Vytištěno ze Světa Namodro http://svet.namodro.cz/go/r-art.asp?id=1010414882&t=security |
Je libo hacknout PES.CZ? Žádný problémAntiPes Team, který minulý týden změnil některé hostované stránky v rámci PES.CZ služeb, poskytl Světu Namodro konkrétní informace demonstrující neschopnost administrátora PES.CZ - Ostuda? Standard? Posouzení je na vás.Vydáno dne (17.4.2001) / rubrika SE-HACK Minulý týden jsme v článku Hackovali tři panenky, hackovali PES.CZ! informovali o aktivitě AntiPes Team - ten se v týdnu věnoval změnám některých webů hostovaných v rámci komerčních služeb PES.CZ AntiPes Team redakci Světa Namodro poskytl další informace vedoucí k bližší identifikaci bezpečnostního problému. Je natolik trapný, že je skoro až nemožné, aby společnost nabízející komerční hosting něco takového dokázala. Administrátor zodpovědný za tuto "díru" by měl být bez pardonu na minutu vyhozen. Last login: Sat Apr 14 12:43:53 2001 from 194.228.21.166 Jak je možné vidět z autentického záznamu SSH session (sobota, 12:20), není skutečně problém se přihlásit na konkrétní stroj (mysak.pes.cz) a při přihlášení mít k dispozici root práva. AntiPes Team k tomu ostatně zcela správně dodává:
Josef Grill, se nám k výše zmiňovanému článku ovšem vyjádřil takto:
Pan Grill je ve své podstatě velice blízko pravdě, k root přístupu na stroj mysak.pes.cz totiž skutečně dochází prostřednictvím správného uživatelského jména a správného hesla - heslo je totiž zvoleno natolik průhledné, že jeho odhadnutí vyžaduje skutečně jenom jeden jediný pokus.... Stroj mysak.pes.cz přitom slouží jako sekundární jmenný server pro zákaznické domény. Jeho absurdní otevřenost je tak poměrně nebezpečnou záležitostí a osobně nepovažuji v tuto chvíli žádné hostingy na PES.CZ za bezpečné - případní hackeři měli již mnoho příležitostí k instalaci packet snifferů a různých zadních vrátek. PES.CZ si z této bezpečnostní díry ovšem velkou hlavu zjevně nedělá. Přestože Svět Namodro pana Grilla upozornil (v době odpovídající výše uvedému výpisu z SSH session), večer v 20:05 (po osmi hodinách čekání) byl stroj mysak.pes.cz stále otevřený. OTAZNÍKY NAD HROBY... Otazníkem zůstává ovšem jiná skutečnost - na stroji mysak.pes.cz existovaly celkem čtyři účty (crond, syslog, ixesd a fnet) mající "root" práva a založené dříve, ale podle všeho nikoliv správcem tohoto serveru. Tuto skutečnost bylo možné snadno zjistit - pohledem do /etc/passwd i prohlédnutím historie účtů. Prohlédnutím běžících procesů a historie účtů bylo také možné zjistit, že stroj mysak měl kompletně zastavený syslog .... Nejpravděpodobněji byl tento stroj hacknut již dříve (kdy a jak pochopitelně nevíme) a poté velmi pravidelně využíván hackery - jejich střídání se ovšem bylo zcela nepovšimnuto zcela neschopným a nezodpovědným administrátorem zodpovědným za PES.CZ aktivity. Pokud PES.CZ neprovede kompletní reinstalaci, ale pouze zruší uvedené účty, můžeme se s 99.9% jistotou těšit na opakování problému...
-Daniel Dočekal |
je výslovně zakázáno bez předchozího písemného souhlasu. |