Поиск известных изъянов

Как всегда, особое внимание следует уделять очевидным брешам в системе защиты. Это необходимо в основном потому, что и хакеры обращают на них внимание в первую очередь. Несколько разрушительных изъянов Web существует до сих пор, хотя о них стало широко известно еще несколько лет назад. Отличительной особенностью атак этого типа является то, что многие из них легко обнаружить.

Сценарии автоматизации, применяемые новичками

В данный момент как никогда уместна фраза "Пусть друзья будут рядом, а враги — еще ближе". Используемые в основном начинающими взломщиками, сканирующие сценарии (чаще всего написанные известными хакерами) зачастую могут помочь в обнаружении некоторых известных изъянов. Многие средства поиска таких брешей можно найти на Web-узле компании Technotronic (www.technotronic.com).

Phfscan.c

Изъян PHF (более подробно описанный ниже) был одной из первых применяемых для взлома брешей в сценариях Web-серверов. Этот изъян позволяет взломщику локально запускать любую команду, как если бы он был пользователем Web-сервера. Часто это приводит к тому, что файл паролей /etc/passwd оказывается загруженным на компьютер взломщика. В выявлении такого изъяна как администратору, так и хакеру, может помочь несколько программ и сценариев. Программа pfhscan.c является одной из наиболее популярных. Перед использованием ее нужно откомпилировать (gcc phfscan.c -о phfscan), подготовить список узлов, которые нужно просканировать (для создания такого списка подойдет утилита gping), назвать файл со сгенерированным списком host.phf и поместить его в один каталог с программой. После запуска двоичного файла (phfscan) программа начнет выдавать предупреждения о найденных уязвимых серверах.

cgiscan.c

cgiscan — это удобная небольшая утилита, созданная в 1998 году Бронком Бастером (Bronc Buster). Она предназначена для сканирования узлов и поиска среди них тех, которые подвержены старым изъянам, таким как PHF, count, cgi, test-cgi, PHP, handler, webdist.cgi, nph-test-cgi и многих других. Программа осуществляет поиск уязвимых сценариев в тех каталогах, где они обычно находятся, и пытается ими воспользоваться. Результат работы утилиты выглядит примерно следующим образом.

[root@funbox-b ch!4]# cgiscan www.somedomain.com
New web server hole and info scanner for
elite kode kiddies coded by Bronc
Buster of LcF - :iov 1998 updated Jan 1999
Getting HTTP version
Version:
HTTP/1.1 200 OK
Date: Fri, 16 Jul 1999 05:20:25 GMT
Server: Apache/1.3.6 (UNIX) secured_by_ Raveri/1. 4 . 1
Last-Modified: Thu, 24 Jun 1999 22:25:11 GMT
ETag: "17d007-2a9c-3772bC47"
Accept-Ranges: bytes
Content-Length: 10908
Connection: close
Content-Type: text/html
Searching for phf :.. No:.E'our.rf..
Searching for Count.cgi :..Not Found.
Searching for test-cgi :..Nc:Found..
Searching for php.cgi :..Nov.Found.
Searching for handler :..NotFound..
Searching for webgais :..Not Found..
Searching for websendmail:..Not Found..
Searching for webdist.cgi:..Not Found..
Searching for faxsurvey:..Not Found..
Searching for htmlscript:..Not Found..
Searching for pfdisplay:..Not Found..
Searching for perl.exe:..Not Found..
Searching for wwwboard.pl:. Not Found..
Searching for www-sql:..Not Found..
Searching for service.pwd:..Not Found..
Searching for users.pwd:..Not Found..
Searching for aglimpse:..Not Found..
Searching for man.sh :..Not Found..
Searching for view-source:..Not Found..
Searching for campas :..Not Found..
Searching for nph-test-cgi :..Not Found..
[gH] - aka gLoBaL hElL - are lame kode kiddies