هک سخت افزاری: کابوس جدید

بعد از هک شدن سرور چه کار می کنید؟ می گردید و فایل های آلوده رو پیدا می کنید؟ تاریخچه تغییرات فایل ها رو چک می کنید و فایل هایی که پس از هک تغییر کردند رو با نسخه مطمئن جایگزین می کنید؟ بک آپ آخرین تاریخ مطمئن رو برمی گردونید؟ یا اصلا بی خیال سیستم عامل می شید و از اول نصبش می کنید و سرور رو دوباره کانفیگ می کنید؟

باید بگم که همه کارهای ممکن رو انجام دادید ولی خیالتون راحت نباشه. یک هکر (SpritesMods) که متخصص هک سخت افزاریه نشون داده که حتی با تغییر سیستم عامل هم می تونه سرور رو دوباره هک کنه.

احتمالا تا الان فکر می کردید (مثل من) که هارد درایو یه محل ذخیره سازی دیتاست که سیستم عامل کنترلش می کنه و یه کابل داره و یه سری بلاک روش وجود داره که دیتا روی اونها ذخیره و بعد خونده می شه. ولی همه هارد درایو این نیست. اگه یه هارد رو باز کنید یه کنترل کننده موتور می بیند، یه رم و یه تراشه. این تراشه نکته اصلیه که شامل یک پردازنده است و پردازنده هم یعنی امکان هک. هارد دیسک ها Firmware دارند. یک هکر پس از نفوذ به سرور و گرفتن دسترسی روت (بالاترین دسترسی. ویندوزی ها بهش ادمین می گن) می تونه این firmware رو بخونه، تغییر بده و بازنویسی کنه.

از این به بعد حتی اگر سیستم عامل هم تغییر کنه و همه ضعف های امنیتی برطرف بشه، باز هم هکر می تونه کنترل اون سرور رو به دست بگیره. فرض کنید هکر Firmware رو جوری تغییر داده که در صورت قرار گرفتن یک رشته حروف خاص روی هارد، یک کد خاص اجرا بشه.

فرض کنیم یک وب سرور لینوکسی داریم. هکر یک url خاص که شامل اون رشته باشه رو به سرور درخواست می ده. اون url صفحه خاصی رو باز نمی کنه و در error log سرور هم اون url ثبت می شه. کافیه که هکر پیش از این و در تغییرات firmware مشخص کرده باشه که با ذخیره شدن این رشته بر روی هارد، فایل etc/shadow به مقادیر مشخص شده از طرف هکر بازنویسی بشه. این یعنی تغییر پسورد روت و دسترسی مجدد هکر.

از اینجا به بعد دیگه برمی گرده به توانایی های هکر. ما هم می تونیم مثل هکر ها فکر کنیم و ببینیم با این توانایی چه کارهای دیگه ای می تونیم انجام بدیم.

منبع

امنیت

میزبان خود را چک کنید – ضعف امنیتی WHMCS

کمتر از ۲۰ روز پیش در این پست در مورد ضعف امنیتی WHMCS نوشتم. این نرم افزار که به عنوان سیستم پشتیبانی و مدیریت کلاینت ها در بسیاری از سرویس دهنده های میزبانی سایت استفاده می شه در نسخه جدید خود همچنان دارای نواقصی است.

PHP از نسخه ۵.۴.۰ استفاده از register_globals رو حذف کرد به این دلیل که تعریف متغیرها در سطح گلوبال باعث می شد متغیرها به وسیله کاربر تغییر کنند و این مورد ضمن اینکه یک سری کاربردهایی می تونست داشته باشه، به شدت می تونست خطرناک هم باشه.

خب حالا بیایم یه نگاهی به فایل dbfunctions.php این نرم افزار بندازیم، جایی که دستورهای ارسالی به دیتابیس رو هندل می کنه:

<?php
function select_query($table, $fields, $where, $orderby = '', $orderbyorder = '', $limit = '', $innerjoin = '') {
    global $CONFIG;
    global $query_count;
    global $mysql_errors;
    global $whmcsmysql;
    if (!$fields) {
    $fields = '*';
    }
    $query = 'SELECT ' . $fields . ' FROM ' . db_make_safe_field($table);
    if ($innerjoin) {
    $query .= ' INNER JOIN ' . db_escape_string($innerjoin);
    }
    if ($where) {
    if (is_array($where)) {
        $criteria = array();
        foreach ($where as $origkey => $value) {
        $key = db_make_safe_field($origkey);
        if (is_array($value)) {
            if ($key == 'default') {
            $key = '`default`';
            }
            if ($value['sqltype'] == 'LIKE') {
            $criteria[] = $key . ' LIKE \'%' . db_escape_string($value['value']) . '%\'';
            continue;
            }
            if ($value['sqltype'] == 'NEQ') {
            $criteria[] = $key . '!=\'' . db_escape_string($value['value']) . '\'';
            continue;
            }
            if ($value['sqltype'] == '>') {
            $criteria[] = $key . '>' . db_escape_string($value['value']);
            continue;
            }
            if ($value['sqltype'] == '<') {
            $criteria[] = $key . '<' . db_escape_string($value['value']);
            continue;
            }
            if ($value['sqltype'] == '<=') {
            $criteria[] = $origkey . '<=' . db_escape_string($value['value']);
            continue;
            }
            if ($value['sqltype'] == '>=') {
            $criteria[] = $origkey . '>=' . db_escape_string($value['value']);
            continue;
            }
            if ($value['sqltype'] == 'TABLEJOIN') {
            $criteria[] = $key . '=' . db_escape_string($value['value']);
            continue;
            }
            if ($value['sqltype'] == 'IN') {
            $criteria[] = $key . ' IN (\'' . implode('\',\'', db_escape_array($value['values'])) . '\')';
            continue;
            }
            continue;
        }
[...]
?>

<?php

function select_query($table, $fields, $where, $orderby = '', $orderbyorder = '', $limit = '', $innerjoin = '') {

global $CONFIG;

global $query_count;

global $mysql_errors;

global $whmcsmysql;

if (!$fields) {

$fields = '*';

}

$query = 'SELECT ' . $fields . ' FROM ' . db_make_safe_field($table);

if ($innerjoin) {

$query .= ' INNER JOIN ' . db_escape_string($innerjoin);

}

if ($where) {

if (is_array($where)) {

$criteria = array();

foreach ($where as $origkey => $value) {

$key = db_make_safe_field($origkey);

if (is_array($value)) {

if ($key == 'default') {

$key = '`default`';

}

if ($value['sqltype'] == 'LIKE') {

$criteria[] = $key . ' LIKE \'%' . db_escape_string($value['value']) . '%\'';

continue;

}

if ($value['sqltype'] == 'NEQ') {

$criteria[] = $key . '!=\'' . db_escape_string($value['value']) . '\'';

continue;

}

if ($value['sqltype'] == '>') {

$criteria[] = $key . '>' . db_escape_string($value['value']);

continue;

}

if ($value['sqltype'] == '<') {

$criteria[] = $key . '<' . db_escape_string($value['value']);

continue;

}

if ($value['sqltype'] == '<=') {

$criteria[] = $origkey . '<=' . db_escape_string($value['value']);

continue;

}

if ($value['sqltype'] == '>=') {

$criteria[] = $origkey . '>=' . db_escape_string($value['value']);

continue;

}

if ($value['sqltype'] == 'TABLEJOIN') {

$criteria[] = $key . '=' . db_escape_string($value['value']);

continue;

}

if ($value['sqltype'] == 'IN') {

$criteria[] = $key . ' IN (\'' . implode('\',\'', db_escape_array($value['values'])) . '\')';

continue;

}

continue;

}

[...]

می بینید که نویسندگان برنامه از متغیرهای گلوبال استفاده کردند. حالا این کجا می تونه آسیب بزنه؟ برای مثال زمانی که کاربرها می خوان ticket ها رو ببینند. اونجا می شه با تذریق کدهای SQL در قالب یک متغیر GET و یا POST اطلاعات دیتابیس رو به دست آورد.

من هم اون مشکل قبلی رو در برخی هاستینگ های ایرانی چک کردم و هم این مشکل رو که متاسفانه نتایج اصلا خوب نبود. از ۱۰ تا هاستینگی که چک کردم ۸ تاشون تا ۲ روز پیش مشکل داشتند و ۲ تاشون رو هم تونستم با نام کاربری و پسورد ادمین به پنل مدیریت وارد بشم.

متاسفانه برخی سرویس دهنده ایرانی کوچکترین توجهی به مسایل امنیتی نکرده و حتی ساده ترین کار که نصب به موقع بسته های به روز رسانی است رو هم انجام نمی دن.

برای اینکه کاربرها بتونن وضعیت میزبانشون رو بررسی کنند و بتونند از میزبان بخوان که کارهای لازم رو انجام بده یک اسکریپت رو آماده کردم که به صورت اتوماتیک این ضعف رو چک می کنه و در صورت نفوذ، نام کاربری ادمین و ایمیلش رو بهتون می ده. البته نسخه اصلی این اسکریپت برای چک کردن گوگل و نفوذ به وصورت رندوم به هاستینگ ها بود و پسوردها رو هم به صورت هش شده در اختیار میذاشت ولی من برای جلوگیری از سو استفاده های احتمالی تغییراتی دادم توش. یکیش اینکه یک آدرس می گیره و بر اساس جستجوی گوگل نیست. دوم اینکه در خروجی، پسوردهای هش شده رو نشون نمی ده.

با استفاده از نتیجه ای که به شما نشون داده خواهد شد می تونید به صورت مستند از هاستینگتون بخواید که به روزرسانی رو انجام بده.

تاکید مجدد: لطفا از این ابزار برای آسیب رسوندن به دیگران استفاده نکنید.

لینک دسترسی به اسکریپت:

http://pentest.ugig.ir/WHMCS/scanner.php

1	http://pentest.ugig.ir/WHMCS/scanner.php

منبع و منبع

امنیت

پرچم فلسطین بالاست

در این یه هفته تا ۱۰ روز گذشته موجی از هک سایت های معتبر رو داشتیم.

گروه Kdms مسئول هک شدن این سایت ها بود. سایت های Alexa، Avira، AVG و Red Tube در مرحله اول و سپس Metasploit و Rapid7 و بعد هم Eset و Bitdefender.

نکته مشترک سایت های گفته شده، سرویس دهنده های دامنه هاشونه. مثلا اون ۴ سایت اول همگی وسیله Network Solutions ثبت شدند. شرایط هک، انگشت اتهام رو به سوی ثبت کننده های دامنه نشونه گرفته و خب درست هم است. مشخص شد که Network Solutions به خاطر فریب خوردن یکی از کارمندهاش در یک حمله فیشینگ، بهش نفوذ شده. هکرها پس از نفوذ به این سرویس دهنده تونستند که DNS دامنه ها رو تغییر بدن به سرورهای خودشون که شامل پیام زیر بود:

بگذریم از حواشی و پیامشون و اینکه در ابتدا کارشناس ها چی فکر می کردن و بعدش به چه نتیجه ای رسیدن. اونها به جای خودش مهمه ولی از دید من نکته مهم تری وجود داره: نقطه شروع هک.

در سری بعدی سایت ها که متا اسپلویت و رپید۷ بود، شیوه تغییر DNS از فیشینگ هم ساده تر بود و یه جورایی شرم آور برای سرویس دهنده. هکرها با ارسال یه فکس تقلبی به register.com اونها رو فریب دادن تا DNS رو تغییر بدن. به قول HD Moore مدیر تحقیقات شرکت امنیتی rapid7 این هک شبیه اتفاق های سال ۱۹۶۴ بوده.

سرویس دهنده هایی در این سطح که کلاینت هایی در سطح جهانی دارند باید دقت بیشتری در سیستم های امنیتی داشته باشند. اول اینکه باید مروری بر دانش کارمندهاشون بکنند. در این شرایط معمولا کارشناس های امنیتی پیشنهاد برگذاری مانورهای امنیتی مثل حملات شبیه سازی شده فیشینگ رو می دن. دوم اینکه الگوریتم ثبت و تغییر اطلاعات کاربریشون رو به روز کنند و مطابق پیشرفت هکرها، خودشون رو ارتقا بدن.

من بارها و بارها در همین وبلاگ در مورد فیشینگ و حدودش گفتم و اینکه یک حمله موفق فیشینگ می تونه چه تبعاتی رو در پی داشته باشه. مهمترین نکته در فیشینگ اینه که کم دانش ترین کارمند شما می تونه کل سیستم رو زمین بزنه.

سایت IBTimes UK تونسته از طریق اکانت توییتر گروه KDMS و سپس از طریق ایمیلشون باهاشون یه مصاحبه رو ترتیب بده. جالبه بدونید که تا قبلا از هفته پیش کسی اسمی از این گروه نشنیده بود.

این گروه که از ۴ فلسطینی تشکیل شده و گویا نگارش انگلیسی خوبی هم نداشتن، گفته اند که ۳ هدف دارن:
آشنا کردن دنیا با فلسطین (از صطلاح قانونی Unlawfully murdered برای فلسطین استفاده کردند)
نشون بدن که امنیت کامل وجود نداره
سایت های معتبر و شناخته شده رو هک کنند تا پیامشون در تمام دنیا شنیده بشه

وقتی ازشون پرسیدن که بخشی از گروه انانیموس اند یا خیر، پاسخ همیشگی گروه های دیگه رو دادند: “ناراحت می شیم وقتی مردم فکر می کنند انانیموس یه گروهه، اون یه ایده است و هر کسی می تونه انانیموس باشه.”

منبع و منبع و منبع

Scriptics

Tag Archives: هک

هک سخت افزاری: کابوس جدید

میزبان خود را چک کنید – ضعف امنیتی WHMCS

پرچم فلسطین بالاست