29.09.2020 был взломан форум и сделан полный дамп, а 17.10.2020, т.е. сегодня был повторно взломан форум HHIDE, но уже нами. Ранее форум был взломан путем залива шелла через плагин. Шелл сохранился в первом дампе, его все могут лицезреть по следующему пути:
/hhide.org/internal_data/addon_batch/13/BS-UnlimitedScroll.zip\\upload\scroll.php
Изучив данный дамп, мной были найдены следующие интересные папки в корне, которые очень сильно меня зацепили:
В папке
antiddos-hhide имеется конфиг, который и раскрыл все установочные данные от CF:
<?php
$config=['whitetime'=>31536000, /*месяц*/ 'bantime'=>604800, /*неделя*/ 'proactivetime'=>3600, /*час*/ 'referertime'=>604800];
$config['limit']=65; // Количество заходов в минуту, после превышения появляется капча. Убедитесь, что нет никаких ajax скриптов, которые обращаются чаще (чат, например).
$config['counter']=['url'=>0, 'user_agent'=>0];
// Если url установить в ноль, то счетчик будет работать для всего сайта и нужно выставить больше значение limit, если user_agent установить в ноль, не будет учитываться браузер для идентификации пользователя (боты теоретически могут выставлять случайный user_agent)
//$config['referer']=[$_SERVER['HTTP_HOST'], 'yandex.ru', 'google.com', 'google.ru'];
$config['referer']=false; // Рефереры для исключения, ддос боты обычно шлют пустые реферы
$config['adminEmail']='[email protected]'; // Емейл для связи с админом сайта (в случае ошибочной блокировки)
$config['search_bots']=['Googlebot'=>'Google', 'yandex.com/bots'=>'Yandex', 'mail.ru'=>'mail.ru']; // 'msn.com','bing.com'
$config['search_hosts']=['Google'=>['.googlebot.com', '.google.com'], 'Yandex'=>['.yandex.com', '.yandex.ru', '.yandex.net'], 'mail.ru'=>['.mail.ru'], 'msn.com'=>['.msn.com'], 'bing.com'=>['.msn.com'] ];
//Cloudflare
$configCF=
[
'email'=>'[email protected]', // email вашего аккаунта в Cloudflare
'key'=>'78ce2b4bd4b195827f5ed8fc322141a7f29d4', // Узнать можно на странице dash.cloudflare.com/profile, Global API Key
'zone'=>'66dd70a64e5c011daccf5697b51d288f', // Zone ID домена в Cloudflare, есть во вкладке Overview
'countries'=>['RU'=>1, 'UA'=>1, 'BY'=>1, 'KZ'=>1, 'LV'=>1], // страны целевого трафика
'limit'=>35 // Лимит для IP, прошедших капчу Cloudflare. При превышении лимита, IP банится полностью
];
$config['admin']['pass']='Ghjuhfvvth12332100000__B'; // Пароль админки
Путем нехитрых манипуляций я вошел в данную панель и увидел, что установочные данные все еще рабочие. Далее начался недолгий полет фантазии, который привел меня к документации API CF:
Изучив документацию, было принято волевое решение сделать редирект на наш форум и устроить рассылку по пользователям форума, т.к. я не поддерживаю слив персональных данных с тематических площадок. BHF, EXPLOIT, LOLZTEAM, DARSELLER, PROMARKET, PROCRD, а что вы расскажете всем о сливе данных?! СБУ привет!
Как выглядела данная панель можно лицезреть на скришоте ниже.
Путем проб о ошибок было накидано немного запросов в REST клиенте Insomnia, любители Postman`а, простите, не было под рукой.
У меня была дилемма: сменить IP в DNS на свой сервер или же создать новое правило в Page Rules. Выбор упал на второй вариант, так как искать такое чуть сложнее.
Пришлось немного повозиться и удалить правила, а потом создать свои. В дальнейшем наш Импотент убрал редиректы, но не сменил ключи и на протяжении всего дня я по наличию свободного времени удалял\редактировал\создавал новые правила. В конце концов он сменил ключи и все могло закончиться на данной ноте, если бы он не стал пытаться нас атаковать, оскорблять, брать на "понт" и так далее. Неадекват одним словом.
Причиной повторного взлома стали следующие сообщения:
Цитаты в виде скриншотов будут ниже.
После подобного заявления мне пришлось провести аудит сервера и никакого постороннего вмешательства мной не было выявлено, администратор HHIDE - пиздабол, который пытается подогреть интерес к своей личности путем дешевого пиара, который никто не оценил.
Как говорится: хозяин-барин, просил - сделал.
Путем цепочки повышений прав в нескольких приложениях был раскрыт пароль root`а сервера и сдамплена база данных. Уязвимость существует до сих пор и любой желающий может её проверить. Точки входа не даю, все ищем самостоятельно и тренируем мозги.
Знаете, я бы не стал сливать новый дамп форума в Интернет, если бы не попытка неуместного пиара с распространением заведомо ложной информации о взломе нашего ресурса и срача в конференции, который скоро перевалит за 500 сообщений пока я это пишу. Но, увы, я сливаю данный дамп и прикрепляю его к данному сообщению вложением, а также дублирую ссылкой на мегу.
Ссылка на дамп:
Никто из твоей команды мне не помогал и прекращай в чате расспрашивать о данном взломе. Я ненавижу людей и не работаю с ними, это сложно для меня; у меня не хватит терпения попросту на это. Ты глупый ребенок, который возомнил себя "хакером", купил сервер, но даже его настроить не в состоянии. Твой максимум - это порнхаб и слив информации с других форумов. Ты обычный инфоцыган, которых в Интернете масса. И больше не стоит атаковать нас, моя топология сети позволяет масштабировать ее почти налету.
Немного ссылок, кому интересна выборка из срача, но неинтересно это все читать. Правда, не стоит читать, одна грязь, которая останется лишь для истории.
https://t.me/chat_dark_time/36426
https://t.me/chat_dark_time/36437
https://t.me/chat_dark_time/36443
https://t.me/chat_dark_time/36974
https://t.me/chat_dark_time/36987
https://t.me/chat_dark_time/36993
https://t.me/chat_dark_time/37062
https://t.me/chat_dark_time/37069
https://t.me/chat_dark_time/37096
https://t.me/chat_dark_time/37136
https://t.me/chat_dark_time/37184
Есть отличная притча, подумай на досуге, а пока, отвали.
Итоги:
- Администратор HHIDE - пиздабол на счет слития нашего форума.
- Была успешна проведена атака на приложение и получены root права.
- Повторно слит HHIDE в знак подтверждения моих всех слов выше.
Если вы распространяете данный дамп - прикрепляйте ссылку на данную тему, чтобы у общества было понимание, что произошло и почему так, а не иначе.
Я активно веду набор в команду форума на следующие вакансии: программист, журналист и реверс-инженер. Если вы обладаете одним из навыков - для вас открыта наша команда.
Спасибо за внимание, ваш AnGel.
