Autor: Emkei | 17.5.2010 |
Pokud hledáte informace o společnosti banan.cz, respektive přidruženém serveru owebu.cz, snadno můžete narazit na zajímavá data, viz přiložené screenshoty. Asi nejzajímavější informací je fakt, že na subdoméně sec.owebu.cz se ještě donedávna nacházel veřejně přístupný PHP Shell, konkrétně c99shell, a to nahraný nikým jiným než uživatelem root! Těžko říci, zda jej tam umístil útočník nebo někdo z adminů (druhé variantě nasvědčuje samotná subdoména i vlastník souboru), každopádně tak učinil již 15. června 2009. Bezmála rok tak mohl po serveru chodit kdokoli, kdo zadal do googlu jednoduchý dotaz podobný následujícímu:
což prakticky udělá každý útočník nebo pentester hned jako jeden z prvních testů webové aplikace. Google toho ovšem zaindexoval mnohem více, včetně hesla do databáze serveru owebu.cz (opět viz přiložené screenshoty). Kdokoli tak mohl bez vkročení na server společnosti banan s.r.o. vědět, že minimálně pro databázi owebu_cz je použito heslo " ahojkamo". S bezpečností si tedy očividně hlavu nelámali, jak ostatně dokázaly hacky v posledních měsících (za kterými jsem mimochodem nestál). Ze svých vlastních zkušeností mohu ale říci, že získat na webhostingovém serveru root heslo pro připojení k databázi a kompromitovat tak seznam všech uživatelů, není nic obtížného, natož pokud někdo ignoruje bezpečnost do takové míry, jako předvedla společnost banan.cz.
Jak dokazují screenshoty, veškeré soubory vlastní uživatel root a některé jsou i čerstvého data, server tudíž byl (je?) stále využíván jako datové úložiště, přestože původní verze portálu owebu.cz již zanikla. Málokoho by asi nezajímal obsah subdomény radovan/, i ten vám google nabízí k nahlédnutí (soubory jako dluznici, kontakty, mzdy atp. musely útočníkům udělat doslova radost). Z bezpečnostního hlediska je ovšem mnohem zajímavější subdoména www/, kde se mj. nachází i soubor hack.txt ze stejného data, jako samotný shell.
Pohrát si na googlu s dotazem
dokáže kdokoli a nezřídka tak lze získat nejen zajímavé, ale i citlivé informace o společnosti banan s.r.o., a to zcela legální cestou.