Взято из ветки ландоры. История о том, как один хакер взломал админа Ландоры, сори за офф топ, просто надеюсь это будет полезно.
Хак сайта Landora-investing.com
Глава 1. За три дня до скама…
Злой Эдуард сидя за компьютером, вспоминая Говоновару (VivaraGroup) и их недавний проект подумал о том, как отомстить Ландоре. Несколько выпитых банок пепси и скуренных сигарет Senator не помогали успокоиться от недавней волны скамов.
Вспоминая свои старые навыки по взлому сайтов и компьютерных сетей от которых он уже давно отошел, занимаясь честным и легальным бизнесом, не давали покоя. А посему бы и нет? По факту нельзя же обвинить человека, который поломал сайт мошенников, с целью их разоблачения? Или можно. Наше законодательство в РФ обвинит кого угодно, ну да ладно, была поставлена цель: Осуществить незаметный взлом, так, чтобы админ проекта не заметил факт взлома, попутно собрать информацию о нем, его компьютере и все что можно… Выбор сделан… Действуем.
Глава 2. За три дня до скама – ночь.
За окном лил дождь, делать было нечего, набрав в адресный строке сайт Ландоры первое что я сделал – посмотрел какие еще сайты размещены на сервере. На сервере крутился только сайтландоры, информации о скрытых разделах в robots.txt тоже не было. Просомотрев исходный код страницы было видно что cms стоит самописная, а значит уязвимая.
Провести SQL иньекцию не удалось, все поля надежно фильтровались, следовательно, доступа к БД не было, также сайт не реагировал на прочие хитрости. Пришлось лезть на форум. Сразу была замечена первая ошибка, форум лежал в под директории сайта, а следовательно, хакнув форум можно было получить доступ к всему сайту через шелл. Нужно было определить версию форума.
Скачав движок форума из сети Эдуард провел его анализ, удалось найти несколько файлов которые расскажут о точной версии форума.
Версия оказалась phpBB 3.0.11 – аха, успех, подумал Эдуард – дело в шляпе…
Пару часов в поиске и удалось найти рабочий exploit на перле. Естественно открыв исходники Эдуард первым делом проверил последовательность операторов, и исправил «защиту от скрипт киддесов». Можно было действовать.
Пальцы машинально набрали cmd в Пуске и простой командой запустили эксплойт.
Фолл – и первая серьезная неудача. Эксплойт отказался хакать форум автоматом, 4 часа разбора программного кода и попытки провести иньекцию в форум вручную оказались не удачными, форум был наглухо пропачен. Стоило отдать должное Админу Ландоры – заплатку поставил во время.
Идеи с форумом обвалились…
Глава 3. За два дня до скама. Хакаем сервер…
Выпив еще банку пепси и скурив три сигареты Эдуард не сдавался, «нельзя замутить проект и не допустить ошибок» успокаивал он себя…
Быстрыми манипуляциями по клавиатуре, Эдуард вынул IP сервера 178.248.237.31. Далее пробив сервак было ясно, что физически сервер находится в Москве, а адрес является выделенным. Значит – можно попробовать. Скачав последний nmap и просканировав сервер можно было увидеть его конфигурацию, а именно привлек внимания старый Apache под который можно было найти exploit. Зайдя на закрытый Хак форум, Эдуард обратился к своему давнему знакомому т.к. exploit не был в паблике, он был платным – 500$ а вкладывать деньги в то, что уже отняло у тебя денег – не хотелось. Через 3 часа знакомый ответил, сказал, что исходник эксплойта есть и когда он приедет домой - скинет по почте. Т.К, Эдуард прекрасно понимал, что может быть exploit и не подойдет, придется искать дыры дальше.
Глава 4. Ох уж этот XSS…
Просматривая сайт Ландоры, Эдуард увидел пункт «Личные сообщения», понятно, что сайт был самописным и наврятли бы он пропустил обычный html код. Ну вот и специально сформированное сообщение и БАМ. Сайт исполнил JavaScript в форме.
- Удача, перехватив PHP сессию Админа, я смогу изменить куку и залесть в админку сайта.
Далее за 10 минут замутив самописный PHP сниффер с уведомлением на почту, Эдуард разместил вредоносный код на сайте и стал ждать, когда Админ проверит его сообщение.
Спустя несколько часов, админ прочитал сообщения и активный XSS сработал как нужно, на почту моментально пришли куки админа, а почтовая программа запищала Income Email!
Действовать нужно было быстро, доступ в Админку сайта Ландоры по кукам будет работать только пока Админ находится на сайте. Как только он закроет окно браузера, сайт аннулирует сессию и в админку нельзя уже будет зайти.
Эдуард молнией подменил куки в браузере и зашел на сайт Ландоры – и БАМ – неудача. Сайт смотрел не только сессию, но и фильтровал соединения по другим параметрам и зайти было не возможно, однако, у Эдуард остались IP адреса Админа. Быстро настроив nmap Эдуард попытался просканировать комп админа на открытые порты, но нечего кроме 22 порта на котором крутился SSH не удалось найти…
Пока Эдуард писал просьбы на сайте Ландоры в личном кабинете и о том, что он ломает их сайт по тихому Админ стал отвечать, по началу он вывел депозит Эдуарда на Баланс, не взирая на табличку, которая запрещала вывод до 29го.
Более мене Эдуард, оформив заявку на вывод средств, успокоился. Но на всякий случай к кажому сообщению незаметно для админа цеплял код сниффера, чтобы следить с какой периодичностью Админ меняет IP. Ведь если он грамотный, то он сейчас сидит на худой конец через прокси сервер.
Но Админ оказался тупой как пробка, он заходил со своего реального IP. Как только Эдуард написал ему о том, что следит за ним, он установил прокси, но было уже поздно, все логии были у Эдуарда на почте
Sat.May.2013 | 04:07 | 188.143.233.191 | Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.11
PHPSESSID=753a7g945lhd5jus0oqpfvbuh4 (точное время захода 4 мая 17:52 по МСК в течении где то часа был на сайте)
добавлено через 1 минуту
Попался гаденышь!
IP 188.143.233.191
Хост: 188.143.233.191
Город: Saint Petersburg
Страна: Russian Federation
IP диапазон: 188.143.233.0 - 188.143.233.255
inetnum: 188.143.233.0 - 188.143.233.255
netname: IzydorSymanski-net
descr: net for dedicated server client
country: RU
admin-c: IS3803-RIPE
tech-c: IS3803-RIPE
status: ASSIGNED PA
mnt-by: MNT-PIN
source: RIPE # Filtered
person: Izydor Symanski
address: ul. Nowomiejska 51 20-615 Lublin
phone: +722269896
nic-hdl: IS3803-RIPE
mnt-by: MNT-PINSUPPORT
source: RIPE # Filtered
route: 188.143.232.0/23
descr: Route to PIN
origin: as44050
mnt-by: MNT-PIN
source: RIPE # Filtered
Далее Админ поумнел и начал скрывать IP 37.1.192.191, но сниффер установленный Эдуардом все фиксировал, и как только админ заходил на сайт, Эдуард был в курсе…
Далее было много соединений, но самое главное сегодня, с тогоже IP 188.143.233.191
Пока Эдуард выпрашивал Эксплойт у друга хакера, Админ завалил сервак и закрыл сайт, предварительно перевел Эдуарду 567 долларов из его вклада в 2000 баксов…
Последний кошелек, с которого делал вывод Админ Ландоры U1971869.
Если вы хотите поблагодарить Эдуарда за проделанную работу и долгий труд можете ему отправить благодарность на кошелек в LibertyReserve - U0848816
Всем спасибо!
Чуть позже написал в той же ветке.
Доноры необходимы любому хайпу, если основной хайп должен продержаться долго.
Незнаю нечего про Гамму, но могу сказать что проценты которые они начисляют очень высокие, быть постоянно в плюсе, даже у ГУРУ Форекса это не получается.
У меня знакомый в Альпари работает, каждый день смотрит ПАММ счета и т.д и говорит что опытных управляющих трейдеров, который давал бы хотя бы 5% в месяц от депо найти практически невозможно... А те кто может такое делать - уже давно ездит на роскошных тачках и у него в управлении миллионы долларов.
5% в месяц для любого зарубежного инвестора это просто СУПЕРДОХОДНОСТЬ. Это для наших инвесторов, которые через огонь и воду и медные трубы прошли, которые не уверены в надежности, раскидывают свои портфели куда только можно - 5% очень мало для них из за диверсификации и относительно малых капиталов.
10% которые дает Гамма - очень много, тут даже думать не стоит, это хайп и исход у него один - оказаться в Новостях на первом канале как пирамида... Это не вопрос будет/не будет, это вопрос КОГДА...
Я выдал вам реальные IP адрес админа и время соединения. Далее пишите все заяву в одел К, они делают запрос к провайдеру и ловят гада. Это наверное и есть - учесть коллективный интерес?
Кароче, я три дня убил чтобы отловить эту инфу, а вы еще на меня бочку катите, в следующий раз оставлю все у себя и не буду нечего в паблик давать, раз не умеете быть благодарными...