14:22
8/3/2011

Krakowski hosting z brakiem hasła do root@MySQL

Jeden z naszych czytelników, Jakub Wolny, przez przypadek odkrył, że pewna krakowska agencja interaktywna hostująca projekty jego i kilkudziesięciu innych klientów, nie ma ustawionego hasła do konta administratora bazy danych. Odpowiedź administratora była miażdżąco szczera…

Wygoda a bezpieczeństwo…

faktycznie trafił Pan na okres kiedy upgradujemy baze i potrzebujemy dostep bez hasla dla skryptow – gwarantuje ze to nie jest nasza codzienna praktyka..

Powyższą odpowiedź administratora krakowskiej agencji, Jakub komentuje w ten sposób:

Nazwy Tabelja to odkryłem w piątek w środku dnia (ok. godz. 15) przypadkiem uruchamiając jeden ze skryptów PHP z nieustawionymi danymi do bazy. Takie praktyki należy piętnować! Przez ten czas mogłem (lub ktokolwiek inny) wyciągnąć z tych wszystkich baz tabele z userami, później w wolnym czasie rozkodować hashe, a później szantażować [pozostałych — dop. red.] klientów.

Zadaliśmy pytanie agencji interaktywnej, czy w związku z bliżej nieokreśloną czasowo możliwością dostępu do bazy danych serwera bez konieczności podawania hasła, poinformowali oni swoich klientów o tym, że ich dane (w tym hasła) mogły zostać wykradzione.

Jeden z pracowników agecji w rozmowie z nami potwierdził nam że sytuacja miała miejsce i była wynikiem chęci ułatwienia zadania polegającego na migracji danych klientów pomiędzy serwerami. Administratorzy agencji zastrzegają, że serwer na którym to zdarzenie miało miejsce jest serwerem testowym i tylko kilku klientów przetrzymuje na nim dane z produkcji. Agencja interaktwna zapewniła również, że poinformuje klientów o potencjalnym wycieku ich danych.

Nie tylko Kraków daje ciała…

Powyższa praktyka krakowskiej agencji interaktywnej nie jest taka niespotykana, jak mogłoby się wydawać. Wielokrotnie podczas testów penetracyjnych natykamy się deweloperskie serwery (lub vhosty) ze zdjętymi hasłami do usług i co gorsza, bazą z produkcji… Jak widać, wpadka wykopu nie przemówiła do wszystkich…

Przeczytaj także:



32 komentarzy

Dodaj komentarz
  1. spokojnie, przecież powiedzieli że to nie jest ich codzienna praktyka. czego więcej chcieć?

  2. co za bzdurne tłumaczenie. jak sie migruje na nowe skrypty to należy je najpierw skonfigurować, a nie otwierac dla nich (i dla calego internetu) bazę danych!

  3. Kpina. Tak jakby fizycznie niemożliwe było zalogowanie się przez skrypt do zahasłowanej bazy. Co to za admini są?

  4. @Dariusz: Admi-co? To nie są admini.

    • pewnie jakaś pani jadzia z księgowości to robiła :D

  5. Dlaczego nie ujawnicie nazwy tej agencji ku przestrodze?

    • Bo wiemy, że robią tak prawie wszyscy, więc zruganie tylko jednego kozła ofiarego nie byłoby w naszej opinii do końca sprawiedliwe ;)

    • @Piotr
      Więc proszę podaj tych “prawie wszystkich” adminów i będzie to sprawiedliwe. Mamy prawo wiedzieć i nie wydaje mi się aby to była powszechnie stosowana praktyka. A jeśli masz racje i poprzesz to jakimiś dowodami to jeszcze dziś zacznę pisać skaner i bota na puste hasła…

    • Q7: nice try! Ale przed każdym pentestem podpisujemy NDA, więc sam rozumiesz. Co do skanerów, nie musisz pisać, setki takich latają po sieci.

    • Tak, wystarczy poczytać logi na serwerze z hostów chińskich. Bruteforce SSH/phpshell.

  6. Ja bym chciał wiedzieć z kim należy być ostrożnym – wcześniej nie przejmowaliście się kozłami ofiarnymi – demokracja musi być ;)

  7. Ej normalne, założenie jest takie: aa na chwile, nikt nie zauważy, pozatym agencje bardzo często traktują wiele spraw związanych z bezpieczeństwem z dużą dozą humoru i olewania.
    Ale też nie ma co się dziwić, jak oszczędzają na pracownikach (bardzo często zatrudniając niedoświadczonych za mniejsze pieniądze lub na ilości ludzi). Jak mi ktoś pokaże człowieka od zarządzania informacją niejawną w takiej agencji to ukłon (mówię o ludziach z doświadczeniem i wiedzą, a nie mianowanych – bo tak trzeba).

    @Piotr zgadzam się, jednak tak sobie myślę, że zanonimizowane wyniki audytów penetracyjnych (nie tych na zlecenie, ale hobbystycznych :D ) można opracować i opublikować – może to nakłoni kogoś, gdzieś w jakiejś agencji do inwestowania w jak nie kadry to przynajmniej w firmy.

    Kampanie medialne prowadzone przez agencje pozwalają na zatrudnienie fachowców i tego też spodziewają się klienci – niestety takie akcje psują rynek.

  8. Jakaś tam agencja to nic. Ja przez pół roku cieszyłem się z root shella na jednym z serwerów jednego z uniwersytetów w Amsterdamie (serwer hostujący kilkadziesiąt stron). Doszedłem do tego luka po luce, a możnaby powiedzieć fail po failu – bo takie luki to nawet mój kot (którego nie mam) by znalazł:
    1. publiczny phpMyAdmin
    2. Hasło do root mysql puste
    3. W jednej z baz wszystkie hasła plaintekstem, w tym hasło konta “admin” do jakiegoś wewnętrznego zarządzacza
    4. SSH na porcie 22, logowanie na konto root z passphrase dozwolone – loguję się root z hasłem dla tego konta “admin” – wita mnie bash z shella
    5. ???
    6. PROFIT!!!
    7. po pół roku dopiero ktoś się zorientował (i przeinstalował system), bo pewnie zauważyli że “coś” im trafficu za dużo zjada (to było gdzieś w 2005, więc torrentowanie z shella 200Mbitowego było całkiem przyjemne)
    8. przeinstalowali system i znalazłem nowe luki, ale stwierdziłem że już nie będę się pastwił nad nimi i napisałem e-mail do admina – luki załatali

    Nie mam to jak “best practices” i puste haslo :D

  9. No bez jaj… To ja na “nijakim” hostingu który daję znajomym mam hasło na roota do mysqla które łamie się kilkadziesiąt lat około! Wpadka konkretna, szczególnie jak w firmie byli jacyś poważni klienci…

  10. Kraków ma takie wpadki. Kiedyś krakowski PKS miał sql injecta na swojej stronie i można było wyczyścić rozkład jazdy busów. Nie wiem czy tej bazy używali też na dworcu czy to była osobna baza ;P

  11. Po tym, jak okazało się, że administratorzy jednej z krakowskich firm hostingowych (dość znana firma, choć nie w top3 w PL) nie znają składni chmod, to już nic mnie nie zdziwi.

  12. Chyba jestem za głupi ale może mi ktoś wytłumaczyć w jakim to przypadku skrypt koniecznie musi posiadać dostęp do bazy bez hasła, tym bardziej że to przecież oczywisty banał.Więc moim zdaniem to nie żadne ułatwienie tylko zwykłe lecenie w kulki.

  13. netart jest chyba z Wieliczki, nie Krakowa :)

  14. Dawno temu mialem problem z dostepem do bazy danych na boo.pl, admin nie tylko mi pomogl, ale w prezencie otrzymalem prawa root’a na MySQL/phpMyAdmin:)

  15. @asq, myślałem, że to joke, ale tak sobie popatrzyłem….

    1. netart zaczął używać nazwy agencja interaktywna, co prawda na jedną ze spółek

    2. Dostałem maila:
    ——————
    Szanowni Państwo,

    Informujemy, iż w dniu 05.04.2011 r. zmianie ulegnie środowisko, w którym utrzymywane są Państwa serwery. Wprowadzenie nowego środowiska nie tylko zwiększy wydajność platform serwerowych, ale pozwoli również wdrożyć dodatkowe mechanizmy ochrony, które znacząco wpłyną na bezpieczeństwo usług.

    W związku z planowanym wdrożeniem, aby mogli Państwo przystosować serwisy do ewentualnych różnic, prosimy o przeprowadzenie testów serwisów. Wykonanie testów jest możliwe od dnia 08.03.2011 r. do 04.04.2011 r. w specjalnie uruchomionych do tego celu środowiskach testowych na portach 81 oraz 444: http://twojanazwa.pl:81/ oraz https://twojanazwa.pl:444/.
    (…)

    Zespół NetArt
    —————–
    Nie monitoruję tego na bieżąco, bo mam u nich tylko usługę gratis z jakichś punktów promo, której zupełnie nie używam.

    @Piotr Konieczny,
    a czy możesz zaprzeczyć, że to netart tak popisał się?

    Chciałbym to wiedzieć, bo gdzieś kiedyś poleciłem netart klientom, którzy samodzielnie jakieś tam www skrobali – mimo wyższej ceny widziałem tam zalety.

    • W tym przypadku to nie netart. O netarcie napiszemy innym razem ;)

    • “05.04.2011 r” hmm, nie ma problemu to dopiero w przyszłym miesiącu.

    • Nie no coś mi się pomyliło, przepraszam, za bezsensowny komentarz…

  16. i tak lepiej kiedy nie napisali
    “dziekujemy za przyjęcie zgłoszenia, nasz TEAM dokłada wszelkich starań by system działał sprawnie i bezbiecznie, w razie watpliwości prosze skontaktować sie z biurem obslugi intersantow”
    przynajmniej wysilili sie na jakąkolwiek nieschematyczna odpowiedz :D

  17. Dlaczego nazwa agencji jest ukrywana?

  18. dziękujemy za przyjęcie zgłoszenia? ciekawe, ciekawe… ;>

  19. @Piotr,

    To nie ujawniacie, bo przeprowadzaliście im pentest, czy nie ujawniacie z innych powodów/konszachtów? :>

  20. Nie ujawniają bo nie jest to jedyny przypadek i była by to zagrywka nie fairplay. Innych przypadków nie mogą ujawnić ze względu na zapiski w umowie i tu koło się zamyka…

  21. Te agencje interaktywne to jakiś żart. Ale czego można oczekiwać, jak wszyscy tną równo koszty. Dobry admin kosztuje, a za grosze to można sobie pana Zdzicha zatrudnić, co pare książek helionu przeczytał. Ich wymówka też jest śmieszna – po prostu pewnie skrypt instalacyjny mysql nie miał kroku pt. “ustaw hasło root”, to sobie chłopaki odpuścili.

  22. Z tymi agencjami jest różnie i trzeba odzielić ziarna od plew :)
    Nie zawsze jest to wina adminów systemowych bo dużą rolę – nie mówię w tym przypadku akurat – odgrywają programiści , którzy są nieudolni, leniwi, i zwalają praca na innych. Zapewne większość z przedmówców miała z tym styczność np. chmod 777 na pliki – bo koderowi niechce sie poprawiac (bo wg niego to nie jego wina) czy nawet napisanie skryptów które umożliwiaja wstrzykiwanie kodu czy inne rodzaje ataków. Dlatego powinno i musi być scisłą współpraca miedzy adminami a koderami bez spychologii.

    Pozdrawiam

  23. Czy tylko ja mam odczucie, ze ostatnio cala amatorszczyzna polubila nazywac siebie agencjami interkatywnymi? Najfajniejsze sa agencje reklamowe, ktore plagiatuja texty. Oh yeah.

    • Bo sama nazwa Agencja Interaktywna brzmi bardziej profesjonalno-zajebisciej niz agencja reklamowa. Jak to oni mówią Bo my mamy dostęp do nowych technologii ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: