Сайт frdpb.hut2.ru был взломан группой Arab-Hacker TeaM - Информационная безопасность - Cтатьи - Stas'M Corp.
Stas'M Corp.
Главная | Cтатьи | Регистрация | Вход
 
Воскресенье, 04.12.2016, 17:14
Приветствую Вас Гость | RSS
| ENG | RUS
Форма входа

Информация о тебе:

IP-адрес: 54.146.141.60
Браузер: Неизвестен
Основные разделы
Мини-чат
Loading Загрузка сообщений...
Наш опрос
Каким поисковиком пользуетесь?

Всего ответов: 388
Главная » Статьи » Информационная безопасность

Сайт frdpb.hut2.ru был взломан группой Arab-Hacker TeaM
Недавно мы узнали, что сайт frdpb.hut2.ru, посвящённый Fast RDP Brute (FRDPB) был взломан группой Arab-Hacker TeaM.

На главной странице вы можете увидеть сообщение от анонимуса, что сайт был взломан в связи с недостаточной защитой сайта его владельцем (рисунок справа). Скорее всего была использована какая-либо уязвимость в скриптах сайта, благодаря чему злоумышленник получил доступ к каталогу файлов сайта. Остальные сайты, расположенные на этом же сервере (hut2.agava.net), взломаны не были.

Проанализировав исходный текст страницы, было не сложно найти место расположения виновников сего торжества: http://cardsharingfree.com/Cold/. Заголовок страницы чётко и ясно гласит "Arab-Hacker TeaM Was Here", так что группа хакеров Anonymous тут не при чём ИМХО (рисунок слева). Скорее всего сайт cardsharingfree.com тоже был взломан данной группой, но также есть вариант что домен зарегистрирован на них.

Собственно обнаружилось всё это, когда один из наших партнёров захотел использовать Fast RDP Brute (FRDPB), но при появлении окна программа сразу закрывалась. Наша команда провела исследование, в котором выяснилось, что FRDPB отсылает запрос GET по адресу http://frdpb.hut2.ru/update.php и получает некоторую строку. Затем он получает текущую дату, из которой берёт число текущего дня, и выполняет конкатенацию числа и слова "horse" (англ. лошадь). Из полученной строки генерируется MD5 хеш и сравнивается со строкой, полученной запросом. Также, если хеш не совпадает с полученным, то генерируется ещё два хеша для предыдущего и следующего числа.

Пример:
Hash = HTTP.Get("http://frdpb.hut2.ru/update.php");
// Пусть сегодня 29 октября 2011 года. Тогда:
Hash1 = md5("28horse");
Hash2 = md5("29horse");
Hash3 = md5("30horse");
if (Hash == Hash1) { // ok }
 else if (Hash == Hash2) { // ok }
  else if (Hash == Hash3) { // ok }
   else { // exit };

Но на этом наше исследование не завершилось, поскольку нашему партнёру была нужна рабочая версия этой программы. И поэтому наша команда пропатчила её таким образом, что запрос к серверу и проверка хешей не выполняются, и программа сразу переходит в рабочее состояние. Как следствие, был достигнут более быстрый запуск программы.

Выражаем благодарность нашему партнёру Денису Анонимусу за помощь в реверсном инженеринге.
Пропатченную версию Fast RDP Brute (FRDPB) можно скачать тут.

Теги: Anonymous, хакер, FRDPB, Араб, Brute, уязвимость, сайт, хостинг, RDP, Анонимус, Reverse Engineering, Hash, хеш
Категория: Информационная безопасность | Добавил: Administrator (29.11.2011) | Автор: Stas'M Corp.
Просмотров: 5047 | Теги: Анонимус, RDP, хостинг, сайт, уязвимость, Brute, Араб, FRDPB, хакер, Anonymous | Рейтинг: 3.0/2
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Веб приложения
Категории раздела
Корпоративный кооператив [12]
Юмор [4]
Смешные истории из жизни корпорации
Хорошие новости от Евгения [14]
Юмористический журнал
Информационная безопасность [16]
История [2]
Рецензии и обсуждения [2]
Пожертвование / Donate
WMWebMoney transferZ358077191062
WMWebMoney transferE208225402366
WMWebMoney transferR303537803958
WMWebMoney transferB345247247920
Reg.ruReg.ru transfer9900126333
WUWestern Union transferuse feedback form
BTCBitcoin transferuse feedback form
Друзья сайта

Просим вас посещать сайты наших друзей! Они достойны такого же внимания как и мы!

Пользователи
Онлайн всего: 4
Гостей: 4
Пользователей: 0

Пользователи онлайн:
Статистика
Рейтинг@Mail.ru
Проект ReactOS

Copyright © Stas'M Corp. 2016Хостинг от uCoz