воскресенье, 6 июня 2010 г.

Казахский айтЫшник или немного про безопасность....

Сижу в гугле, никого не трогаю. Задал поисковый запрос "логи cron"
Под четвертым результатом значилось нечто "cron.log  | Записки айтЫшника" вот резалт из гуглокеша
http://webcache.googleusercontent.com/search?q=cache:VL7nlQBJrzwJ:darchken.net.ru/%3Fp%3D198+%D0%BB%D0%BE%D0%B3%D0%B8+cron&cd=4&hl=ru&ct=clnk&gl=ru&client=firefox

Когда я нажал на прямую ссылку http://darchken.net.ru то попал на страничку приглашающую ввести логин пасс. Хм, занятно подумал я. Неужели блог висел на домашней тачке за роутером?)

Пробуем войти.
попытка раз: логин/пасс : admin/-
Мимо.

попытка два: логин/пасс : admin/admin
Бинго!
и точно, а в нутре у нее тп-линковский беспроводной адсл роутер ))
Заметьте, никакого промышленного брутфорса типа hydra))

















Глянул я значится IP:178.88.46.ххх

inetnum: 178.88.32.0 - 178.88.63.255
netname: ALMATYTELECOM
descr: JSC Kazakhtelecom, Almaty Affiliate
country: KZ
admin-c: KN913-RIPE
tech-c: KN913-RIPE
status: ASSIGNED PA
mnt-by: KNIC-MNT
source: RIPE # Filtered

person: Kazakhtelecom NOC
address: Kazakhtelecom Data Network Administration
address: 129 Panfilov st.
address: 050091, Almaty
phone: +7 727 2587999 +7 727 2587999 
mnt-by: KNIC-MNT
nic-hdl: KN913-RIPE
e-mail: noc@online.kz
source: RIPE # Filtered

% Information related to '178.88.0.0/14AS9198'

route: 178.88.0.0/14
descr: Kazakhtelecom Data Network Administration
origin: AS9198
mnt-by: KNIC-MNT
source: RIPE # Filtered

Вот такие суровые в Казахстане айтЫшнеки)))
К чему все это? Да к тому что не надо оставлять на роутерах заводские пароли, и уж тем более Remote Web Management для любых адресов на стандартном 80м порту.

Внимание: Данный материал ничего общего не имеет к реальной жизни, любые совпадения случайны, все имена и фамилии вымышленны.))

2 комментария:

Анонимный комментирует...

Евгений ты просто трухакер)))))


как ты мог подумать что вебморда рутера и сайт могут висеть на одном порту?!

Прихожу домой, сажусь за комп, читаю новое сообщение в аське и ... я был просто в шоке О_О. Думал не ужели ты взломал мой блог. Захожу туды, вроде все нормально. Начинаю судорожно читать твою статью и падаю под стол.

Расклад такой, блог висит на домашнем ПК, домен обновляет через динднс. Видимо када ты зашел рутер ИП обновил, а ДНС обновить домен не успел. Вот ты и попал на чужой рутер. Кст, про себя можешь прочитать здесь http://darchken.net.ru/?p=187

ЗЫ: СЛу а ты просто в разы увеличил посещаемость блога ^_^

ЗЗЫ: Заходи еще, может узнаешь что нового))))

Евгений Медведев комментирует...

Мне абсолютно пофиг где че там висит.
Ежели не твой роутер, рад за тебя)
Целей взлома не было...
Всего лишь демонстрация, что не стоит оставлять дефолтный пароль на роутере)
и уж тем более держать дефолтный ремоут менеджмент наружу для всех адресов.