Имейте совесть или совесть поимеет вас

В последнее время моральные устои публичного андерграунда, представленного в виде десятков, а то и сотен хакерских форумов, начали падать ниже плинтуса. Взломом ради взлома сейчас можно удивить почти любого - всех тянет вниз жажда наживы. Мало того, толпы неполовозрелых особ (или школота, от гр. "долбоёбус школитисимус" - лицо девственной национальности) осели на этих самых форумах и теперь активно ракуют и портят саму атмосферу. Они! Нас! Истинных хакеров в третьем поколении троянят! Нет, серьезно. Не проходит и дня, как прыщавый 9-классник создаст на форуме пачку тем в стиле "Новый супир криптор! все кочать!!!". И тут "набигают" с десяток аналогичных особей, ну и происходит "это". "Вах там троян", "убью паскуда", "задолбала школота" - и всё это оседает. И вместо технических тем получаем гигабайты бессмысленного поноса - и как тут что-либо можно найти. Хотя вообще, наблюдать это со стороны бывает весело. Стая идиотов мигрирует из топика в топик и троянят друг друга по очереди. И как всегда всё портит один из стариков форума, вещающий "Там троян, не качайте". Кайфолом...

Ну так о чем это я? Отвлекся, черти б их всех взяли. Морали нет, принципы еще не выросли. После напряженного дня (4 урока, ага) эта особь заходит на форум журнала "Хакер" ("ксакеп" по-народному), в бэкграунде конпелируя пинча и склеивая само зло с фотками Ксении Собчак, и создает на форуме топик о новом брутфорсе/крипторе/джоинере/etc. Особи заходят, качают, устанавливают себе кейлог/трой/бэкдор. И вот на этом моменте в игру входит адекватный участник форума, (да, принципы у него уже выросли, 30см, по колено блять) качает недотроя, и получает доступ ко всем паролям жертв. Как?

В большинстве случаев хватает минимальных знаний реверсинга и владения дизасмом/отладчиком. В случае со стилером ("стилер", от англ. "stealer" - троян, который при запуске высылает хэккеру сохраненные в системе пароли) все достаточно просто - рядовая особь не умеет его правильно настроить и в результате получает троян, в котором хранится пароль злоумышленника. Например, если стилер настроен на отправку паролей на ftp-сервер, то в самом трояне будет хранится пароль от этого сервера. Правильная же особь настроит троян на работу с гейтом (гейт - скрипт на удаленном сервере, который принимает пароли и сохраняет в надежном месте), т.е. в трое паролей не будет, для злоумышленника всё безопасно. При работе с кейлоггером появляются всё те же проблемы - фтп использовать несекурно, остается либо гейт, либо отправка отчетов на почту. Но даже тут, в казалось бы продуманном способе доставки паролей, это особь косячит - в рассматриваемом сегодня случае отправка сообщений происходила на тот же ящик, откуда она и шла - т.е. в трое хранился пароль, зная который можно разрулить отчеты остальных особей. Так собственно и произошло...

Итак. Зимнее утро, приподнятое настроение, клавиатура уже в предвкушении набить очередного суперского трояна. И тут неожиданно стук в icq с предложением помочь кое с чем. Это стучит старый-добрый Ltonid, проверенный и адекватнейший пользователь Форума Хакер. Как оказалось, он раскрутил очередной кейлоггер, которого впаривали под видом чего-то суперски клёвого, и ему нужна помощь с разгребанием "халявы". Ну как тут можно отказать то?

Волей случая, особь настраивая кейлоггер, вбила свой рабочий и весьма используемый адрес почты. Ну что же тут поделать, не упускать же такой шанс. При открытии его почты (через прокси! только через цепочку из стопиццот сотен прокси!), открылась весьма занимательная картина - десятки писем с логами кейлоггера. Софт использовался весьма ущербный - логи были трудночитаемые, да еще и жертвы были геймерами - в логе были сотни строк с текстом вида "adwasdawdasdadwasd". Логов было действительно много, и все однотипные - искать в них что-либо интересное представлялось весьма нудным (рис. 1). Но товарищ Ltonid не сдавался до последнего и все-таки нашел вкусняшку - авторизационные данные для почты xakep.ru И о чудо - они не просто подошли, а открыли весьма примечательную картину - десятки, сотни писем. Об оплате чего-то - в них были данные нашей особи: ФИО, адрес, телефон :) В итоге, устроив параллельную блиц-гугл-сессию и основываясь на данных и почты, на него было создано досье:

Также были письма о регистрации хостингов, о создании аккаунтов и еще кучи всего. Перелопачивая все эти килобайты "халявы" Ltonid находит пса по имени Бинго - письмо от администрации хостинга с данными для авторизации в админ-панели DirectAdmin (рис. 2, рис. 3)! Что уж тут думать - тут главное чтобы сайт был рабочий и посещаемый, не заброшенный. Так оно и оказалось - это был сайт каких-то унылых геймеров http://cyber-west.ru (уже сдох). Моментально мною был залит шелл WSO. Дальнейшая схема действий весьма предсказуема - поиск вкусностей. Сайт работал на cms DLE 8.3 На хосте был установлен PhpMyAdmin, вход в который был осуществлен с теми же данными, что и в DirectAdmin. Как показал гугл, хеш пароля в DLE - двойной MD5. Имея в распоряжении видеокарту nVidia GTX 275 и хеши обеих администраторов сайта, взлом пароля был вопросом времени. Используя программу для брута IGHASHGPU, на скорости 250 миллионов паролей в секунду, был подобран банальный 6-значный циферный пароль одного из админов, второй же ни в какую не поддавался. Имея такой нехилый набор паролей от всего, цель всё еще оставалась нетронутой - поддался бруту пароль другого администратора, который никак небыл причастен к протрояниванию, поэтому мы отложили брутфорс паролей и начали брутфорс идей. Первое что пришло в голову - поставить сниффер авторизационных данных, т.е. сохранять в файл те данные, которые пользователь вводил про логине. Учитывая нулевой опыт в такого рода деятельности, это оказалось весьма нетривиальной задачей. Но скачав дистрибутив DLE и изрядно покопавшись в ней, искомое место было найдено в файле engine\modules\sitelogin.php, куда и был помещен код такого вида:

В итоге, после многочасового ожидания, были отхвачены пара десятков паролей, но наш быдлоадмин ни в какую не логинился, а судя по статистике сайт он посещал. Мда, что ж тут делать то? В работу было включено целых 3 кг мозгового вещества - и вот она идея, убить сессию этого чудилы, тогда при следующем посещении сайта, он скорее всего залогинится и его данные осядут в логе. Кильнули все ответственные за сессию значения из БД - эффекта ноль, зарегистрированный заранее тестовый аккаунт продолжал оставаться залогиненным. Попробовали убить временные файлы с сессиями, которые лежали в \phptmp - никакой реакции.

Вот он тупик, в наши светлые головы ничего не приходило. Лезть и стирать куки с его машины - это был явный перебор, да и лень было. И вот она, снова гениальная идея - админка то еще есть! Там есть своя форма логина, через которую особь могла удачно залогиниться. Для начала нужно было её найти. При попытке зайти в http://cyber-west.ru/admin.php выдавалась какая-то белиберда, явно это была не админка. И только после активного гуглинга и посещения сайта-демки на DLE, стало ясно, что в админку нужно идту вот так: http://cyber-west.ru/admin.php?mod=main Мать её за ногу, эту кривую архитектуру! Для вставки кода было решено использовать файл \engine\inc\include\init.php - на этом моменте всё прошло гладко, код вставлен, данные сохраняются. Час ждем, два ждем - эффекта ноль, админы туда вообще не совались. Очередной тупик.

Думали уже забросить это дело, ну ничего в голову не шло. Но опять светлая голова Ltonid выручила рыцарей добра: "А давай-ка запорем ему хэш!". Это было лучшим вариантом, и единственным. Особь зайдет на сайт, куки окажутся невалидными, он разлогинится. Логин в PhpMyAdmin, смена одного символа хэша и ожидание, снова. Часы шли, активности никакой, только очередной дебил-геймер оставлял свой пароль в логе. Мы занялись своими делами, ибо ожидание неистово надоедает.

И вот, уже ближе к вечеру, вспомнилось - а ведь надо чекнуть лог! И вот оно, то чего мы так ждали, заветная фраза "1278284nea", которая уже встречалась в логах и письмах. Но там было столько всего, что опробовать всё - а ну его в пень. Попытка логина - удачно, вход в почту на яндексе - еще как. Единственное, что огорчало - при логине админом, на сайте это светилось - кто был онлайн. Пришлось периодически удалять значения из таблицы dle_online.

Миссия достигнута, все данные на руках. Оставалось только одно - устроить "Час Ч". На всякий пожарный, через DirectAdmin был создан, слит и удален бэкап всего аккаунта, вместе с файлами и базами. В самым последний момент, когда уже всё было настроено на тотальный дестрой, оказалось, что надо же еще и страничку индекса состряпать, с посланием для особи (рис. 4). Синхронными нажатиями кнопок мышей были сменены пароли везде, где только можно, удалены все записи из базы и все возможные файлы - а чтобы слаще жилось.

Суть это прохладной истории - не опускайся до уровня заражения своих, не будь идиотом и держи хвост пистолетом!