|
Apache是全球使用最多的Web Server之一,近期Apache的官網(wǎng)被黑客入侵了�����,素包子根據(jù)apache網(wǎng)站的描述�����,分析了下黑客的思路�����。大概包含5個(gè)過程��,雖然道路曲折���,但黑客快速通關(guān)�����,一步一步的接近目標(biāo)���,有很多可圈可點(diǎn)的地方�����,還是相當(dāng)精彩的�����?上ё詈髉eople.apache.org沒搞下來����,否則可以寫小說拍電影了,不過男女主角不能是aXi和aJiao�。
1、通過跨站漏洞社工了幾個(gè)管理員��,獲得JIRA(一個(gè)項(xiàng)目管理程序)后臺(tái)管理權(quán)限�,并修改相關(guān)設(shè)置,上傳jsp木馬。
2����、在后臺(tái)看到其他用戶的帳號(hào),通過登陸入口暴力跑密碼�,破解了幾百個(gè)帳號(hào)。
官方說是“At the same time as the XSS attack”�����,我不這么認(rèn)為��,我認(rèn)為是獲取后臺(tái)之后����,能看到帳號(hào)了,才可以高效率的破解密碼��。如果不通過后臺(tái)就可以破解幾百個(gè)帳號(hào)�����,那這個(gè)事情早就發(fā)生了��。
3���、部署了一個(gè)JAR����,可以記錄登陸帳號(hào)及密碼,然后用JIRA的系統(tǒng)發(fā)郵件給apache的管理人員說:“JIRA出現(xiàn)故障了����,請(qǐng)你使用郵件里的臨時(shí)密碼登陸,并修改密碼”�����,相關(guān)人員登陸了����,并把密碼修改成自己常用的密碼�����,當(dāng)然�����,這些密碼都被記錄下來了 :)
4���、正如黑客所算計(jì)的�����,上述被記錄的密碼中�,有密碼可以登陸brutus.apache.org,更讓黑客開心和省心的是�,這個(gè)可以登陸的帳號(hào)竟然具備完全的sodu權(quán)限(不知道包子是不是想打sudo?)�,提權(quán)都不用提了,直接就是root�����,真是爽的一塌糊涂啊����。而這個(gè)被root的brutus.apache.org上面跑著JIRA、Confluence和Bugzilla�����。
5��、brutus.apache.org上的部分用戶保存了subversion的密碼����,黑客用這些密碼登陸了people.apache.org�����,但是并沒獲得其他權(quán)限�。這個(gè)people.apache.org可是apache的主服務(wù)器之一���,如果root了這個(gè)機(jī)器���,那基本可以獲得所有apache主要人員的密碼了�����?上�����,黑客們功虧一簣���。
整個(gè)故事到此結(jié)束,下面說說Apache是如何發(fā)現(xiàn)自己被入侵的��。
根據(jù)apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”,我猜測(cè)apache是因?yàn)楹诳椭卦O(shè)了用戶密碼這個(gè)行為才發(fā)現(xiàn)被入侵的�����。
如果說的是黑客重設(shè)的是JIRA的密碼�����,那么就是因?yàn)楹诳妥鰬驔]做足全套導(dǎo)致的��,可能apache管理人員上去看之后���,發(fā)現(xiàn)沒啥問題���,被忽悠了。
如果說的是黑客重設(shè)其他密碼���,我想不到整個(gè)過程中還需要重設(shè)什么其他的密碼�。
我還是對(duì)apache的安全措施非常好奇��,到底是如何發(fā)現(xiàn)的�����?到底是相關(guān)人員安全敏感度高呢,還是黑客留下了一些痕跡被安全檢查措施發(fā)現(xiàn)了��。如果是后者的話���,檢查周期又是多長(zhǎng)呢�?24小時(shí)����?
經(jīng)驗(yàn)教訓(xùn):
回頭再看看黑客的整個(gè)攻擊過程,素包子相信在細(xì)節(jié)上會(huì)有很多可以吸取教訓(xùn)的地方���。從長(zhǎng)遠(yuǎn)來看�����,可以加強(qiáng)安全意識(shí)培訓(xùn)���、實(shí)施SDL安全開發(fā)生命周期、日志集中分析���、主機(jī)入侵檢測(cè)系統(tǒng)等等,這些都是需要企業(yè)的安全部門長(zhǎng)期投入去做的事情���;相對(duì)短平快的方法是要求重要的人員�、重要的應(yīng)用、重要的系統(tǒng)使用雙因素動(dòng)態(tài)密碼認(rèn)證�。
51CTO王文文:萬千開源愛好者追捧的Apache,官網(wǎng)又一次被搞了��。我記得2009年那會(huì)剛被黑過��,2010年春天再次上演��。有意思的是�����,似乎每次都被黑客拿到apache.org的最高權(quán)限���,我記得09年前有一次是被社工旁路搞進(jìn)去了�,不過那次黑客沒做破壞�����,友情提示后就公開了入侵過程�。這回的被黑事件也挺雷人,居然能直接調(diào)用root權(quán)限?�������!Oh My Lady GaGa����!就算是免費(fèi)的開源產(chǎn)品,也要有點(diǎn)敬業(yè)精神吧����。另外,Apache的運(yùn)維兄弟們�,是不是得去鞏固一下安全課程了?
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
