Największy hosting w sieci Tor zhakowany, wszystkie bazy udostępnione

dodał 4 lutego 2017 o 17:38 w kategorii Top  z tagami:
Największy hosting w sieci Tor zhakowany, wszystkie bazy udostępnione

Freedom Hosting 2, największy hosting w sieci Tor utrzymujący ok. 20% wszystkich ukrytych stron, został wczoraj zhakowany a bazy danych jego serwisów udostępnione w sieci. Wśród nich można znaleźć także bazy kilku polskich serwisów.

Kilka lat temu akcja organów ścigania pozwoliła na zamknięcie największego ówczesnego hostingu w sieci Tor pod nazwą Freedom Hosting. Jego założyciel został zatrzymany, a osoby próbujące odwiedzić hostowane przez niego strony dla pedofili były atakowane sprytnym eksploitem ujawniającym ich adresy IP. Nieco ponad rok temu powstał inny hosting, który nazwą nawiązywał do tradycji słynnego poprzednika. Freedom Hosting 2 został jednak zhakowany przez anonimowych sprawców, którzy wyłączyli wszystkie przechowywane na nim strony a ich bazy danych udostępnili w sieci. W bazie znaleźliśmy kilka polskich serwisów. O incydencie można było najpierw przeczytać na Reddicie, a porządną analizę incydentu przeprowadził Chris Monteiro.

Jak zhakować „profesjonalny” hosting

Włamywacze na podmienionej stronie hostingu zostawili dokładny opis tego, w jaki sposób uzyskali dostęp do bazy serwisu. Metoda jest dość prosta, ale nadal całkiem ciekawa. Kolejne kroki wyglądają następująco:

  1. Stwórz konto w serwisie
  2. Zaloguj się i ustaw konto FTP (sftp)
  3. Zaloguj się po sftp i utwórz symlink do głównego katalogu /
  4. W pliku .htaccess wyłącz DirectoryIndex, włącz mod_autoindex, wyłącz PHP, włącz wyświetlanie plików PHP jako tekstowych (powoduje, ze wszystkie pliki serwera można przeglądać przez WWW)
  5. Znajdź folder /home/fhosting, w nim subfolder /www, w nim plik index.php
  6. W pliku znajdź link do /home/fhosting/www/_lbs/config.php
  7. W pliku config.php znajdź dane do logowania do bazy danych
  8. Znajdź listę użytkowników z dostępem do shella w /etc/passwd
  9. Przeczytaj jak działa proces resetu hasła i zresetuj hasło jednego z użytkowników
  10. Połącz się po ssh na konto „user” i zrób „sudo -i”
  11. Włącz zdalne logowanie roota, zmień hasło roota, zaloguj się na jego konto i korzystaj.

Baza danych i polskie ślady

Baza danych całego serwisu ma ponad 2 GB. Znaleźliśmy co najmniej 800 różnych serwisów posiadających bazy danych a według autorów włamania serwisów było ponad 10 tysięcy. Wśród nich spotkać można sporo serwisów dla pedofili – mamy nadzieję, że zrzut bazy pomoże organom ścigania znaleźć ich użytkowników, w tym także Polaków.

W bazie znaleźliśmy ślady siedmiu różnych polskojęzycznych serwisów. Część z nich nie działała już od pewnego czasu, a reszta padła w momencie włamania. Dostępne są bazy serwisów takich jak ChrzanCzan, Morderpol, Polish Pedo Chat, DarkMachine, Polskie forum Deep Web, Torepublic 3 oraz RS Torum. Bardziej szczegółowa analiza danych na pewno zajmie trochę czasu.