Глава, в которой Интернет-сумасшедший бродит по бескрайний просторам Байнета и обнаруживает там несколько интересных вещей: Поиск по белорусским блогам от Akavita и готовый вот-вот запуститься сервис блогов от Tut.by.

Доктор сидел у окна и думал. Думал он о том, что жизнь очень странная штука. Даже писатели фантасты не могли придумать термин, который он пытался осмыслить, глядя в карточку лежащую перед ним «привезен в больницу интернет-вдовой». Интернет-вдовой! Доктор включил диктофон и опять услышал знакомый голос. Он снова рассказывал о вещах далеких от интересов Доктора, но заставлял прислушиваться…

Сегодня (неразбочиво) мною был обнаружен «Поиск по блогам» от белорусской компании «Akavita». На мои вопросы любезно согласился ответить “штатный антикреативщик” Леонид Муравьев.

- Добрый день. Помучил Ваш «Поиск по блогам» запросами, в принципе, остался удовлетворен ответами. Например, его не поставил в тупик, набранный в русской раскладке «Гуралюк» - безошибочно на первом месте ЖЖ Юрия, а тот же “Яндекс” спасовал. Что за движок используется для поиска?

- Да, иногда наш поиск работает, бывает и такое Движок - собственная разработка, на основе свободных компонентов.

- Почему только поиск по белорусским блогам? Это позиция «Akavita» или можно ждать «полного» конкурента «Google» и «Яндекс-блогам»?

- Это наш маленький фан, подарок тем, кому небезразлично мнение белорусских пользователей. Посему полного функционала не будет. Просто потому что есть люди, которые сделают его лучше.

- У «Akavita» есть рейтинг белорусских сайтов, а пресс-релизе есть такая фраза «также ожидайте в ближайшее время подробную статистику по пользователям livejournal и их интересам». Отсюда вопрос: Будет ли рейтинг блогов в вашем исполнении?

- Рейтинг блогов в формате “Яблоговского” - нет. Отдельная категория в рейтинге - да. Статистика по пользователям livejournal либо появится в рамках аналитического проекта СтАн, либо будет опубликована отдельно - мы не оценили пока насколько это востребовано.

- Федор Короленко ведет Живой Журнал, где собирает «Беларускія ЖЖ-суполкі» можно назвать несколько наиболее интересных?

- Да, Федор собирал список сообществ, было дело. К сожалению, не достучался до него, а сам кроме minsk_by ничего не читаю. Думаю, опубликуем вместе с данными об интересах.

Интернет перестал быть простым хранилищем информации уже очень давно. Конечно, первые его пользователи посещали Сеть именно в поисках конкретной информации, однако теперь все по-другому. Теперь Сеть доступна миллионам людей, которым просто интересно общаться.

Если не брать во внимание всевозможные форумы и доски объявлений, то первым сервисом, «соединяющим» людей, был LiveJournal. Наверняка, у тебя самого есть свой живой журнал. Однако LJ хоть и предоставил нескольким миллионам пользователей возможность выразить свои мысли и поделиться переживаниями, все же не дал им удобных средств связи – не смог объединить в одно по-настоящему большое и по-настоящему единое сообщество. Что нужно сделать, чтобы твой блог читали и комментировали? Безусловно, нужно быть интересным человеком, умелым рассказчиком и быть в теме о том, о чем пишешь (если блог тематический). Но этого все равно будет мало. Блог надо раскручивать. Блогом надо заниматься. Проблема заключается в том, что это дело несколько более сложное, нежели чем регистрация на сервисе. Разными людьми проблема решается по-разному, в основном это простая рассылка линка на пост по контакт-листу ICQ, что, как правило, не дает никакого результата. Довольно удачным решением проблемы стал сервис Яндекс.Блоги. Однако даже после его появления осталось ощущение того, что не хватает какого-то связующего звена, а может, двух. Эти звенья нашел Денис Крючков – основатель и руководитель проекта Хабрахабр.

Помнишь, как модно было раньше иметь пейджер? И как через несколько лет ему на смену пришел сотовый телефон? Если провести такую же аналогию в интернете, то на сегодняшний день мегапопулярно иметь свой ЖЖ - Живой Журнал. Сайт Livejournal.com хостит у себя дневники пиплов, которые изливают свои жизненные проблемы и веселые креативы на виртуальных страницах в ожидании тысячи комментариев от читающих. Естественно, среди ЖЖистов можно выделить некую элиту с огромным количеством friends off, то бишь с нехилой аудиторией читателей. Для нас спортивным интересом является заиметь аккаунт элитного писаки и подна, извини, срать ему, запостив разоблачающую правду о том, как он в 10 лет украл щенка и отрезал ему ухо. Но ближе к делу. Как ты уже узнал из соответствующей статьи во взломе этого номера, хакерская атака обрушилась на портал картинок ЖЖистов - lj.com.ua. На этом сайте любой ЖЖ-юзер может хранить свои картинки с последующим выкладыванием их к себе в журнал. После первого поверхностного осмотра я нашел баг, позволяющий переименовывать любой файл. Таким образом, уже через минуту передо мной красовался /etc/passwd.

Брутать аккаунты мне не хотелось - большинство из них не имело валидного шелла. Мне в голову пришла более изысканная идея - создать изображение, в котором помещался PHP-код (в виде комментария), затем переименовать картинку в test.php и обратиться к скрипту. По всем правилам upload-скрипт позволит залить изображение, а баг в сценарии разрешит переименование. Буквально через пять минут я воплотил идею в жизнь и получил рабочий PHP-шелл. Правда, мне постоянно приходилось перенаправлять вывод команды в файл, а затем обращаться к нему. Поэтому я просто вызвал wget и скачал полнофункциональный PHP-шелл.

Далее мне нужно было скачать MySQL-базу пользователей. Здесь тоже не обошлось без ухищрений. Ушлый администратор запретил доступ к каталогу /inc, где располагались скрипты аутентификации с БД. Для обхода ограничений я воспользовался эксплойтом для ядра 2.6 от raptor. Он позволил изменить группу доступа к папке inc, с последующим считыванием сценария values.php. В нем, как ты, наверное, догадался, располагались четыре переменные, позволяющие слить дамп таблицы users. Именно этот шаг я и сделал, используя возможности mysqldump.

Затем наступил самый интересный момент. Я нашел в базе аккаунт пользователя h1nt и попытался залогиниться под ним. Все прошло без проблем – я попал внутрь, однако отправить сообщение не смог. Это обуславливалось тем, что пароль на livejournal.com отличался от текущего пассворда. Видимо, ушлый h1nt почуял неладное и сменил пароль. Но отчаиваться смысла не было, так как у меня в руках была полная база рунетового ЖЖ. Здесь было над кем подшутить.