Глумимся над кулхацкерами и сотрудниками офиса
Евгений Зобнин (j1m@synack.ru)
Когда все настроено и работает как часы, когда пользователи довольны, а босс не достает постоянными просьбами и вопросами, когда все мануалы прочитаны, а в контре нет равных, настает тоска, и чтобы спастись от нее, админ включает творческое мышление и начинает придумывать всевозможные виды пранка, чтобы поглумиться над коллегами и теми, кто пытается пробраться в его серверы.
Содержание:
Сисадминский пранк может быть направлен в три почти противоположных по значению и последствиям стороны:
-
Кулхацкеры. Различные издевательства над скрипт-кидди, включающие в себя такую классику, как подмена баннеров сетевых сервисов и шутки с брандмауэром. Все это не только позволит развеселить себя любимого, но и нередко удостаивается всяческих похвал со стороны коллег, а иногда даже и начальства.
-
Коллеги-админы. Имея равные права на управление серверами с другими админами, ты можешь запросто устроить западло и им тоже. Однако здесь не все так просто, как с предыдущим пунктом. Портя жизнь другим админам, ты можешь усугубить любую непредвиденную ситуацию, возникшую в сетевой инфраструктуре. Как результат: лишение премии обоих, а в особо сложных ситуациях, увольнение и синяк под глазом.
-
Сотрудники офиса. Жертвой пранка может стать и весь офисный планктон вместе взятый. Имея полный контроль над файрволами, маршрутизаторами и прокси-серверами, ты сможешь здорово себя повеселить, однако когда дело дойдет до разбирательства, возможны и особо горькие последствия, начиная от увольнения без рекомендаций и заканчивая рукоприкладством с кровопролитием (в понедельник утром людей лучше не злить).
Стоит также отметить, что некоторые виды приколов могут быть направлены в любую из трех сторон хоть одновременно, хоть по отдельности.
Разобравшись с теорией, переходим к практике, а конкретно к первой части статьи, в которой жертвами становятся незадачливые кулхацкеры. Начнем с самого простого и распространенного трюка — подмены баннеров сетевых сервисов. В качестве защиты от атак это работает плохо, зато, если с фантазией все в порядке, можно хорошенько поиздеваться над несмышлеными «взломщиками».
Итак, попробуем исправить приветственное сообщение, выдаваемое наиболее распространенными сервисами, а конкретно: ftpd, smtpd и httpd, dns. Конечно, далеко не все админы используют в своих системах стандартные сервисы, одни предпочитают ProFTPd, другие, например, vsftpd, поэтому мы остановимся на самых распространенных и популярных вариантах:
-
ProFTPd. Открываем конфигурационный файл /etc/proftpd.conf и присваиваем значение "Welcome to Micro-FTPd 0.23 (OS/2 3.3)" опции ServerName.
-
vsftpd. Открываем файл /etc/vsftpd/vsftpd.conf и добавляем в него следующую строку: "ftpd_banner=Welcome to OnixFTPD (version: 22.1, OS: 386BSD 4.3)".
-
LigHTTPd. Открываем /etc/lighttpd.conf и изменяем значение опции server.tag на "Microsoft-IIS/3.3.3.3.3".
-
Sendmail. Открываем макрос /etc/mail/sendmail.mc и добавляем в него следующую строку:
define(`confSMTP_LOGIN_MSG’, `exchange.srv.local Microsoft MAIL Service, \ Version: 6.0.3790.1830 ready’)dnl
Сохраняем и генерируем конфигурационный файл:
# cd /etc/mail # m4 sendmail.mc > sendmail.cf
-
Postfix. Открываем /etc/postfix/main.cf, ищем опцию smtpf_banner и заменяем ее значение на строку «VAX HTTPD 3.31-beta (MS-DOS 5.3, gcc 1.1)»
- Bind. Конфиг /etc/bind/named.conf, строка:
options { version "8.2.2"; };Напомню: версия BIND 8.2.2 примечательна тем, что содержит серьезные уязвимости, позволяющие злоумышленнику отравить кэш DNS-сервера, провести DoS-атаку и даже получить привилегии root. Хорошая наживка для киддисов.
Рис. 1. Скрываем версию BIND
Для изменения баннеров некоторых сервисов придется править исходники, например, баннер Apache исправляется с помощью редактирования заголовочного файла include/ap_release.h (строка #define AP_SERVER_BASEPRODUCT "Apache").
Рис. 2. Исправляем баннер Apache в исходниках
Хорошие результаты дает также использование различных «заглушек», которые прикидываются настоящими сервисами, на самом деле ими не являясь. Они получили широкое распространения в разного вида honeypot-системах, но могут применяться и для организации качественного пранка. Ниже приведен код фиктивного smtp-демона, который правильно устанавливает соединение, а затем без видимых причин его разрывает:
$ vi fake-smtpd.pl #!/usr/bin/perl use Socket; $port=25; $hostname="host.com"; $banner="220 host.com ESMTP Sendmail 8.6.1/8.5.0\n\r"; $fail="500 Command unrecognized:"; [ skipped… ] ($af,$port,$inetaddr)=unpack($sockaddr,$addr); @inetaddr=unpack('C4',$inetaddr); ($i1,$i2,$i3,$i4)=@inetaddr; $ipaddr="$i1.$i2.$i3.$i4"; print "connected from $ipaddr\n"; print NS $banner; while(<NS>) { if (/EHLO/i) { print NS "Hello $ipaddr. nice to meet you\n\r"; } else { print NS "$fail $_\r"; print "tried $_"; } } print "$ipaddr disconnected\n"; }Ты можешь сказать, что это глупая и бесполезная штука, но только представь, каких мук будет стоит взломать скрипт. Сервер не обрабатывает команд, поэтому незадачливому «хакеру» будет стоит больших усилий определить, почему это происходит. А как он будет перебирать все имеющиеся эксплойты, печально осознавая, что ни один из них не подходит… А если в код добавить возможность ответа на команды или встроить полноценного чат-бота? В общем, огромный простор для экспериментов.
Рис. 3. SMTP-сессия с подставным SMTP-демоном
Если на машине функционирует только один сервис (например HTTPd), то можно пойти еще дальше и сделать так, чтобы инициация подключения к любому порту автоматически перенаправлялась на порт этого сервиса. Nmap и любые другие сканеры портов просто сойдут с ума: список открытых портов будет включать в себя все возможные варианты, слушающие сервисы будут вести себя совсем не так, как предполагается (TCP вместо UDP, странная строка ответа и т.д.) Естественно, незадачливого новичка такое положение дел надолго ввергнет в шок.
В то же время реализация идеи очень проста, незатейлива и требует выполнения всего трех команд, модифицирующих правила брандмауэра:# iptables -P INPUT DROP # iptables -A PREROUTING -t nat -p tcp ! --dport 80 \ -j REDIRECT --to-port 80 # iptables -A INPUT -p tcp --syn --dport 80 \ -m connlimit ! --connlimit-above 10 -j ACCEPT
Второе правило перенаправляет весь трафик к портам, отличным от 80-го, на 80-ый же порт. Третье правило ограничивает количество одновременных соединений до 10. Нужно это просто для того, чтобы web-сервер не смог попасть в состояние DoS.
Защита самого web-сайта от нападок скрипт-кидди и троллей тоже может принести немало удовольствия. Например, попав под обратный slashdot-эффект (когда кто-то публикует ссылку на твой ресурс на другом сайте с целью поглумиться и нагадить), не стоит сразу блокировать всех посетителей, пришедших со злонамеренного web-сайта. Гораздо эффектнее будет выглядеть перенаправление их на другую страницу (или сайт), сделанную специально для издевательства над ними. Далее приводится список действий, необходимых для осуществления этой задачи.
Открываем файл .htaccess и добавляем в него следующие правила:RewriteEngine on RewriteCond %{HTTP_REFERER} ^http://www\.evil\.net [NC] RewriteRule .* http://www.google.com [R]Во второй строке происходит проверка переменной HTTP_REFERER и поиск в ней регулярного выражения, соответствующего любой странице сайта www.evil.net ([NC] — это «no case» — URL может быть написан в любом регистре символов). Если проверка дает положительный результат, все тролли уходят на страницу, адрес которой указан в третье строке (в примере это google.com, однако лучше найти более подходящую контексту страницу).
Теперь поговорим о тех, кто любит воровать. За последнее время сети Wi-Fi получили очень широкое распространение, свободные точки доступа теперь можно найти даже в небольших городах, Wi-Fi модули устанавливаются в нетбуки и сотовые телефоны, весь мир поголовно переходит на сотовую связь четвертого поколения. Однако развитие беспроводной связи несет в себе и проблемы, люди любят халяву, и если в твоем доме/офисе есть открытая точка доступа, то кто-нибудь обязательно ей воспользуется. Конечно, для борьбы с хитителями можно активировать шифрование и принудительную авторизацию, но если трафик не имеет особого значения, открытый доступ можно использовать для глумления над ворами.
Следующий прием был впервые опубликован на странице , и на русский язык его название можно перевести как «перевернутый тырнет». Суть заключается в следующем: настраиваем сервер так, чтобы «чужие» клиенты попадали в отдельную подсеть, все пакеты из которой будут перенаправлены на внутренний прокси, коверкающий их содержимое. Ниже мы рассмотрим, как такое проделать.
Настроим DHCP-сервер, раздающий адреса клиентам беспроводной сети. Чтобы схема заработала, мы должны поместить воров в отдельную подсеть. Делается это с помощью следующего набора правил файла dhcpd.conf:# vi /etc/dhcpd.conf ### Стандартные настройки ddns-updates off; ddns-update-style interim; authoritative; shared-network local { ### Наша "настоящая" подсеть subnet *.*.*.* netmask 255.255.255.0 { range *.*.*.* *.*.*.*; option routers *.*.*.*; option subnet-mask 255.255.255.0; option domain-name "mydomain.ru"; option domain-name-servers *.*.*.*; deny unknown-clients; ### Перечисляем легальных клиентов host client1 { ### MAC-адрес клиента и его IP-адрес hardware ethernet *:*:*:*:*:*; fixed-address *.*.*.*; } } ### Подсеть, открытая всем, пакеты, пришедшие из нее, ### будут направлены на наш прокси-сервер subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.2 192.168.0.10; option routers 192.168.0.1; option subnet-mask 255.255.255.0; option domain-name-servers 192.168.0.1; allow unknown-clients; } }Перезагружаем dhcpd:
$ sudo service dhcpd restart
Теперь настроим squid, который будет заниматься обработкой HTTP-трафика, пришедшего от нелегальных пользователей:
$ sudo apt-get install squid
Открываем конфигурационный файл /etc/squid/squid.conf и делаем несколько исправлений (не удаляя содержимое):
# vi /etc/squid/squid.conf ### Открываем доступ всем клиентам нашей ### доступной для всех подсети acl localnet src 192.168.0.0/24 http_access allow localnet ### Делаем прокси невидимым http_port 3128 transparent ### Пропускаем трафик через скрипт flip.pl url_rewrite_program /usr/local/bin/flip.pl
Создаем скрипт flip.pl, который будет извращаться над трафиком:
# vi /usr/local/bin/flip.pl #!/usr/bin/perl $|=1; $count = 0; $pid = $$; while (<>) { chomp $_; if ($_ =~ /(.*\.jpg)/i) { $url = $1; system("/usr/bin/wget", "-q", "-O","/var/www/images/$pid-$count.jpg", "$url"); system("/usr/bin/mogrify", "-flip","/var/www/images/$pid-$count.jpg"); print "http://127.0.0.1/images/$pid-$count.jpg\n"; } elsif ($_ =~ /(.*\.gif)/i) { $url = $1; system("/usr/bin/wget", "-q", "-O","/var/www/images/$pid-$count.gif", "$url"); system("/usr/bin/mogrify", "-flip","/var/www/images/$pid-$count.gif"); print "http://127.0.0.1/images/$pid-$count.gif\n"; } else { print "$_\n";; } $count++; }Даем скрипту права на исполнение:
$ sudo chmod +x /usr/local/bin/flip.pl
Просим squid перечитать конфиг:
$ sudo service squid reload
Устанавливаем веб-сервер, который будет отдавать изображения, обработанные скриптом:
$ sudo apt-get install apache2
Создаем каталог для хранения изображений:
$ sudo mkdir /var/www/images $ sudo chown www-data:www-data /var/www/images $ sudo chmod 755 /var/www/images
Чтобы веб-сервер смог получить к ним доступ, добавляем пользователя www-data в группу proxy (изображения будут добавлены скриптом от имени этого пользователя и группы):
$ sudo usermod -aG proxy www-data
Перезапускаем веб-сервер:
$ sudo service apache2 restart
Наконец, настраиваем перенаправление трафика с помощью iptables:
$ sudo iptables -t nat -A POSTROUTING -j MASQUERADE $ sudo iptables -t nat -A PREROUTING -p tcp \ --dport 80 -j REDIRECT --to-port 3128
Это все. Теперь HTTP-трафик, пришедший от клиентов открытой подсети, будет перенаправлен в squid и обработан нашим скриптом, который делает не что иное, как переворачивание всех изображений веб-страницы, сохранение их в локальном каталоге /var/www/images с последующей отдачей вместо оригиналов с помощью локального веб-сервера. На скриншотах отчетливо видно, как будет выглядеть веб-страница в окне браузера похитителей интернет-трафика.
Рис. 4.
Рис. 5. На xakep.ru есть два флеш-баннера, поэтому эффект перевернутого тырнета не так сильно заметен, зато google.com выглядит просто прекрасно
Рис. 6. Скрипт flip.pl легко исправить для достижения других эффектов над изображениями
Кому как не админам издеваться над рядовыми пользователями. Имея полную власть над сетевой инфраструктурой, ты можешь вытворять с пользователями все, что угодно. Например, редактировать их почту.
Написав небольшой скрипт для Postfix, мы сделаем так, чтобы к любому сообщению, пересылаемому с помощью нашего сервера, добавлялась небольшая оригинальная подпись. Для этого заводим пользователя filter, с правами которого будет работать наш скрипт:$ sudo adduser filter
Создаем каталог, где будет происходить обработка корреспонденции:
$ sudo mkdir /var/spool/filter $ sudo chown filter:filter /var/spool/filter
Настраиваем передачу почты через нашего агента. Для этого добавляем приведенную ниже строку в файл /etc/postfix/master.cf.
filter unix - n n - 10 pipe flags=Rq user=filter argv=/usr/local/bin/mail-filter.sh
Создаем скрипт mail-filter.sh и наполняем его содержимым:
# vi /usr/local/bin/mail-filter.sh #!/bin/sh ### Стандартные пути INSPECT_DIR=/var/spool/filter SENDMAIL="/usr/sbin/sendmail -i" ### Коды возврата EX_TEMPFAIL=75 EX_UNAVAILABLE=69 ### После обработки убираем мусор trap "rm -f in.$$" 0 1 2 3 15 ### Переходим в каталог фильтра cd $INSPECT_DIR || exit $EX_TEMPFAIL; ### Сохраняем сообщение в файл cat > in.$$ || exit $EX_TEMPFAIL; ### Добавляем к нему нашу подпись echo "---\nБольшой брат следит за тобой..." > in.$$ ### Отдаем письмо sendmail'у $SENDMAIL "$@" < in.$$ exit $?
Даем пользователям права на исполнение скрипта:
$ sudo chmod +x /usr/local/bin/mail-filter.sh
Перезагружаем конфиг и наслаждаемся результатом:
$ sudo service postfix reload
Сервер smtpd будет принимать почту из сети и передавать ее нашему фильтру через агента доставки pipe (то есть просто передавая тело сообщения на вход). С помощью команды echo фильтр добавит наше сообщение ("Большой брат следит за тобой...") в письмо и отдаст его sendmail. Таким образом получится двойная очередь (postfix - скрипт - postfix).
Можно подготовить целую серию шуток, например отдачу одного и того же IP-адреса в ответ на любые DNS-запросы, тогда набирая в адресной строке браузера произвольный адрес, юзер будет всегда попадать на какой-нибудь www.bibigon.com. Ты можешь сделать скриншот главной страницы google.com, вставить его в пустую html-страницу, повесить ее на локальном веб-сервере и сделать перенаправление всех запросов к 80-му порту на свой веб-сервер, так что пользователи будут всегда попадать на google.com и не смогут воспользоваться его услугами. Так же можно поизвращаться с настройкой Samba и CUPS, чтобы перед отправкой на принтер любой документ сопровождался твоей подписью и многое, многое другое.Пранк - это креативное дело, о котором не читают в статьях, а придумывают на ходу. Время от времени любого человека посещают идеи хороших шуток, остается только реализовать их и наслаждаться результатом. Однако не стоит заходить слишком далеко, нужно уважать время и нервы других людей.
DVD
- На прилагаемом к журналу диске ты найдешь скрипты fake-smtpd.pl и flip.pl.
-
INFO
-
Способов глумления над коллегами существует уйма, начиная от подмены стандартного приглашения bash и заканчивая забиванием логов различным мусором. Большинство этих приемов уже были описаны в статье "Пощады не будет!" (][_11_2009), поэтому сегодня эта тема не затрагивается.
Статья опубликована в майском номере журнала "Xakep" за 2010 год.