Как был взломан antichat.ru

В этом посте кратко отпишу о том, как в июне 2010 был взломан крупнейший околохакерский форум в рунете – Античат.
Выкладываю эксклюзивные скрины, не опубликованные ранее;)
Итак, схема:

Первый объект – почтовый сервер mail.antichat.ru, на нём были различные старые (и не только) сайты администратора Античата, например, xex.ru, julijana.ru, antiddos.ru, g6.ru…
На xex.ru одним из участников взлома была обнаружена форма заливки фотографий, которая не ругалась на «фотографии» с расширением php. Путём сканирования директорий была найдена директория, куда они сохраняются.
Итак, поимелся шелл на этом сервере.

Команда uname -a выдавала что-то вроде:

FreeBSD mail.g6.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri May 1 08:49:13 UTC 2009 root@walker.cse.buffalo.edu:/usr/obj/usr/src/sys/HNIC i386

Ядро старое, далее рут:

рут на почтовом серве ачата

Покопавшись на серваке, мы нашли груду различных бекапов сайтов мемберов ачата, которые там когда-то хостились, а также бекапы почты @antichat.ru. Они нам, в частности, помогли взломать несколько (приват-)проектов этих самых мемберов.
А также, был получен доступ к официальной почте античата – info@antichat.ru. Она являлась примаком к icq 109992 администратора (также официальный номер ачата).

Объект номер два: Далее было замечено, что antichat.ru хостится рядом с блогом администратора egorich.ru. Оказалось, что он тоже привязан к почте info@antichat.ru, к тому же, он давно не обновляется. Так что пароль на блог был спешно ретривнут на e-mail.
Вот, кстати, неопубликованный ранее скриншот:

доступ к блогу егорыча

Мы уже чувствовали вкус быстрой победы, как настало разочарование – на директорию /wp-admin блога стояло какое-то ограничение (ошибка 403), по всей видимости, по ip-адресу. Мы уже отчаялись идти этим путём, но я всё же навёл справки по ip-адресам Егорыча+++ и начал сканирование диапазонов на наличие прокси-серверов. Примерно так: (на месте host писался диапазон)

sudo nmap -n -oG - -p8080,3128,1080,3389,5509 -P0 -sS host | grep open

Далее пролетели две недели детального слежения за сервером, взлома околоачатовских проектов и сканирования диапазонов. Был даже взломан сайт в одном из dsl-диапазонов, в котором появлялся Егорыч, поднят прокси, но напрасно.

Но старания в конце концов всё же обернулись успехом. Мы всё время читали логи почтового сервера и в итоге отловили свежий ip-адрес Егорыча, в диапазоне которого нашёл работающий прокси-сервер.
С этим прокси-сервером мы зашли в админку блога и залили шелл.

Ещё один участник взлома порутал сервер (который опять оказался необновлённым) и залил шелл на сам античат. Была слита полностью БД и все скрипты сайта.
Мы не стали закрепляться на сервере, ставить руткит и бэкдорить скрипты. Важен был лишь сам факт слития привата, ранее недосягаемого. Через несколько дней, когда мы спалились, мы отпостили на форуме от имени администратора ettee тему со следующим скриншотом:

рут на античате

А вот ещё нигде не выложенный скрин шелла на античате:

шелл на ачате

Мораль сей басни такова: не зазнавайтесь никогда! ;)