501 Not Implemented

Nu vet vi att phreak.org har en webserver på sin värddator. Servern heter thttpd, version 1.0. Vi misstänker också att den har en del buggar. Varför misstänker jag det? Det ser man på versionsnumret: 1.0. Gammalt program. Om jag vore teknisk administratör på phreak.org, skulle jag snabbt byta till ett bättre program att köra i port 80 innan någon listar ut hur man får root-rättighet här. Buggig kod visar ofta en slapp attityd gentemot anrop på root-rättigheter. På en webserver ger man användarna endast läsrättigheter på användarkonton och html-filer.Så det är frestande att testa om det går att få root-rättighet. Och ett program som söker root-rättigheter, kan krascha och "ge" dig root. ************************************************************************************ Nybörjartips: Root! Den rättigheten är höjdpunkten för en crackare att få. "Root" är den rättighet på en dator som låter dig leka gud. Det är kontot som låter dig nå alla andra konton och du kan läsa och modifiera vilken fil som helst. Med rooträttighet kan du förstöra all data på den dator du befinner dig. Men undvik detta om du inte vill att lagen knackar på din dörr en vacker dag. ************************************************************************************ Det är allt för frestande så jag gör ett test: telnet phreak.org 80 Som ger: Trying 204.75.33.33 ... Connected to phreak.org. Escape character is '^]'. Eftersom programmet i port 80 kopplar ner bara på några sekunder, var jag klar med överföring av ett kommando, som snabbt klistrade in följande kommando:

thttpd/1.00 Det här ger mig information om programmet i port 80 på phreak.org: HTTP/1.0 501 Not Implemented Server: thttpd/1.00 Content-type: text/html Last-modified: Thu, 22-Aug-96 19:45:15 GMT 501 Not Implemented

501 Not Implemented

The requested method '

thttpd/1.00

Connection closed by foreign host. Ok - vad är thttpd? Jag gör en snabb sökning med Altavista på nätet och jag får svaret: "A small, portable, fast, and secure HTTP server. The tiny/turbo/throttling HTTP server does not fork and is very careful about memory..." Men har programmeraren funderat på hur man skall göra det utan att ha root-rättigheter? Testar bara på skoj att koppla upp mig till URL acme.org men får svaret "does not have a DNS entry". Så det innebär att datorn inte är uppe. Whois gav mig dock informationen att den är registrerad hos Internic. Verkar som det skulle vara taskig programvara som dessutom körs i en port. Dags att bryta sig in! Vilken frestelse!!!!! Här ser vi åter igen en schizofren inställning. Sysadmin på phreak.org bryr sig tillräckligt mycket om säkerhet för att reklamera sin web-server som säker. Men programvaran visar tydliga tecken på säkerhetsbrister. Slutsatsen blir att phreak.org har en web-plats men den kan nås bara ibland eftersom dess värdserver ofta är nerkopplad. ******************************************************************************** Gå-i-fängelse-varning: Blir du lika frestad som jag? Dessa figurer har den notoriska cracker porten 79 öppen, OCH en buggig port 80. Men jag säger åter igen - Det är olagligt att bryta sig in i privata datorer och du kan åka dit om du frestas att ta dig in. Och även om du tycker att datorn har olagligt material är det bara lagen som kan stoppa just den här web-sidan. ******************************************************************************** Om det nu skulle vara så att det finns material på en websida som du vet inte är lagligt eller på något annat sätt är stötande, kan du skicka ett email till ISP:en med klagomål på websidan. I det här fallet kollar jag vilka som äger servern med kommandot: whois PC.PPP.ABLECOM.NET Jag får svaret: [No name] (PC12-HST) Hostname: PC.PPP.ABLECOM.NET Address: 204.75.33.33 System: Sun 4/110 running SunOS 4.1.3 Record last updated on 30-Apr-95 Eftersom det inte finns några kontakter listade här, kan man testa att maila till postmaster@ABLECOM.net. Jag kollar nästa ISP: whois ASYLUM.ASYLUM.ORG Och får: [No name] (ASYLUM4-HST) Hostname: ASYLUM.ASYLUM.ORG Address: 205.217.4.17 System: ? running ? Record last updated on 30-Apr-96. Åter igen skulle jag maila postmaster@ASYLUM.ORG Jag kollar sista ISP:en: whois NS.NEXCHI.NET Och får: NEXUS-Chicago (BUDDH-HST) 1223 W North Shore, Suite 1E Chicago, IL 60626 Hostname: NS.NEXCHI.NET Address: 204.95.8.2 System: Sun running Unix Coordinator: Torres, Walter (WT51) walter-t@MSN.COM 312-352-1200 Record last updated on 31-Dec-95. I det här fallet skulle jag skriva till walter-t@MSN.COM och berätta om websidan. Jag skulle också skicka klagomål till postmaster@PC.PPP.ABLECOM.NET och till postmaster@ASYLUM.ASYLUM.ORG. That's it! Istället för att dra igång ett hacker-krig, som kan leda till fängelse, skriv ner dina klagomål och skicka dina klagomål till de personer som har makten och lagen i sina händer. Det är lättare att göra så här än att försöka bekämpa taskiga sidor innifrån ett fängelse. *********************************************************************************** Varning: Om du brinner av iver att försöka "krascha" till root via thttpd-porten på phreak.org - gör inte det! Sysadmin på den här datorn kommer att lägga märke till alla skumma försök att bryta sig in, och han kan via sin loggfil ta reda på vem du är och klaga till din ISP. *********************************************************************************** *********************************************************************************** Tips: Symptomen hos en thttpd-port att vara 'hackbar', kräver att du installerar Linux på din maskin. När du en gång har fått igång Linux, skall du installera thttpd. Sedan kan du experimentera på din egen burk. Om du skulle hitta en allvarlig bug i thttpd-porten på någon dator - vad skall du göra? Radera alla html-filer? Nej. Bästa sättet vore att kontakta Computer Response Team (CERT) på adress http://cert.org och underrätta dem. De kan sedan skicka ut en varning. Du blir hjälte och kan ta jobb som säkerhetsexpert på något dataföretag. Detta är betydligt roligare än att hamna i fängelse. Tro mig. ************************************************************************************** Det var allt för den gången. Skicka gärna intressanta bidrag till Happy Hacker. Och kom ihåg - undvik att åka fast!!! _______________________________________________________________________________________________ Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna: http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan) http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] http://www.silitoad.org http://www.anet-chi.com/~dsweir http://www.ilf.net/brotherhood/ http://www.magnum44.com/orion/entry.htm http://home.pages.de/~ristridin http://www.axess.com/users/wookie/Hack.htm http://home2.swipnet.se/~w-25277/ http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html Du kan prenumerera på diskussions listan genom att skicka e-post till hacker@techbroker.com med meddelandet "subscribe" . Det här är den amerikanska sidan och all info är på engelska. Om du vill dela med dig av tips eller rätta saker du tycker är fel- skicka meddelande till hacker@techbroker.com Om du vill skicka konfidentiell post (på engelska) - inga frågor om illegal hacking - till mig - skicka till cmeinel@techbroker.com och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. Skicka alla flames till /dev/null. Copyright 1997 Carolyn P. Meinel. Du kan lägga upp den här guiden på din sida om du behåller de här sista raderna: _____________________________________________________________________________________ Svensk översättning: Björn Lindblom Februari 1998 ______________________________________________________________________________________ Carolyn Meinel M/B Research -- The Technology Brokers