TL;DR git versijas kontrole bija publiski pieejama (lai gan noslēpta), kas ļāva jebkuram lejupielādēt spoki.tvnet.lv lapas visu kodu, analizēt to & veikt tēmētu uzbrukumu. http://spoki.tvnet.lv/.git/
Par šo kļūdu esmu ziņojis spokiem administrāciju un tā ir novērsta - vairs nesanāks.
Kas ir versijas kontrole?
Lai saprastu šādu uzbrukuma veidu, pa priekšu ir jāzina, kas ir versijas kontrole. Ir pieejami dažādi versijas kontroles - svn, git, mercurial. Spoki izmanto git.
Tātad, kas ir versijas kontrole? Kā jau nosaukums vēsta, tā ļauj “versionēt” kaut ko - šajā gadījumā kodu. To bieži vien izmanto, lai saglabātu visu savu izmaiņu vēsturi & ļautu vairākiem programmētājiem strādāt ar vienu un to pašu kodu vienlaicīgi.
Ir dažādi uzbrukuma veidi, ko var veikt uz kādu mājaslapu - sql injekcijas, xss, race condition u.c. Toties, lai veiktu tos ir aptuveni jāzina kā iekšējā sistēma strādā, lai tu zini, ko tēmēt. Ja tu redzi kodu, atrast ievainojamības ir daudz vienkāršāk.
Kā es to panācu?
Nejauši uzgāju statistiku, ka vidēji 1 no 600 lapām ir .git mape ir publiski pieejama. Cik nu patiesi tas ir, nezinu, bet iedomājos ātri pārbaudīt dažas lapas.
Pirmais solis, protams, ir aiziet uz šo mapi - http://spoki.tvnet.lv/.git/. Uzreiz uzmetās 403 errors, jeb pieeja liegta. Tas lika domāt šī mape tiešām eksistē.
Lai gan mapes saturu es redzēt nevarēju, pašus failus, zinot to nosaukumus, varēja apskatīt. Piemēram, /.git/HEAD strādāja un rādīja pēdējās “rīcības” (commit) hashu. Ar to neko baigi panākt nevarēju.
Dotajā brīdī atrados uz ubuntu vides un caur komandrindu mēģināju rekursīvi lejupielādēt šo mapi ar wget. Protams, ka nesanāca, jo wget nezināja failu struktūru. Ar kolēģa (Matīsa) ieteikumu, pamēģināju vienkārši noklonēt (git clone) šo mapi, jo pats git zinās failu struktūru un viņam tas nav jāredz - par manu pārseigumu izdevās.
Ieguvu visu spoki.tvnet.lv pirmkodu. Ko nu?
Apskatot versijas kontroles vēsturi, atradu kā sauca programmētāja vārdu (Sveiks, Mārtiņ) un, ka git sākts izmantots 2013 gada jūlijā; ko pirms tam izmantoja, nav je jausmas. Bet tas viss ir lieks.
Sāku pētīt kādus goodyhut kodā ieraudzīšu. Nekādas paroles un apikey versijas kontrolē nebija ielikti - gudri. Lai gan, ja kādam interesētu tas pietiekami, varētu arī tās iegūt. Tagad atlika 2 izvēles:
1) Pasaules dominance;
2) Kontaktēties ar viņiem un paziņot par šo kļūdu.
Pirmā opcija izklausās ļoti vilinoša, bet ar pašreizējiem resursiem nedaudz grūti izpildāma.. nu neko, nākamreiz.
Atliek otrā, garlaicīgā opcija - kontaktēties ar jacky. Kļūdu “izlaboja” ~1 stundas laikā.
Ir dzirdēti gadījumi, kad “uzlaužot” kādu sistēmu un paziņojot par to, tiek vazāts pa tiesām. Prieks, ka šoreiz tā nebija - epasta ziņu apmaiņu laikā man pateica paldies veselas 6 reizes.
Kā no tā izvairīties? .git mapei nekad nevajadzētu būt publiskai. Tik vienkārši.
Pieļauju, ka šis drošības caurums bija pieejams visus 2 gadus kopš viņi ieviesa git.
Lai gan nekādas paroles izpaustas netika, pastāvēja potenciāls tās iegūt.
Būtu labāk kādus privātos spoku meiteņu foto uzhakojis, nē, čalis kļūdas meklē 
Kad šo visu lasiju es sapratu šādi
Aprēķinot kvadrātsakni no pī vērtības atņemot rona vīzlija matu krāsu pieskaitot aritmētisko vidējo mēs iegūstam putnus kokā, tikai cik?
Apmēram tā 
1) spoki kods nekad nav bijis noslēpums
2) šis bija serveru admina fails, kurš vispār ir ļoti kompetents džeks, bet nu visiem var gadīties..
3) kas attiecās uz hakošanu, tad viens igauņu hakeris reiz mācīja: atrast sql injekciju nav nekāds haks, bet dabūt datus laukā, tas jau ir haks un nevienmēr tas ir viens un tas pats!
4) iepriekš lietoja svn. jā, caurums, visdrīzāk, bija 2 gadus..
5) autoram: tvnets ik pa laikam meklē koderus 
Nu šis izskatās pēc nepilnīgi nokonfigurēta webservera. Jo pirms by default uzlikt chmod 644 vēl stipri jāpiedomā pie .htaccess satura. Zinu ka pats daudz kur grēkoju, bet nopietniem pasākumiem nākas dažreiz pat vesalu dienu nosēdēt ar Nikto un Backtrack testējot drošību un veicot izmaiņas. Pie kam pie sarežģītākas konfigurācijas, to nepieciešams veikt nevis vienam bet X skaitam serveru. Nākošais pie kā var sēdēt vēl pāris dienas ir MySQL sekūrošana, tas pasākums ir vēl piņķerīgāks, parasti džekam kurš to dara vēl nepieciešams visu laiku trenkāt progeri, kurš raksta kodu, jo rets būs gadījums, kad to veiks viens cilvēks un vienlīdz labi pārzinās drošību un kodēšanu.
You don't have permission to access /.git/ on this server.
