Ostatnimi dniami jeden z bardzo popularnych blogerów polskich odpowiedzialny za serwis antyweb.pl, został defakto ośmieszony przez drugiego, mniej znanego blogera. Mniej znany bloger wykorzystał bardziej znany błąd umożliwiający przejęcie konta użytkownika (na przykład) administratora systemu WordPress. Błąd wynikał z niepoprawnego traktowania danych przez bazę MySQL (w uproszczeniu). Przy okazji w związku z problemem słabego generatora liczb losowych w PHP – oba błędy zostały poprawione w wersji 2.6.2 systemu WordPress. Opis jak w najprostszy sposób wykorzystać błąd i przejąć konto administratora – znajduje się tutaj. Właściciel antyweb.pl w wyniku zapracowania/lenistwa/braku chęci lub prądu nie przypilnował i nie zaktualizował oprogramowania (mimo jasnego komunikatu pojawiającego się za każdym razem po zalogowaniu się do serwisu). Konto zarządzającego serwisem zostało przejęte, został dodany żartobliwy wpis i co dalej?
Z jednej strony nic bo żartobliwy wpis finalnie dostarczył dodatkowej reklamy jednemu i drugiemu blogowi, choć w mojej opinii autor antyweb.pl stracił (przynajmniej w moich skromnych oczach) część wypracowanej – mądre słowo – reputacji – przez własne zaniedbanie.
Z drugiej strony zastanowiłem się co ciekawego na takim blogu odwiedzanym przez rzesze internautów dziennie – umieściłbym ja, gdybym miał zachować się w tak niemiły sposób. Oczywiście, że oprócz napisu, że jestem extra_i_wporzo ;] co przyszło mi do głowy w pierwszej kolejności, wydedukowałem, że o wiele ciekawiej byłoby zawrzeć delikatny kod JavaScript/IFrame w celu przekierowywania użytkownika na stronę, na której rzekomo antyweb.pl polecałby obejrzenie najnowszego Video z udziałem blogera.
Metoda prosta, znana, skuteczna. Idąc tym tokiem rozumowania zaszedłem do wyszukiwarki Google i wpisałem „Powered by wordPress”, otrzymując wesołą liczbę ponad 32 000 000 (czytaj milionów ;) stron. A gdyby tak je wszystkie punkąć właśnie?
Mam nadzieję, że nawet mniej uważny czytelnik zrozumiał do czego piję (albo z kim). A gdyby tak w przeciągu kilku dni przeprowadzić zmasowany atak na systemy blogerskie typu WordPress i przejąc jak największą ilość kont. Pododawać na wszystkich możliwych podstronach i wpisach zarażające linki, pozmieniać hasła i radować się ilością nowych dzieci botnetowych pod opieką jedyną i słuszną.
Jest takie przysłowie… Pożyjemy… zobaczymy… mam nadzieję, że tej mojej teorii nie będziemy mieli okazji oglądać na żywo, ale jak wiadomo nadzieja matką… botnetu? ;]
2 komentarze do
25 września, 2008 o godzinie 10:44
Hmmm przyszła mi do głowy jeszcze jedna rzecz (to co napiszę to czyste niepoparte niczym rozważania). Piszesz o IFrame i 'obejrzeniu Video z udziałem blogera’, czyli jeśli dobrze wywnioskowałem pijesz do 'instalowania codeców pozwalających być częścią botnetu’.
Tak myślę czy by tego nie można tego wysokiego ruchu wykorzystać bez 'instalowania codeców’.
Na potrzeby rozważań załóżmy że mamy 10mln przekierowań dziennie (co przy 32mln blogach super dużą ilością nie jest).
A teraz rozważmy możliwość wysyłania spamu z przeglądarki.
Jest trochę serwisów e-mailowych podatnych mniej lub bardziej na CSRF, czyli głupi javascript w iframe umie utworzyć konto mejlowe (lub zalogować się na istniejące; pominę problem captcha na chwile), a następnie dalej korzystając z CSRF wysyłać mejle (owszem będzie to wysyłanie na ślepo, ale to nie powoduje że jest to mniej skuteczne).
Czyli wchodząc na oryginalnego bloga, user zostałby przekierowany na stronę ZUA, w której mniej lub bardziej zmyślny JS powodował by wysyłanie spamu.
A teraz drugie potencjalne użycie takiego botnetu – DDoS. Owszem, żaden CTCP/UDP flood nie przejdzie z oczywistego powodu. Natomiast z poziomu javascript można wysyłać zapytania HTTP czy łączyć się TCP (chodzi mi o połączenie HTTP na inny port, sam fakt połączenia przy tej ilości połączeń można traktować podobnie jak Syn Flood (tak wiem, to temat do dyskusji)).
User wchodzi więc na stronę bloga, zostaje przekierowany na stronę ZUA, która w 10 iframe per user otwiera stronę http://www.mampecha.pl. I teraz ofc 3 scenariusze. Pierwszym jest slashdot-effect, czyli serwery nieprzystosowane do 10mln połączeń dziennie robią 'dobranoc’. Drugi scenariusz – stronie kończy się bandwidth i użytkownik dopłaca za niego lub strona jest blokowana. I scenariusz trzeci – strona całkiem OK sobie radzi mimo ruchu.
Do „klikania” co głupszych reklam takie coś też by przeszło.
Czyli w sumie mając 10mln odwiedziń dziennie można i tak niezłe kuku zrobić niekorzystając nawet z 'botnetowych kodeków’.
Ot, takie rozważania ;>
25 września, 2008 o godzinie 22:51
Dokładnie TAK!
Mój przykład jedynie i wyłącznie jest uproszczeniem ukazującym problem. Najczęściej mamy do czynienia z takim wykorzystaniem użytkownika do instalacji złośliwego oprogramowania – niech sam kliknie w nibylinkvideo.
Ale oczywiście idąc dalej tak jak piszesz, prosty IFrame x 10 a jeszcze zapętlony JavaScriptem może spowodować wystarczająco masakryczne dla ofiary i opłakane skutki…
Jednak wiadomo – lepiej jest zmusić użytkownika (fakt, wtedy musi kliknąć, trzeba obejść antywirusa ;) – i zdobywamy jego komputer i kontrolę na dłuższą metę a o to tak na prawdę chodzi prawda? :]
Luuuubię takie rozważania, zapraszamy częściej…