|
Apache是全球使用最多的Web Server之一�����,近期Apache的官網(wǎng)被黑客入侵了����,素包子根據(jù)apache網(wǎng)站的描述���,分析了下黑客的思路��。大概包含5個(gè)過程����,雖然道路曲折�����,但黑客快速通關(guān)��,一步一步的接近目標(biāo)���,有很多可圈可點(diǎn)的地方����,還是相當(dāng)精彩的����?上ё詈髉eople.apache.org沒搞下來,否則可以寫小說拍電影了���,不過男女主角不能是aXi和aJiao�。
1����、通過跨站漏洞社工了幾個(gè)管理員,獲得JIRA(一個(gè)項(xiàng)目管理程序)后臺(tái)管理權(quán)限���,并修改相關(guān)設(shè)置�����,上傳jsp木馬���。
2�、在后臺(tái)看到其他用戶的帳號(hào)����,通過登陸入口暴力跑密碼����,破解了幾百個(gè)帳號(hào)。
官方說是“At the same time as the XSS attack”���,我不這么認(rèn)為�����,我認(rèn)為是獲取后臺(tái)之后���,能看到帳號(hào)了,才可以高效率的破解密碼��。如果不通過后臺(tái)就可以破解幾百個(gè)帳號(hào)�,那這個(gè)事情早就發(fā)生了。
3����、部署了一個(gè)JAR�,可以記錄登陸帳號(hào)及密碼�,然后用JIRA的系統(tǒng)發(fā)郵件給apache的管理人員說:“JIRA出現(xiàn)故障了,請(qǐng)你使用郵件里的臨時(shí)密碼登陸�,并修改密碼”,相關(guān)人員登陸了�����,并把密碼修改成自己常用的密碼��,當(dāng)然��,這些密碼都被記錄下來了 :)
4�、正如黑客所算計(jì)的,上述被記錄的密碼中�,有密碼可以登陸brutus.apache.org,更讓黑客開心和省心的是����,這個(gè)可以登陸的帳號(hào)竟然具備完全的sodu權(quán)限(不知道包子是不是想打sudo?)��,提權(quán)都不用提了�����,直接就是root,真是爽的一塌糊涂啊��。而這個(gè)被root的brutus.apache.org上面跑著JIRA�����、Confluence和Bugzilla�。
5�����、brutus.apache.org上的部分用戶保存了subversion的密碼��,黑客用這些密碼登陸了people.apache.org����,但是并沒獲得其他權(quán)限。這個(gè)people.apache.org可是apache的主服務(wù)器之一�,如果root了這個(gè)機(jī)器,那基本可以獲得所有apache主要人員的密碼了����?上В诳蛡児μ澮缓��。
整個(gè)故事到此結(jié)束��,下面說說Apache是如何發(fā)現(xiàn)自己被入侵的�。
根據(jù)apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”,我猜測apache是因?yàn)楹诳椭卦O(shè)了用戶密碼這個(gè)行為才發(fā)現(xiàn)被入侵的�����。
如果說的是黑客重設(shè)的是JIRA的密碼�,那么就是因?yàn)楹诳妥鰬驔]做足全套導(dǎo)致的,可能apache管理人員上去看之后�,發(fā)現(xiàn)沒啥問題,被忽悠了��。
如果說的是黑客重設(shè)其他密碼����,我想不到整個(gè)過程中還需要重設(shè)什么其他的密碼。
我還是對(duì)apache的安全措施非常好奇�����,到底是如何發(fā)現(xiàn)的�?到底是相關(guān)人員安全敏感度高呢���,還是黑客留下了一些痕跡被安全檢查措施發(fā)現(xiàn)了。如果是后者的話�,檢查周期又是多長呢?24小時(shí)�?
經(jīng)驗(yàn)教訓(xùn):
回頭再看看黑客的整個(gè)攻擊過程,素包子相信在細(xì)節(jié)上會(huì)有很多可以吸取教訓(xùn)的地方�����。從長遠(yuǎn)來看���,可以加強(qiáng)安全意識(shí)培訓(xùn)、實(shí)施SDL安全開發(fā)生命周期�����、日志集中分析����、主機(jī)入侵檢測系統(tǒng)等等,這些都是需要企業(yè)的安全部門長期投入去做的事情��;相對(duì)短平快的方法是要求重要的人員�����、重要的應(yīng)用、重要的系統(tǒng)使用雙因素動(dòng)態(tài)密碼認(rèn)證�。
51CTO王文文:萬千開源愛好者追捧的Apache,官網(wǎng)又一次被搞了����。我記得2009年那會(huì)剛被黑過,2010年春天再次上演���。有意思的是�,似乎每次都被黑客拿到apache.org的最高權(quán)限���,我記得09年前有一次是被社工旁路搞進(jìn)去了�����,不過那次黑客沒做破壞�,友情提示后就公開了入侵過程����。這回的被黑事件也挺雷人,居然能直接調(diào)用root權(quán)限����?���。h My Lady GaGa����!就算是免費(fèi)的開源產(chǎn)品,也要有點(diǎn)敬業(yè)精神吧����。另外,Apache的運(yùn)維兄弟們�����,是不是得去鞏固一下安全課程了���?
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
