Vφkendov² ·tok na servery spoleΦnosti Mr.Lin(x)

7.8.2000

UrΦit∞ jste zaregistrovali ·sp∞╣n² vφkendov² ·tok na servery reklamnφ sφt∞ spoleΦnosti Mr.Lin(x). D∙sledky tohoto ·toku se bohu╛el nep°φmo dotkly takΘ serveru Wastelands.cz, na kterΘm Mr.Lin(x) zaji╣╗uje rotaci reklamnφch banner∙. Tato nep°φjemnß skuteΦnost neohrozila chod serveru, maximßln∞ n∞kterΘ prohlφ╛eΦe spatn∞ zvlßdli rozlo╛enφ strßnky. Ale to ji╛ p°edbφhßm skuteΦnostem...

Jak to v╣echno bylo?
V sobotu nad rßnem m∞ probudila zprßva na mobilu od spoleΦnosti Mr.Lin(x). Obsah toho malΘho utr╛ku, co mobil zobrazφ, m∞ donutil vstßt a stßhnout po╣tu. Odesφlatel zprßvy byl automatick² sktipt, kter² v systΘmu kontroluje velikost pou╛it²ch banner∙. Upozor≥oval m∞ na to, ╛e banner serveru Wastelands.cz mß nesprßvnou velikost, a ╛e je jeho zobrazovßnφ a╛ do opravy pozastaveno. To m∞ celkem na╣tvalo, proto╛e jsem si byl jist², ╛e banner je v po°ßdku. Po p°ihlß╣enφ do ΦlenskΘ sekce se zobrazilo nastavenφ serveru, o kterΘm jsem v ╛ivot∞ nesly╣el a banner, kter² jsem nikdy nevid∞l. To m∞ celkem na╣tvalo a okam╛it∞ jsem na adresu administrßtora Mr.Lin(x)e odeslal ne moc rozho°Φen² dopis, jeho╛ obsahem byl popis nastalΘ situace, m∙j postoj a ╛ßdost o odstran∞nφ problΘmu, kter² byl dle mΘho nßzoru na stran∞ reklamnφho systΘmu. To jsem je╣t∞ nev∞d∞l co stalo. Navφc jsem nem∞l moc Φasu na to, abych jej trßvil na Internetu a n∞kde narazil na prvnφ informace. Proto jsem se odpojil a Φekal na odpov∞∩. Ta p°i╣la n∞kdy odpoledne a obsah E-mailu vysv∞tloval nastalou situaci. Zprßva tedy obsahovala popis stavu - co se stalo a jak se to stalo. Dßle novΘ p°φstupovΘ k≤dy pro jednotlivΘ u╛ivatele a odkazy na podrobnΘ informace.

Co se tedy stalo???
P°esnΘ zn∞nφ zprßvy , kterou uve°ejnil MR.Lin(x):



Malß rekapitulace o hackerovi Coronerovi a dal╣φm pozadφ....
Hacker, kter² si dal jmΘno Coroner, se dostal do systΘmu na zßklad∞ zve°ejn∞nΘ chyby spoleΦnosti Microsoft, kterß je blφ╛e popsßna (a mo╛no otestovat server) nap°φklad na strßnkßch Sv∞ta Namodro, na╣im p°ednφm a urputn²m bezpeΦnostφm informßtorem Danielem DoΦekalem. Co╛ podle tohoto nßvodu svede bohu╛el ka╛d² tro╣ku zku╣en∞j╣φ admin.

Hacker Coroner tedy vyu╛il tΘto bezpeΦnostnφ dφry na na╣ich serverech a p°eΦetl si p°φstupovß prßva k SQL serveru. Zφskal heslo k ·Φtu www_host, kterΘ mß oprßvn∞nφ updatovat n∞kterΘ zßznamy a Φφst je. Proto vyu╛il tΘto mo╛nosti a pozm∞nil v╣echny zßznamy o jmΘn∞ serveru na OwneD By CORONER a zam∞nil bannery Φlen∙ na jeden jedin², kter² se v systΘmu zobrazoval. Navφc pozm∞nil je╣t∞ n∞kterß data, kterß v╣ak s b∞hem systΘmu nem∞ly nic spoleΦnΘho.

Nevφm jestli tu╣il Coroner, ╛e mßme v╣e peΦliv∞ zazßlohovßno nebo ne. Ale v ka╛dΘm p°φpad∞ jeho zßsah nebyl v datech destruktivnφ (to by se pak systΘm asi zcela zastavil a nebyl by to ten sprßvn² efekt a sprßvnß reklama).

DoporuΦujeme v╣em sprßvc∙m server∙, kte°φ pou╛φvajφ Microsoft IIS server 5 se podφvat na linky, kterΘ o tΘto tΘmatice jsou uvedeny v²╣e a nainstalovali posledni Service Pack, aby dal╣φ Corone°i Vßm to nemuseli ukßzat.

Jenom pod Φarou, asi si kladete otßzku, proΦ my jsme tento SP neaplikovali ji╛ dßvno a nep°ede╣li tak tΘto nemilΘ udßlosti. Bohu╛el informace o prvnφ zßplat∞, kterß tuto dφru °e╣φ a vy╣la ji╛ asi p°ed 2ma m∞sici nßm unikla a chystali jsme se zabezpeΦit servery a╛ Service Packem 1, kter² vy╣el minul² t²den. Cel² minul² t²den jsme jeho chovßnφ testovali na internφch serverech ne╛ jej spustφme na ostr²ch serverech. Bohu╛el prßv∞ p°es tento vφkend jsme m∞li naplßnovßno jej nainstalovat i na v╣echny ostrΘ servery....

Jak z uvedenΘho textu vypl²vß, ·toΦnφk vyu╛il chyby v WWW serveru IIS, kterou Microsoft oficißln∞ zve°ejnil. Administrßto°i ji vΦas neopravili, ·toΦnφk toho vyu╛il a napadl systΘm. K proniknutφ do systΘmu vyu╛il uvedenΘ chyby a tφm zφskal p°φstupovß prßva k SQL serveru. To mu umo╛nilo modifikovat data t²kajφcφ se jmen registrovan²ch server∙ a p°φslu╣n²ch banner∙ na jmΘno "Owned by Coroner", zam∞nil v╣echny bannery na vlastnφ, kter² navφc m∞l nesprßvnou velikost. To vyvolalo zaslßnφ varovnΘ zprßvy, o kterΘ jsem se zmφnil v ·vodu Φlßnku.

SpoleΦnost Mr.Lin(x) slφbila, ╛e od pond∞lka zaΦne s nahrazovßnφm "╣kod" vznikl²ch d∙sledkem ·toku. Jednß se p°evß╛n∞ o nßhradu ztracen²ch kredit∙. Jinak se ·dajn∞ "zase tak moc nestalo" :-)).

Co dodat ...
Jistou dßvku zodpov∞dnosti na tom nesou oba z·Φastn∞nφ - Microsoft jako autor software i sprßvci systΘmu, kte°φ chybu vΦas neopravili. Poslednφ dobou pokud zaslechnu n∞jakou zprßvu, ╛e n∞kde v systΘmu Windows je chyba, vzpomenu si na n∞kolik Φlßnk∙, kterΘ se v jistΘ objevily na Internetu a byly v∞novßny problematice znßm²ch chyb v systΘmu Windows 2000, kter²ch tehdy bylo ·dajn∞ 64 000. Tak╛e m∞ v²skyt chyby, kterΘ bohu╛el vyu╛il ·toΦnφk tento vφkend, nijak nep°ekvapuje. Jsem rßd, ╛e administrßto°i napadenΘho systΘmu byli schopni obnovit po╣kozen² systΘm ze zßlohy a tφm minimalizovat ╣kody, kterΘ mohl mφt tento ·tok na sv∞domφ. P°esto╛e nikdo nenφ v absolutnφm bezpeΦφ, a╗ pou╛φvß jak²koliv systΘm, u╛ivatelΘ Linuxu se nad tφmto ·tokem z°ejm∞ pousm∞jφ a maximßln∞ doporuΦφ pou╛φvat Linux a dal╣φ Open source software a ne programy, do kter²ch nevidφ a jsou nuceni jim v∞°it. Na zßv∞r zb²vß pouze dodat, ╛e napadenφ server∙ spoleΦnosti Mr.Lin(x) je dal╣φm d∙kazem v²hod Open Source software a platfomy Linux...