Vydáno dne (17.4.2001) / rubrika SE-HACK

Minulý týden jsme v článku Hackovali tři panenky, hackovali PES.CZ! informovali o aktivitě AntiPes Team - ten se v týdnu věnoval změnám některých webů hostovaných v rámci komerčních služeb PES.CZ

AntiPes Team redakci Světa Namodro poskytl další informace vedoucí k bližší identifikaci bezpečnostního problému. Je natolik trapný, že je skoro až nemožné, aby společnost nabízející komerční hosting něco takového dokázala. Administrátor zodpovědný za tuto "díru" by měl být bez pardonu na minutu vyhozen.

Last login: Sat Apr 14 12:43:53 2001 from 194.228.21.166
Have a lot of fun...
mysak:~ # ps
  PID TTY          TIME CMD
  216 tty1     00:00:00 mingetty
  217 tty2     00:00:00 mingetty
  218 tty3     00:00:00 mingetty
  219 tty4     00:00:00 mingetty
  220 tty5     00:00:00 mingetty
  221 tty6     00:00:00 mingetty
 1571 pts/0    00:00:00 bash
 1601 pts/0    00:00:00 ps
mysak:~ # ps -al
  F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
100 R     0  1603  1571  0  71   0 -   607 -      pts/0    00:00:00 ps
mysak:~ #
mysak:~ # cd /root
mysak:~ # ls
.              .cedit  .mc       bin         lftp-2.3.8.tar.gz  skripty
..             .exrc   .ssh      instalace   loadlin            update
.bash_history  .lftp   .xinitrc  lftp-2.3.8  rpmcs              webmin-0.83.rpm
mysak:~ #

Jak je možné vidět z autentického záznamu SSH session (sobota, 12:20), není skutečně problém se přihlásit na konkrétní stroj (mysak.pes.cz) a při přihlášení mít k dispozici root práva.

AntiPes Team k tomu ostatně zcela správně dodává:

PES.CZ je server, ktery pojima 9 000 WEBu. Rejzuje ze svych zakazniku penize a neni schopen zajistit zabezpeceni serveru??
Nemuzu tady podavat postupy, ktera jsme pri "zpracovavani serveru" hostovanych u psa pouzivali.. muzu jenom rict, ze to byla skutecne otazka 10 minut cisteho casu.. je to neuveritelne, jak nekdo muze tak "blbe" nakonfigurovat svuj server. PES.CZ je prilis velika firma a vyplati se ji i pres jiste problemy, ktere ji zpusobuji lidi, jako jsme my pokracovat v praci.. ale kdyz uz chce (podle jejich slov) uvest cesky webhosting tim spravnym smerem.. at si alespon najmou PORADNEHO systemoveho administratora.. te nynejsi je absolutne mimo, protoze kdyz byl ON prilogovany na systemu.. MY jsme modifikovali stranky ;-)

Josef Grill, se nám k výše zmiňovanému článku ovšem vyjádřil takto:

Pan Grill je ve své podstatě velice blízko pravdě, k root přístupu na stroj mysak.pes.cz totiž skutečně dochází prostřednictvím správného uživatelského jména a správného hesla - heslo je totiž zvoleno natolik průhledné, že jeho odhadnutí vyžaduje skutečně jenom jeden jediný pokus....

Stroj mysak.pes.cz přitom slouží jako sekundární jmenný server pro zákaznické domény. Jeho absurdní otevřenost je tak poměrně nebezpečnou záležitostí a osobně nepovažuji v tuto chvíli žádné hostingy na PES.CZ za bezpečné - případní hackeři měli již mnoho příležitostí k instalaci packet snifferů a různých zadních vrátek.

PES.CZ si z této bezpečnostní díry ovšem velkou hlavu zjevně nedělá. Přestože Svět Namodro pana Grilla upozornil (v době odpovídající výše uvedému výpisu z SSH session), večer v 20:05 (po osmi hodinách čekání) byl stroj mysak.pes.cz stále otevřený.

OTAZNÍKY NAD HROBY...

Otazníkem zůstává ovšem jiná skutečnost - na stroji mysak.pes.cz existovaly celkem čtyři účty (crond, syslog, ixesd a fnet) mající "root" práva a založené dříve, ale podle všeho nikoliv správcem tohoto serveru. Tuto skutečnost bylo možné snadno zjistit - pohledem do /etc/passwd i prohlédnutím historie účtů.

Prohlédnutím běžících procesů a historie účtů bylo také možné zjistit, že stroj mysak měl kompletně zastavený syslog ....

Nejpravděpodobněji byl tento stroj hacknut již dříve (kdy a jak pochopitelně nevíme) a poté velmi pravidelně využíván hackery - jejich střídání se ovšem bylo zcela nepovšimnuto zcela neschopným a nezodpovědným administrátorem zodpovědným za PES.CZ aktivity.

Pokud PES.CZ neprovede kompletní reinstalaci, ale pouze zruší uvedené účty, můžeme se s 99.9% jistotou těšit na opakování problému...

-Daniel Dočekal --- Přehled článků tohoto autora najdete zde