Another one bites the dust
09/04/2008 12:58 — drz
Сьогодні на сайті АвтоОнлайн (http://www.autoonline.com.ua/news/?id=3882) побачив сторінку, після якої адміни кажуть "нас хакнули". Не хочеться займатися моралізаторством, просто трохи дістали такі спроби самоствердження...
P.S. В заголовку використано назву пісні гурту Queen
Bookmark/Search this post with:
- Блог пользователя drz
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии
Комментарии
Нехай їх справді хакнули...
...але цікаво, що адміни не знають, як ліквідувати цей пост. Може у них нема прав...
>просто трохи дістали такі спроби самоствердження...
Типа все хаки тока от маленького члена, да? :))
>все хаки
Переважна більшість.
А наведений вище - безперечно
Старик Фрейд таки усмехнулся бы в усы!
Я адміню цей сервачок :), чувак заюзав SQL інєкцію, отримав доступ до адмінки і зробив пост,
в силу криворукості коду правила mod_security для sql-інєкцій були вимкнуті.
Сам юнний хацкер сидів з life' gprs і для профілактики отримав 30 тис. пакетів супервеликого розміру, для прискореного закінчення телефонного трафіку.
Оскільки бабло на рахунку швидш за все, закінчилось чувак вирішив "помститись" з аудиторії києво-могилянки, де знов спалився. Задовбаний його впертістю я просто залишив йому повідомлення на http://www.autoonline.com.ua/admin/, щоб побоявся, якщо не злоби адмінської, то хоча б відрахування з універу за таке пізнання в хакінгу.
ШкодА, що не видно повідомлення
а я вообще прочитал "просто трохи дістали такі спроби самоствердження", что какбе сайт АвтоОнлайн говорит нам "посмотрите, мы-крутые! нас даже хакают!", а кого-то просто дастаёт такой дешевый способ пиара и он излился этим постом...
"life' gprs і для профілактики отримав 30 тис. пакетів супервеликого розміру" - ги, прикольна... а вы какбе понимаете, что лайф раздает ip динамически, и что ваши пакеты могли получить ни в чём неповинные программисты, удалено латающие сайт АвтоОнлайн от мега-сиквел-инъекций?
1. Це не піар ніразу, я навіть на блозі зарегався бо побачив пост :)
2. Це було зроблено методом: tail логу, при виникненні шкідливого запиту (шаблон я мав), викусувувався ip і відсилав пакети.
BTW може ти не зовсім розумієш того, що навіть у випадку DHCP ip який віддається на момент сессії динамічно залишається статичним до моменту нового підключення.
я какбе в курсе про dhcp и даже немного слышал про default-lease-time и max-lease-time, но далеко не факт, что после вашего tail начавшийся мега-пинг пакетами огромного размера (интересно какими, неужели у вас пропускало 64К?) не заканчивался на мальчиге пете, который как раз зашел в интеренет посмотреть на голых тьотей.
интересно, неужели железо лайфа пропускает на клиента icmp размером больше 1к?
отжиг про http://www.autoonline.com.ua/admin/ - то вообще песня: мега-админ поймал мега-хакера за яйки и задавил его своим интеллектом... скорее всего мега-хакера повесится или вскроет вены...
1. Мальчик "Пьєтя" який зайшов в інтернет з свого лайфа подивитись на голих тьоть - не робить записи про sql інєкцію в лог апача, який сервить сайт для хлопчиків, що надають перевагу машинкам.
2. З яких моїх слів ти взяв слова "icmp" та "мега-пинг", мабуть ти думаєш що в інтернеті існує хіба один пакетний протокол передачі данних, яким можна зафлудити канал? Типовий підхід віндузятника :), що хоче повимахуватись.
3. Відносно твого саркастичного висловлювання, то те що я написав аж ніяк не якийсь дешевий понт, а реальна інструкція по боротьбі з DDoS та хакерськимим атаками, під час якої ти повідомляєш зловмисника, що ти розумієш що він робить і звідки він це робить. Це метод захисту, який базується на соціальній інженерії.
ты кажется написал про про 30000 пакетов. они все были реакцией на запрос с инъекцией, т.е. один пакет на один запрос? мда, хацкер реальне хотел остаться незамеченым... хотя может он хотел переполнить вам диск c:\linux\var\log логами апача, чтобы оно всё лапки склеело?
кагбе в интернете много протоколов, проясните мне пожалуйта, виндузятнику (я люблю виндовз), какие же именно мега-пакеты вы посылали бедному хацкеру?
скажите, у вас в жизни было много DDoS атак? мне вдруг показалось, что вы не совсем понимает что это такое.....
Вибач, але на мою думку, ти неадекватний, для подальшого ведення розмови на цю тему.
мда, диалог становится предсказуемым...
выбач конечно, але про пакеты ты всё-таки напиши. а то невнятный какой-то слив получился...
итак, внимание вопрос: какие именно пакеты огромного размера ты посылал хакеру в ответ на его sql-инъекции???
ничего больше меня не интересует.
если ты не ответишь вопрос - то тогда вопрос о чей-то там неадекватности тебе поднимать рановато, тем более пытаться высмеять глупых виндузятников с их глупыми пингами.
пока что, я вижу перед собой «мега-админа-со взглядом горящим», который видимо уже несколько раз самостоятельно поставил убунту (ой, прастите , gentoo), у него есть СЕРВЕР,который он админит, он умеет пользоваться tail, считает mod_security панацей от всех болезней, htaccess – супер методом борьбы с DDOS (!) атакими, а глуповатые сообщение – социальной инженерией.
но всё это фигня... ответьте мне на мой вопрос, а очень жду!!!
Пакети з негарантованою доставкою, все що вилетіло мало прилетіти на порт, який перед цим інвентаризувався nmap'ом.
Відносно моєї компетенції - то я поставив вже на 4 сервера убунту і дженту!
т.е.? вы просканировыали хост nmap'ом, нашли некий открытый порт, чем-то подняли на него сокет и начали пихать в него udp-пакеты, у которых в хидере было прописано длина data size= 64K-8b. чем именно вы добились подобного эффекта?
sh+nmap+udp.pl
udp.pl в студию пожалуйста! и, если не секрет, какие порты были открыты у этого чудного мега-хацкера?
юз гугл udp.pl від gr33ts, це вже років мабуть 5 як бОян ) воіпний порт, на трубці через яку він сидів,
nmap роздуплив трбку як cisco ip phone, хоча не факт, так як фінгерпрінт не дає 100%
Доречі, можна питання, ти живеш на оболоні?
І це твої контакти? [blocked] e-mail: [blocked]
Просто цікавіше говорити з людиною яка представляється.
Вова, Вова, как тебе не стыдно... ццц
Я хотів привести приклад людині, що соціал інженіринг, дуже дієва штука. Сорі звичайно.
вы бы меня еще в linkedin.com нашли бы... поверьте, если бы мне нужно было быть мега-анонимом, то я был бы им , и никакая социальная инженерия бы не помогла. Легко ведь вбить в поисковик maserg и понеслось…. Я вот сразу вас нашел…
чуть не забыл главный вопрос: "а вы с какой целью интересуетесь?" :)
Хотів перевірити який у Вас телефонний оператор, знайти які ip використовуєте для роботи, чи були заходи до сабжвого сайту раніше, а раптом це ви хацкер.
эх если бы все так было просто... юрик, не выдавай ему мой сотовый!
Це не Юрік дав, якщо звичайно Юрік це не whois :)
ну тогда еще чуть-чуть и whois сольет мой сотовый :)
upd: мне из студии подсказывают что он уже тут был, ну ничего удивительного я в этом не вижу :)
Хто він?
Хто тут? )
ага на оболони. не вижу чё там за e-mail...
да тот, тот.
хм, причём тут боян? я так, для чистоты эксперимента...
вот умеете вы повеселить, я от "udp.pl від gr33ts" до сих пор отойти не могу :) сей мега-скрипт написал некто odix, а фразой "gr33ts: meth, etech, skrilla, datawar, fr3aky, etc." он какбе передаёт привет всем свои друзякам.
но я не об этом...вы же написали что, "отримав 30 тис. пакетів супервеликого розміру". Для меня пакет большого размера и является пакетом большого размера, вот я и пытался выяснить, как вы меняли размер пакета...В случаи с ping это делается очень легко (-s), а феерический (-i) только добавляет жару... а в приведенном вами скрипте, всё отсылается стандартными пакетами (размер которых вряд ли больше 2К), просто в них пихается мусор разного размера. Более того не все оборудование пропускает пакеты «большого размера» через себя, некоторое – разламывает их на более мелкие. Мы как бы про разные уровни модели tcp\ip говорим… вот я и хотел увидеть как это динамически меняется размер пакета…
сам скрипт интереса не представляет, подобную флудилку напишет любой глубокоуважаемый посетитель этого сайта на любом языке программирования, поддерживающем сокеты…
«cisco ip phone» это конечно прикольно, интересно чем руководствовался nmap. Может у хацкера skype был загружен…
Но (!), мне понравилась идея спускання баланса всякими флудилками! Итак, начинаем саботаж сети Лайф: берем gprs-пул лайфа и начинаем флудить по нему как ненормальные… где-то через недельку в форумах начинают появляться сообщения вида: «внимание, лайф кидает на бабло! Я ничего не качал, а они мне говорят что я из интернета накачал», «лайф – фуфло, кидают на трафик», «всё, меня достало их кидалово, перехожу на другого оператора»…. гигиги…..Затем берем пул мтс, киевстар, билайн, кто-то-там-еще….. ну что, делаем бот-нет? :)
Відносно gr33ts то так я його назвав оскільки так він в мене забукмарканий.
В скрипті розмір пакета динамічний від малого до "супервеликого" оскільки змінна $size, що використовується як параметер send рандомна.
nmap керується базою яку поповнюють користувачі та правилами http://nmap.org/book/osdetect.html
Те що флуд прилетів на хакера - це був елемент prevention - тобто захисту, бо я сподівався на те що у нього таки закінчаться гроші швидше ніж він ще щось поламає.
Те що він прилетів саме на нього а не на петю з голими бабами, я теж впевнений.
Робити бот-нети і зливати гроші невинних людей - це неправильно.
кто вам сказал про "динамического размера пакета", откуда это уверенность? почитайте про send, угадайте сколько будет $rand*$rand*$rand... в пакете udp может передаться "A 16-bit field that specifies the length in bytes of the entire datagram: header and data. The minimum length is 8 bytes since that's the length of the header. The field size sets a theoretical limit of 65,535 bytes for the data carried by a single UDP datagram..."
Вы знаете как ОС выставляет размер TCP и UDP пакетов? или вы думаете, что в UDP пыхается всё "пока влазит"?
а в курсе про nmap и fingerprint, не в том вопрос...
очень зря вы так уверены - в идеале это так. но в реале например у вашего сервера и у него, несчастного пользователя gprs, несколько разная скорость доступа к сети, причем на порядки. не зря есть такое понятие как UDP Buffer, т.е. часть ваших пакетов вообще не дошли до хацкера, но, скорее всего прошли через лайфовскую "считалку траффика".
а если хацкер обрывает связь? что дальше? сокет автоматически закроется - я лично не уверен. так и будете долбить в хакера пакетами, а тем временем этот ip получает петя с бабами. и пусть пакеты до него не доходят... они-то возможно проходят через всю ту же "считалку траффика"... всё это конечно же имхо.
про бот-нет : зато мы посеем панику в рядах простых пользователей мобильной связи, и, возможно, это переродится в новую революцию и смену власти во всех бывших советских республиках!
неужели вы не улавливаете тонкий академический юмор в моих сообщениях... наверное я действительно неадекватен...
Маршрутизацію та тарифікацію в мережі GPRS провайдера роблять GGSN. Захист від DDoS'ів та ненормальної мережевої активності має лягати на плечі Фаєрволів та IDS'ів які і обслуговуються провайдером.
ІМХО ефективність такої атаки у розприділеному режимі досить страшна, як для користувачів так і для провайдера.
Чисто гигиенический хак, чтобы жопу не подставляли.
Санитару леса - привет.
От тепер моралізаторство
Олексій, використовуючи запропоновану тобою лексику:
Если жопу подставили, все равно будет сложно доказать, что было по обоюдному согласию
Доказать... Согласие...
Если ты ушел из дома, а дверь не закрыл, а тебя ограбили - сложно будет доказать обоюдное согласие?
Справедливый и незлобный щелчок по носу. Нужно спокойно и с иронией относится с своим ошибкам, а не сублимировать, ИМХО.
> Справедливый и незлобный щелчок по носу
От в цьому відмінність моєї і твоєї точок зору. Хакер лишив по собі такі сліди не тому, що він такий справедливий і незлобно вказав розробникам на дірки в коді. Він просто не знайшов іншого способу скористатися дірками.
Продовжуючи аналогії з матеріальними цінностями, якщо ти вийшов з машини, забувши ключ в замку, а хтось справедливий забрав твою машину, щоб просто покататися - то це що "Справедливый и незлобный щелчок по носу", чи правопорушення з усіми витікаючими???
То есть, ты думаешь, что все хаки - она как бы с материальным умыслом? Расчитывал найти в адмике брильянты, год готовил взлом, а там ничего не оказалось, и он со злости "самоутвердился"? Да ну, брось.
Да, формально это правонарушение, и все такое. Я его даже осуждаю. Кагбе.
programming is fun :)
Хто, з ким і як довго готував - це вже хай слідчі визначають ;)
Я маю на увазі, що те, що ми бачили - це не fun, а швидше правопорушення.
P.S. Слухай, а може то ти зробив? Хоча ні, я ніколи не зустрічав, щоб ти слово "мозок" російською писав через "ц", а не хоча б через "с" ;)
Я так считаю, что надо радоваться. Не надо напрягаться.
какие "слідчі" ?
какие "слідчі" ? шо вы курите, вышлите и мне!
ps. лучше бы это был "чёрный повелитель"... кстати, сайт не досят?
Я нічого не курю.
Я намагаюсь слідувати порадам Олексія Наймегазаліковішого (сподіваюсь так коректно перекласти) і потихеньку радію життю. На вебдівці не вдалося, то хоча б вдома ;)
Взагалі то існує класифікація хакерів, як White and Black Hats. Перші заради фану шукають уразливості і про це повідомляють адмінам, інші Black роблять шкоду, різного типу дефейси, задля економії на віагрі.
Є третя група - та назвати їх хакерами язик не повертаються - оскільки це гуру, які монетизують хакінг.
Вони і є найбільш професійнимими, вміють "не палитись" та розуміються на соціальній інженерії.
Соціальна інженерія - навіть в наш високотехнологічний час залишається найефективнішим методом. Компанії конкуренти купують спеціалістів або сейлсів уже з готовими напрацюваннями та клієнтськими базами, а в силу того,
що трудовий договір про конфіденційність часто розповсюджується на термін роботи працівника під суд за таке не віддаш.
А відносно взломів - то словами одного з засновників SANS.org - "Чим частіше ваше оточення ламають тим швидше воно вміє відновлюватись та стає більш безпечним". Отже хакінг White чи Blaсk - це позитивне явище, хлопакам ніхто не платить, а вони слідкують за станом Вашої безпеки.