Блог

Как взломать хостинг на сервера

Система сложна, потому многие администраторы не могут правильно ее настроить, а это нам уже на руку. Команда netstat -an grep -i listen предоставила мне список открытых портов этой машины. Видишь, не понадобился даже nmap, тем более версии сервисов он бы все равно не определил, а только привлек внимание IDS и админа.

Были открыты только 80, 21 и 22 порт. Нужно поискать файлы наделенные suid битом. Что-то мне подсказывало посмотреть, что именно открыто для записи.

Взлом хостинга.

Открытых для записи файлов и каталогов было очень много, это заставило задуматься над тем, что админ возможно неправильно расставил права на каталоги юзеров. После изучения информации я понял, что кроме всего остального на серваке установлен какой-то web-mail.

Каталог принадлежал юзеру vdeck из группы wheel. Помимо этого я сразу же обнаружил огромную дыру в atmail. Она заключалась в том, что в каталоге практически каждого пользователя находился файл login. Вбив в качестве хоста mail. Вдоволь начитавшись личной пересылки множества буржуев я оставил atmail в покое. Нужно было закрепляться на сервере пока меня не попалили. Для начала я пробрутил 21 порт на связку login: Можно было запустить и гидру от thc. К счастью с десяток буржуев установили пароль равным логину.

Прекрасно, теперь у меня есть полноценный FTP доступ.

Программа для управления чужим сервером?

Я попал в какую-то убогую юзерскую директорию, поэтому вернулся дальше исследовать систему через мой webshell. Честно говоря, я думал, что меня пошлют подальше, но передо мной представились директории юзеров.

Странно, большинство хостингов закрывают для просмотра эту директорию. Зачем нам директории пользователей? Дело в том, что даже если нас не пустят в корень каталога юзера, у нас есть очень большие шансы зайти в поддиректорию, где лежат www файлы и просмотреть их сорцы. Такая дыра, например, была на серверах agava. Да что греха таить, я недавно заприметил такую же багу на очень популярном российском хостинге, где хостятся очень много серьезных проектов.

На этой машине даже такая хитрить не понадобилась, я спокойно зашел в одну из них, во вторую, третью директорию… Вывод был прост, я теперь имею доступ не только к электронной переписке пользователей, а и к приватным файлам и директориям. Тогда пришло время запустить еще один инструмент. На сервере присутствовал сервис FrontPage, известный во всем мире своею дырявостью.

Поэтому результат работы эксплоита не заставил себя ждать. Эксплоит для FrontPage собирает читатебальные.

Что такое взлом сайта и почему он происходит? План защиты Web-сервера.

Его работа позволяет создать нехилую базу всех сайтов в виде логин: Результатом работы эксплоита я был очень доволен. Было получено больше сотни пассов зашифрованным DES алгоритмом. Добытый список содержал логин, пароль, номер юзера, номер группы, домен, домашнюю директорию и сведения о шелле:. Зная, что пароль для аккаунта юзер задает сам, а не использует мудрированные пассы придуманные прогами, я был уверен в быстрой расшифровке аккаунтов по словарю.

Набираю разные страницы сайта, всё тоже. Делаю бекап базы данных, проверяю файл. Захожу на сайт, а он уже работает как ни в чем не бывало. Что это было?

Что может пойти не так?

Borisво-первых, модификация даты изменения файла на сервере — одна из базовых операций, производимых при взломе, предназначена именно для затруднения локализации заражённых файлов потому как в подобных случаях все ищут именно недавно обновлённые файлы. Во-вторых, при взломе нередко сохраняется большая часть функциональности сайта, а уж назначить несанкционированным действиям событийность по определённым числам, событиям, совпадениям условий, конкретным IP или диапазонам, и.

Соответственно, мой совет — искать преценденты аналогичных случаев взлома конкретно вашего движка вашей версии, или знатоков таких прецедентов. Как вариант, перебор грамотным специалистом всего исходного кода движка и поиск дыр, но это работа дорогостоящая и крайне кропотливая. Редрик Шухарт. Мне интересно, взломали только меня или же весь сервер.

Как я взломал 40 сайтов за 7 минут (перевод) / Блог компании Southbridge / Хабр

Я юзал шелл примерно две недели, после чего видимо админ наконецто просек что я его поимел и все прикрыл. Я розозлился, так как канал был очень быстрым и такой шелл терять не хотелось.

Но мне очень хотелось его снова поиметь, за то что он так нагло закрыл мой шелл. Решил посмотреть права с которым запущен веб сервер - www. Потом выполнил команду: Взламывая сайт, злоумышленник, во-первых, получает бесплатный и анонимный хостинг для выполнения любых скриптов и для размещения любой информации в пределах взломанного сайта или для рассылки спама, а во-вторых, он получает доступ к аудитории сайта и может со страниц сайта заражать компьютеры посетителей вирусами или перенаправлять их на мошеннические сайты.

Взломанные сайты могут также использоваться для осуществления атак DDoS, взлома других сайтов и для запуска любых других вредоносных программ, так как аккаунт хостинга, на котором размещается сайт, — это полноценный пользовательский аккаунт операционной системы на сервере хостинга, позволяющий запускать любые приложения. Для взлома сайта злоумышленник может использовать любой способ, который позволяет ему производить модификацию файлов сайта.

С помощью вируса на компьютере, с которого владелец или разработчик сайта подключается к сайту через FTPзлоумышленник крадет пароль от аккаунта FTPпосле чего может подключаться к аккаунту и изменять или загружать произвольные файлы. Так как сайт часто располагается в папке, имя которой совпадает с именем сайта, для злоумышленника не составляет труда определить, проникновение на какой сайт он совершил.

Также информация об имени сайта часто содержится в настройках подключения FTP, которые были украдены злоумышленником. Аналогично доступу по FTP может использоваться украденный доступ по SSHс той лишь разницей, что при работе по SSH для запуска произвольных программ не требуется обращаться к сайту, размещенному на аккаунте. Также злоумышленник может украсть пароль от административной панели сайтапредназначенной для редактирования его страниц. Панель администрирования, как правило, предоставляет возможности для загрузки на сайт произвольных файлов.

как создать игровой сервер на хостинге

Воспользовавшись ей, злоумышленник загружает на сайт вредоносный скрипт, через который осуществляет дальнейшую работу с сайтом уже без необходимости входа в административную панель. Узнать пароль от FTP, SSH или административной панели сайта злоумышленник может также перебором по словарю, если пароль недостаточно сложен.

Проникнуть на сайт без использования пароля злоумышленник может через уязвимость в используемой системе управления сайтом CMS или в одном из ее расширений. В этом случае злоумышленник использует ошибку в логике программы и заставляет систему вести себя не так, как задумывалось ее разработчиком.

В результате этих действий злоумышленник может загрузить на сайт скрипт, через который осуществляется дальнейшая работа. Существуют базы уязвимостей, с помощью которых любой желающий может узнать о том, как применить ту или иную уязвимость к той или иной CMS. Этот способ взлома используется очень часто, так как база уязвимостей постоянно пополняется сообщениями о новых ошибках в CMS, а владельцы сайтов редко обновляют системы управления сайтом или их расширения до актуальных, не подверженных уязвимостям, версий.

Проникнув на сайт, злоумышленник через него может получить доступ к другим сайтам, размещенным на том же аккаунте хостинга.

установить cs сервер хостинг

Таким образом, сайт может быть взломан даже если на нем нет уязвимостей и к нему невозможен доступ по FTP или SSH — только потому, что этот сайт находится на одном аккаунте с уязвимым сайтом. После взлома сайта любым способом злоумышленник чаще всего загружает на него один или несколько скриптов, которые позволяют ему в дальнейшем проникать на сайт, даже если уязвимость уже закрыта, а все пароли изменены.

Как правило, злоумышленник старается замаскировать такие скрипты, размещая их глубоко в структуре папок сайта или присваивая им имена, похожие на имена скриптов CMS.

Также код для проникновения может быть внедрен в какой-либо из уже существующих файлов CMS — таким образом злоумышленник избегает создания новых файлов, затрудняя обнаружение вредоносного кода. Так как злоумышленник имеет целью заразить не конкретный сайт, а заразить как можно больше сайтов, он пытается получить доступ ко всем сайтам подряд.

Чтобы получить список сайтов для перебора, достаточно воспользоваться поисковой системой. Если какой-либо сайт оказался взломан, то это произошло потому, что злоумышленник случайным образом нашел его в поиске или перебором имен, и потому, что на сайте оказалась уязвимость, либо из-за того что были скомпрометированы пароли доступа к сайту. Чтобы обеспечить безопасность сайтанеобходимо предпринимать соответствующие меры: Варианты обеспечения безопасности Web-серверов Можно выделить следующие, наиболее общие способы защиты Web-серверов:.

Это один из наиболее простых, но вместе с тем наиболее эффективных способов уменьшения рисков. Все имеющиеся Web-серверы должны постоянно проверяться на предмет обновления установленного программного обеспечения и установления патчей.