Tulpe.latnet.lv ievainojamība

K|NG iesūtīja visai interesantu Latnet servera analīzi.

K|NG raksta:
Pēdējā laikā šis te serveris (rausis.latnet.lv), uz kura laipni tiek hostēta mana mājaslapa nedaudz sabremzēja, un tālāk pieminētais nelāgais skripts arī darbojas, tikai ne tik vienkāršā veidā un ne tik bīstami, kā tas vēlāk atklājās uz biznesa klases servera tulpe.latnet.lv, tādēļ apsvēru domu, vai nebūtu laiks mēģināt pārvākties uz tulpe.latnet.lv (tuvāk biznesa klientiem;)), jo tomēr tas serveris izskatījās stabilāks un drošāks. Bet nu izdarīju pāris testus uz tulpe.latnet.lv servera un man mati, tā teikt, ieņēma vertikālo stāvokli.

Izrādījās, ka jebkuršs lietotājs, kuram uz tulpe.latnet.lv servera ir kāda mājaslapa, portāls, vortāls, vai kāds cits web veidojums, ar trīs rindiņu garu php skriptu var nolasīt jebkura cita lietotāja jebkuru failu un jebkura faila sourci. Zinot, ka visi lietotāji atrodas direktorijā /home/lietotajs/public_html/ (Tur ir +- 146 lietotāji).
atkāpe: “Kā tas varētu notikt? Nu, piemēram, kāds lietotājs|programmētājs nejauši pārrakstās inklūdojot|nolasot failu no savas direktorijas /home/lietotajs/public_html/ kļūdoties lietotāja vārdā 😉 Rezultātā tiek nolasīts cita lietotāja fails ;)”

Ejam tālāk? Un Tas vēl būtu mazākais, bet nolasot lietotāja direktorijā index.php|phtml|html|htm uc. failus un nokļūstot līdz Mysql datubāzes konfigurācijas failiem, kuros savukārt datubāžu konekcijas dati atrodas
nešifrētā veidā, izrādījās, ka +- 90 % klientu Mysql datubāžu paroles atbilda, bija vienlīdzīgas (==) FTP parolēm. hmz… No tā izriet, ka “nejaušs” garāmgājējs šādā veidā caur FTP var izdzēst lielāko daļu uz tulpe.latnet.lv hostētos projektus vai vēl sazinko sadarīt.

Diemžēl tā ir attieksme. Kad es gāju Tur lūgt papildus manai mājaslapai nieka 10MB tad viss notika tik oficiāli, bet te… 🙁 Tā ka pagaidām palieku uz “e-pasta” servera 😉
Un tā jautrībai tas briesmīgais skripts:
<form method="post" action="post.php">
<input name="url" type="text" size="100"> šeit tiek ierakstīts piemēram /home/lietotajs/public_html/index.php
<input type="submit" name="Submit" value="Submit">
</form>
<?php
$dati=@file("$url");
while(list($line_num,$line)=each($dati)){
echo $line;}
?>

53 thoughts on “Tulpe.latnet.lv ievainojamība

  1. Priede

    tā vien liekas ka LATNET palūgs palīdzību TVNET un pastāv iespēja ka KING’am pataisīs sūdus. Piemēram liegs iespēju skatīties Talantu Fabriku 🙂

    Atbildēt
  2. Lynx

    Fsck u. Mees sho hidden “servisu” lietojam no 1999. Un tagad tu gribi sev “aatrako” serveri un visiem kartejo fuckup? Man bija 4gb faili uz ex sisenis…

    Atbildēt
  3. K|NG

    Priede, nē nu kaut kā ari apnik tie sysadminu standarta adbildes meili 😉 Ir arī zinoši tur cilvēki, aber šitas nu pa traku vai zin! . ē … Par to TVNEt 🙂 Tadu iespēju jau esmu paredzējis 😉 kā ir uz boota pa gabaliem sedēt? 159.148.95.32:3306

    Atbildēt
  4. ui

    offtopix: redz ko I.Gudele shodien teica par Informacijas Sabiedribu Latvijaa. vinjas praat, situacija ar interneta pieejamibu LV nav slikta, raditaji esot samera augsti…

    Atbildēt
  5. Lupus

    Imho coolynxs dikti nesmuki esi izdarījies – vismaz pieklājības pēc tev vajadzēja sakontaktēt pašu latnet un dot viņiem laiku pierediģēt kļūdas. Viņi jau nav vainīgi ka permīcijas pašu liktās sūkā… Kādreiz arī man bij tas prieks mierīgi caur ftp ievilkt nāsīs /etc/passwd ar visiem paroļiem, pie noziņošamas steidzīgi uzradās /etc/shadow. Tiesa – tas bij vēl kaut kādā 97/98 gadā (un laikam takš ar uz rausis ;D)

    Atbildēt
  6. Pow

    man palasot eseju radaas cits jautaajums. kaadas ir pieejas tiesiibas useru direktorijaam un ar kaadaam tiesiibaam griezjas php? vai tad bez php nevar accesot taas diras?

    Atbildēt
  7. KRISHA

    Ohohoooooo 🙂
    no docroot no fopen limits, no sfaemode 😀
    Mammma… labi ka es neko par to nezinu.. un otra lieta ar tvnet tam nav enkada sakara pilniigi, ja nu kaads kautko jauc 😉

    Atbildēt
  8. K|NG

    Benvenuto, nestāstu!
    Un ja kāds man teiks: nozāģēji zaru uz kura pac sēdi!
    Tad es teikšu: dumš!
    Tai vietā lai salabotu to serveri, man tagad ir uzlikts kautkāds bērnudārza bans 🙂 līdzīgi kā dc++ 🙂
    Latnet = m/
    (pisec podkralsa ņezametna)

    Atbildēt
  9. ManInBlack

    Un tad uz skatuves paradijaas Ivarix ar savu hostinga piedavajumu… Vel tiigereens ari varetu piekaapt un noblaties skali, ka sux.lv veljoprojam existee… ;)))

    Atbildēt
  10. KRISHA

    Ahaaaaaa, aizgaaja reklaamas, spams? Es nekad taa nedaru, bet ja jau visi lec pa logu araa, ko tad es nelekshu! http://hosting.grafton.lv

    Atbildēt
  11. MZM

    Juus te neko nesaprotiet – tas ir “biznesa klases internets”! Iespeejams viens no labaakajiem Latvijaa, savaa zinjaa vislabaakais. Cik patiesi vaardi. Shaadaa zinjaa tik ļabu”neesu veel redzeejis… LOL

    Atbildēt
  12. Kheps

    Eu, veči, piedāvāju super-duper hostingu:
    *) Drošs – stāv mājās personālais dators ar TRIIS modemu pieslēgumu, drošībai papildus konekcija caur GPRS
    *) Ātrs – mums ir maz klientu, tātad daudz neizmantotu resursu, značit ātrs
    *) Up&running – Omīte visu laiku sēž mājās pie teļuka, un kā tiko kaut kas sāk pīkstēt kompim, tā blīkš ar kāju pa sāniem. Un atkal viss iet.
    *) 24*7 klientu suports – Ja kas nojūk, klientiem ir iespēja zvanīt lattelekomam, dažreiz šamie apjūk un apskairo ka piem modems neiet. Klients saprot ka Ltk vaina, značit daudziem problēmas.
    *) DB suports- Griežas Excel’is ar ODBC konektu. Neviens nesūdzas. (Pērkam MS office licenci pa lēto)
    *) E-pasts – mūsu profesionāļi neatbalsta tādus modes kliedzienus kā pop3, webmail, vai vēl sazin kādus. Esi drošs, viss ienākošais e-pasts tiek izdrukāts un nosūtīts klientiem pa fax’u (Varbūt kāds var pateikt kā atšķirt dažādas e-pasta adreses, citādi visi klienti saņem arī pārējo klienu e-pasta fax versijas)
    *) Monitorings – kompja videokartei pieslēgts platekrāna TV, var sūkt aliņus un skatīties log failus
    —–
    WebHackGroupSecurePowerLovePiiSiiBurkaaniNegarsho

    Atbildēt
  13. piccolo

    sho es saprotu tikai vienaa veidaa:
    iedod jebkuram adminam salikt serveri, vinsh to izdara un palaizh.. bet taapat php nav kodeets un zivtinja netiek cirsta, galvenais, ka iet un klients prieciigs.
    uz apollo ir tieshi taapat :), par delfiem nezinu, bet nedomaaju, ka arii shie gigahostotaaji iipashi izceltos ar atjautiibu.
    ja man paprasiitu nokonfigureet oraaklja serveri, nedomaaju, ka es to izdariitu iipashi savaadaak kaa shie liikrochi ar php.
    vienaa vaardaa: nabaga klienti :/
    ja man vinji buutu gatavi maksaat 10Ls meenesii, dabuutu 250MB space un vismaz elementaaru droshiibu.. bet ko tad es, es jau neko 🙂

    Atbildēt
  14. Kheps

    Eu, visi reklameejas, pat piccolo paspeeja uzlaist reklamnjiku.
    Bet man prieks ka es ar’ uzspeeju pareklameeties. Un interneta aatrums mums atkal ir palielinaajies, muus pameta paaris klienti :)))
    ‘Have fun add some ban’ : )

    Atbildēt
  15. endrju

    KRISHA: Ja grafton.lv ir drošs, tad es esmu ēzelis. Smiekls nāk konkrēti.
    btw, neko jaunu iekš fin..net neesi pamanījis? ;D
    *gh* …

    Atbildēt
  16. Nufis

    nu ja, gribēju jau teikt, bet MZM jau pateica – tas ir “biznesa klases internec”, bāāā, īstenībā jau šodien tur biju pašrocīgi (fiziski, uz vietas) ievilcis… baisi… ja tā ir biznesa klase, tad varbūt vienīgi pagājušjā gadsimtā… telpas neremontētas kā kopš pašiem pirmsākumiem… kompji VARiskie (cik gadu jau VARs vairs nepastāv), tādi ap P166 – PII350.

    Atbildēt
  17. KRISHA

    endrju: neiet jau runa par kautkaadaam taadaam lapaam. iet runa par hosting servisu 🙂 Kas ir pavisam citu serveri utt utt..

    Atbildēt
  18. KRISHA

    Nufis:
    NU tu gan dod.. atradi latnetaa divus VAR’a compus un tad tagad shitaadu textu biidi.. paskaties labak kas raku skapjos staav 😉
    p.s. Neesmu no latnet’a bet arii tur shodien biju..

    Atbildēt
  19. endrju

    KRISHA: “kaut kādām tādām lapām” ? … Es kaut kā iekš PostgreSQL manīju diezgan prestižas lapas, kuras Jūs hostējie, ja nemaldos… jo DB bija Jūsu 😉

    Atbildēt
  20. Boldrix

    Laikam kameer es ar taarpiem ciiniijos. Tulpe.latnet.lv palikusjas tikai divas direktorijas un neviena php faila. b00ring…

    Atbildēt
  21. lupus

    ehh… tas komentaars par oracle servera uzstaadiishanu ir debiils. Internets ir pilns (un arii pirms paaris gadiem bija) ar dazhaadiem security cheklistiem. Ieksh PHP manuaalja un install sekcijas ir noraadiits safety warnings un ka buutu jaapadomaa. Un taa taalaak un taa taalaak.
    Probleema jau cita – pirmaam kaartaam hosteri uzskata ka setups noziimee vienkaarshi sainstaleet nepiecieshamos pakidžus, otraam kaartaam – klienta direktorijaas par visu atbild klients. Un tad rezultaataa defaultais security sux un lietotaajs jau reti kad iedomaajaas par dazhaadaam fiichaam kaa piemeeram chmod. Lai arii shajaa gadijumaa tas nepaliidzeetu.
    Lasam visu ko vien varam par to ko daram un probleemu nebuus.
    (p.s. darba lietaas vienreiz sanaaca instaleet oracle 9i serveri (testeeshanai personiigajai), kas beigaas izraadijaas nepiecieshams visai izstraadaataaju grupai. Un oracle guru vieteejais apskatijies kaa es vinju bij uzlicis izteica zhetonu – viss kaa naakas. A patiesiibaa es vienk no oracle lapas panjeemu installation security cheklistu un izgaaju cauri – step by step. Taa ka – ja grib – visu var).
    (p.p.s. – picollo njemiet nopietni – viens no secuuraakajiem serveriem ko esmu redzeejis (un lietoju ;D))

    Atbildēt
  22. Kai-Do

    Ko Jus gribiet no “shared hosting” environment. Latnet konfiguacija ir normala, taa ir klientu problema, ka vinji daudz nesajeedz kaa MySQL paroles var aizsargaat.
    Ticu, ka Latnet piedaava suExec vai CGIWRAP un ka vinjiem PHP ir kompileets kaa executablis. Otraam kartaaam, var tachu programeet Perl un laist caur CGIWRAP lietas, kuras INSERTO/MODIFICEE. Laikam arii aizmirsts par iespeju MySQL lietotaajus defineet ar read tiesiibaam, insert tiesiibaam uz tabulaam utt.
    Bet ja protams vajag 100% secure environment, ticu ka Latnet arii to piedaavaa – Dedicated Server. Daargi, bet pieejams. Par 10 latiem menesii Jus savu izdaliito serveri nedabuusit !
    K.

    Atbildēt

Atbildēt uz komentāru ManInBlack Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *