت دوباره متوجه شدم که سایت دستکاری شده است و باز خبر دیگری گذاشته است و به قول خودش برای اینکه سایت را در zone-h ( اتوپیای لمر ها و اسکریپت کیدی ها ) ثبت کند این کار را کرده است. در اینجا متوجه شدم که اینها به فایل پایگاه داده دسترسی دارند ولی دسترسی در حد خواندن ، چون اگر توانایی نوشتن داشتند حتما صفحه اول را به طور کامل تغییر می دادند. اما سوال اینجا بود که از چه طریق ؟

    متاسفانه من از سرور مطمئن بودم و آن روز با زمان کمی که برای خواندن log ها گذاشتم فقط آنچه  که نشان می داد این بود که wwwroot_shell به سیستم وارد می شود و خبر را اصلاح می کند، همین و دیگر هیچ !

    خب در اینجا بود که اشتباه بعدی را مرتکب شدم و با انجام تغییراتی سایت را دوباره بالا آوردم. چاره ای نداشتم آن روز باید می رفتم گلپایگان برای پروژه بهران محور و تا دو روز نمی توانستم به سایت برسم و هیچ چیزی در دسترسم نبود. برای بررسی بیشتر فقط باید می رفتم شرکتی که هاست را به ما داده بود و چاره ای نبود جز اینکه تا 3-4 روز صبر کنم و به دلیل اینکه می دانستم مشکلی از سایت حل نشده و هنوز دسترسی روی سایت وجود دارد و این بار دقیقا می دانستم داستان چه هست ، اما باورش برایم سخت بود چون امثال این اشکال دو سال قبل حل شده بود اما متعجب که چرا دوباره این اتفاق افتاده است. باز سایت را اصلاح کردم و بالا آوردم. اینجا نیز اشتباه دیگری بود که مرتکب شدم و به دلیل اینکه فکر می کردم طرف هر چقدر هم پست باشد سایت را از یک طریق سه بار تغییر نمی دهد. اما فرهاد به لمر ها گروهی دیگر افزود ، «لمرهای برره». دیگر فرصتی نبود و باید همان روز می رفتم گلپایگان.

     

    لمر های برره و ناتوان!

    در سایت بهران در گلپایگان بودم که خانمم زنگ زد و بعد از احوال پرسی گفت : راستی خبر های بد را شنیدی ؟ دلم هری ریخت ! گفتم نکنه اتفاقی برای پدربزرگم که مریض بوده افتاده است. بعد ادامه داد : سایتت را دوباره هک کردند ، من دوباره بهت تسلیت می گویم! کلی خندیدیم و خیلی خیالم راحت شد. با هزار زور و زحمت یک ارتباط اینترنتی پیدا کردم و صفحه اول سایت را به طور کلی تغییر دادم و همان متنی را نوشتم که خیلی ها فکر کردند فرهاد نوشته است :

     

     

    This site hacked by a script-kiddy hacker (ISP-Cracker) because this group dont have a root password, i replace this page for them!

    IF YOU ARE A POWER HACKER PLZ CHANGE THIS PAGE !

     Whitehats Nomad Group

     

     

     

    با این متن فقط می خواستم بگویم که آنها با دسترسی که دارند حتی قادر نیستند که متن روی صفحه را تغییر دهند در حالیکه بعد ها که اشکال را بررسی می کردم متوجه شدم که آنها می توانستند این کار را انجام دهند ولی نتواستند و این دلیلی بود که آنها واقعا هیچ خلاقیتی از خود ندارند! و شاگردان تنبل دبستان هکر ها هستند. ( قابل توجه محمد مسافر! ) وقتی دیدم این امکان وجود داشته است که از طریق آن صفحه را تغییر دهند، متوجه شدم که چه ریسک بزرگی کردم که خوشبختانه به خیر گذشت.

    دیگر دقیقا می دانستم که چه اتفاقی افتاده است اما مجبور بودم برای بررسی های بیشتر صبر کنم که به تهران برگردم.

     

    چهارشنبه پر مشغله و مشکل قدیمی

    سه شنبه شب از گلپایگان آمدم و فردا اول وقت که شرکت رفتم برای بعد از ظهر مرخصی رد کردم که با خیال راحت سراغ سرور بروم . اما متاسفانه آن روز آنقدر در شرکت مشغله کاری وجود داشت که نتواسنتم زودتر از پنج بعد از ظهر بروم. اول از همه رفتیم سراغ مشکلی که حدس می زدم و حدسم نیز درست بود.

    داستان از این قرار بود که در ویندوز های 2000 و در IIS 5.0 برای بینندگان صفحات وب ، IIS نام کاربری را به طور پیش فرض در نظر می گرفت و این نام کاربری در صورتیکه هاست های دیگری نیز روی سرور وجود داشت برای آنها نیز استفاده می شد. همین نام کاربری که فقط روی هاست ها اجازه خواندن و در بعضی مواقع روی پایگاه داده اجازه نوشتن هم داشت باعث می شد که با دسترسی به یک سایت، سایت های دیگر نیز مورد تهدید قرار گیرند.( بهترین نمونه آن ASP Shell ها بود) این مشکلی بود که در سالهای گذشته باعث هک شدن هزاران سایت در یک سرور می شد. اما این مشکل با راه حلی که داده شده بود حل شده و قرار شده بود برای بینندگان هر سایتی یک نام کاربری یکتا در نظر گرفته شود و این کار روی سرور ما نیز انجام شده بود.

    اما از بخت بد من وقتی سایت از روی سرور2 روی سرور1 منتقل شده بود، نام کاربری IIS سایتهای دیگر را به طور سهوی به آن اختصاص داده بودند. این سایتها که اغلب نیز متعلق به شرکت مورد  نظر بود دارای مشکلاتی در سطح برنامه کاربردی بودند که همین طعمه خوبی شده بود برای لمر ها.

    خلاصه در وقت کمی که آن روز داشتم فقط توانستم مشکل سطح دسترسی را درست کنم و برگردم چون باید در روز آینده راهی زنجان (پروژه وزارت اقتصاد و دارای زنجان) می شدم.

     

    برنامه نویسان ابله خوراک «لمر های برره»

    پنجشنبه شب وقتی از زنجان برگشتم فرصتی دست داد تا بتونم یک نگاهی به log فایل های سایت های دیگر داشته باشم. با یک جستجوی کوچک در این فایلها متوجه شدم که یکی از سایتهایی که در سرور وجود داشت شامل مشکلاتی بود که اجازه دسترسی به فایل هاا می داده است.برای اینکه موضوع را بهتر بفهمید می توانید نگاهی به مدخل ها بیندازید :

    2006-02-24 16:24:11 81.246.50.209  66.48.76.205 80 GET /News_Archive/ss1471.asp action=download&file=D:|customers|web1790|NEWSN*****.MDB 200 0 5599583 528 340218 HTTP/1.1 ***************.com Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322) - http://****************.com/News_Archive/ss1471.asp?raiz=D:\customers\web1790

    دو حالت می تواند اتفاق افتاده باشد:

    یک حالت اینکه این برنامه را یک برنامه نویس ابله برای برخی مقاصد نوشته بوده است که متاسفانه بدون هیچگونه احراز هویتی می توان به آن دست پیدا کرد.

    حالت دیگر اینکه این برنامه را لمر ها روی سیستم آپلود کردند.

    هر چه باشد جریان از سایت آسیب پذیر ادامه پیدا می کند و در اینجا اشتباه مدیر سرور در استفاده نام کاربری یکسان IIS برای بینندگان هر دو سایت امنیت وب و سایت آسیب پذیر اشتباه دوم را رقم می زند و اجازه ادامه کار را به لمر ها می دهد و آنها می توانند پایگاه داده سایت امنیت وب را دانلود کرده و از طریق پنل سایت، اخبار را تغییر دهند.

     

    زندگی صحنه یکتای هنرمندی ماست،
                         
    هر کسی نغمه خود خواند و از صحنه رود.
                                                         
    صحنه پیوسته به جاست
                                                                          
    خرم آن نغمه که مردم بسپارند به یاد.



    Akb@r.Hemm@ti ::: چهارشنبه 86/3/9::: ساعت 5:22 عصر
    نظرات دیگران: نظر

    لیست کل یادداشت های دنیای مقالات

    >> بازدیدهای وبلاگ <<
    بازدید امروز: 914
    بازدید دیروز: 294
    کل بازدید :783152

    >>اوقات شرعی <<

    >> درباره خودم <<
    اشتباهات کوچک، نتایج بزرگ؛ مروری بر نحوه هک شدن سایت امنیت وب - دنیای مقالات
    Akb@r.Hemm@ti
    در مورد خودم زیاد مهم نیست

    >> پیوند دنیای مقالات <<

    >>لوگوی دنیای مقالات<<
    اشتباهات کوچک، نتایج بزرگ؛ مروری بر نحوه هک شدن سایت امنیت وب - دنیای مقالات

    >>لینک دوستان<<

    >>لوگوی دوستان<<

    >> فهرست دنیای مقالات <<

    >>بایگانی<<

    >>جستجو در متن و بایگانی دنیای مقالات <<
    جستجو:

    >>اشتراک در دنیای مقالات<<
     



    >>طراح قالب<<