Администрируем неадминистрируемое

hiNt (exp@neora.ru)

Xakep, номер #065, стр. 065-070-1

Взлом qmailadmin за 5 минут

Взломы и дефейсы неминуемо вызывают шумиху, сплетни и мифы. Очень часто обыватели представляют себе процесс взлома как тяжелую умственную работу нескольких людей в черном, сидящих за черными мониторами и быстро стучащих по черным клавишам. Но зачастую дело обстоит совсем не так. Ниже я расскажу, как была обнаружена лазейка в qmailadmin'е, позволяющая почти любому, даже самому глупому юзеру, поломать всех и вся.

Забытый пароль

Однажды январским вечером, не предвещающим ничего необычного как в Сети, так и в реальной жизни, один из жителей славного города Санкт-Петербурга с пеной у рта искал уязвимости в qmailadmin'е - популярном средстве web-администрирования почтовых серверов на базе qmail. За окном была непогода: сильный ветер гнул тяжелые ветки деревьев, мелкие, сухие и колкие крупинки снега били по лицам немногочисленных прохожих, которые боязливо жались к зданиям, то ли опасаясь причудливых теней, отбрасываемых ветвями деревьев, то ли просто спеша домой, к женам, детям, теплому ужину и вечерним новостям. Взломщик любил ненастную погоду - в такие дни ему нравилось сидеть дома в теплом свитере, поглядывать из окна на прохожих и наслаждаться Сетью, не думая ни о чем, кроме виртуальных знакомых, переписки и полной цифрового творчества работы.

Но вернемся к занятию нашего героя, за которым мы его застали. Логично было бы предположить, что взломщик ищет уязвимость в популярном продукте ради корыстных целей - возможно, он ломает на заказ какой-то сервер и не нашел другого способа завладеть системой, кроме как поломать qmailadmin. Но, увы, наши ожидания не оправдались. Причина была банальной: "-ERR Password supplied for "inf" is incorrect" - в вежливой форме pop3-сервер посылал хакера на три буквы (www). Да-да, он просто забыл пароль от своего старого почтового ящика на coolmailserver.com, работающего под управлением qmail, а вспомнить заветное слово, открывающее доступ к прочтению нужных писем, не представлялось возможным. Тогда, достав из холодильника несколько пакетов сока "K8" (не все же хакеры пьют пиво), взломщик активизировал свое серое вещество и двинулся в бой.

Разведка

Первым делом хакер, естественно, запустил лучший, по его мнению, сканер портов и проделал самую рутинную работу. Но nmap ничего особенного не сообщил. По его версии, на coolmailserver.com были установлены совершенно стандартные сервисы, которые при ближайшем рассмотрении оказались к тому же и последних версий. По всей видимости, админ не дремал и регулярно скачивал обновления, так что вариант со скрипткиддингом отпадал. Тогда взломщик решил присмотреться к заглавной странице, ну и просто собрать полезную информацию. Ведь, как известно, не бывает неуязвимых систем - бывает мало пива, или, в нашем случае, отличного вишневого напитка. Аська взломщика была послана в режим "DND", чтобы надоедливые друзья и недруги не доставали сообщениями, в системном трее появилась знакомая молния winamp'a (под музыку работать веселей), и началась разведка.

Дизайн главной страницы mail.coolmailserver.com был пугающе прост: висели лишь пять ссылок: "Manage your e-mail", "Read your e-mail with Squirrel", "Read your e-mail", "Set your spam settings" и "Install our SSL Cert...". Недолго думая, хакер навел курсор мыши на первый линк и кликнул - на дисплее расплылась в улыбке симпотная блондинка на темно-зеленом фоне. Это система QMailAdmin весело поприветствовала нового гостя. Тут же предлагалось ввести User Account, Domain Name и Password. Отхлебнув из стакана, взломщик, чуть помедлив, вбил свои старые данные (логин, домен и, как ему казалось, верный пароль), но в ответ получил досадное "Invalid Login". Не отчаявшись, питерец решил облазить все порталы, посвященные интернет-безопасности, в поисках каких-либо сведений об уязвимостях в qmailadmin. Но тщетно. Тулза веб-администрирования не хотела сдаваться ни в какую! Зато фанат вишневого сока узнал, что беззаботные авторы qmail пообещали золотые для среднестатистического российского студента горы - 500 зеленоглазых американских президентов. Согласись, здорово было бы совместить приятное с полезным: найти брешь в системе безопасности софтины, поиметь с ее помощью много интересных мыл-аккаунтов, прочитав мимоходом личную переписку Наташи из Ростова и Poruche De Rzevsky из Бразилии, и получить в придачу полтысячи. Но это как раз и не входило в планы нашего героя. Читать чужие письма - не в его правилах, ему нужен был только лишь собственный пароль от почтового ящика, ну и 500 долларов тоже не помешали бы :). Переварив новые полученные факты, хакер решил пойти от обратного, то есть зарегистрировать новый почтовый аккаунт и начать систематизированные исследования и эксперименты. И действительно, хорошая мысль. Ведь если к могучей крепости нельзя подступиться снаружи, то нужно искать победный путь внутри! Правда, очередной преградой к успешному взлому или хотя бы к его началу стал тот факт, что регистрация на сервере была платная. Это очень удивило нашего героя. Похоже, вообще весь домен перешел во владение другого человека. Изменилось почти все, в том числе и язык: он почему-то стал французским. Но самое интересное - нужный аккаунт все еще существовал.