Jak byl hacknut banan.cz

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Emkei
Datum: 17.5.2010
Hodnocení/Hlasovalo: 1.36/177

Nedávné útoky na webhostingovou společnost banan s.r.o. pravděpodobně přehlédl málokdo. Následky kompromitace uživatelské databáze byly pro webhosting drtivé, jak k ní ovšem mohlo dojít? Těžko uvěřitelné, ale poměrně snadno. Tristní zabezpečení serverů uvedené společnosti včetně osobních souborů Radovana Kaluži pomohl odhalit samotný Google.

BananPokud hledáte informace o společnosti banan.cz, respektive přidruženém serveru owebu.cz, snadno můžete narazit na zajímavá data, viz přiložené screenshoty. Asi nejzajímavější informací je fakt, že na subdoméně sec.owebu.cz se ještě donedávna nacházel veřejně přístupný PHP Shell, konkrétně c99shell, a to nahraný nikým jiným než uživatelem root! Těžko říci, zda jej tam umístil útočník nebo někdo z adminů (druhé variantě nasvědčuje samotná subdoména i vlastník souboru), každopádně tak učinil již 15. června 2009. Bezmála rok tak mohl po serveru chodit kdokoli, kdo zadal do googlu jednoduchý dotaz podobný následujícímu:



což prakticky udělá každý útočník nebo pentester hned jako jeden z prvních testů webové aplikace. Google toho ovšem zaindexoval mnohem více, včetně hesla do databáze serveru owebu.cz (opět viz přiložené screenshoty). Kdokoli tak mohl bez vkročení na server společnosti banan s.r.o. vědět, že minimálně pro databázi owebu_cz je použito heslo " ahojkamo". S bezpečností si tedy očividně hlavu nelámali, jak ostatně dokázaly hacky v posledních měsících (za kterými jsem mimochodem nestál). Ze svých vlastních zkušeností mohu ale říci, že získat na webhostingovém serveru root heslo pro připojení k databázi a kompromitovat tak seznam všech uživatelů, není nic obtížného, natož pokud někdo ignoruje bezpečnost do takové míry, jako předvedla společnost banan.cz.

Jak dokazují screenshoty, veškeré soubory vlastní uživatel root a některé jsou i čerstvého data, server tudíž byl (je?) stále využíván jako datové úložiště, přestože původní verze portálu owebu.cz již zanikla. Málokoho by asi nezajímal obsah subdomény radovan/, i ten vám google nabízí k nahlédnutí (soubory jako dluznici, kontakty, mzdy atp. musely útočníkům udělat doslova radost). Z bezpečnostního hlediska je ovšem mnohem zajímavější subdoména www/, kde se mj. nachází i soubor hack.txt ze stejného data, jako samotný shell. Pohrát si na googlu s dotazem



dokáže kdokoli a nezřídka tak lze získat nejen zajímavé, ale i citlivé informace o společnosti banan s.r.o., a to zcela legální cestou.

Screenshoty

• výsledek dotazu "owebu.cz index of" na Google.cz :: screenshot
• directory listing na subdoméně sec.owebu.cz :: screenshot
• PHP shell pojmenovaný jako pekny_vypis.php :: screenshot
• heslo do databáze owebu_cz zaindexované Googlem :: screenshot
• vlastníkem shellu je uživatel root :: screenshot
• výpis složky /srv3/www/owebu.cz/ :: screenshot
• veškeré subdomény na serveru owebu.cz :: screenshot
• soubory v rootu portálu owebu.cz :: screenshot
• výpis souborů na subdoméně radovan/ :: screenshot