|
Apache是全球使用最多的Web Server之一��,近期Apache的官網(wǎng)被黑客入侵了��,素包子根據(jù)apache網(wǎng)站的描述����,分析了下黑客的思路����。大概包含5個過程,雖然道路曲折��,但黑客快速通關(guān)��,一步一步的接近目標(biāo)��,有很多可圈可點的地方��,還是相當(dāng)精彩的����?上ё詈髉eople.apache.org沒搞下來�����,否則可以寫小說拍電影了��,不過男女主角不能是aXi和aJiao�。
1、通過跨站漏洞社工了幾個管理員��,獲得JIRA(一個項目管理程序)后臺管理權(quán)限�����,并修改相關(guān)設(shè)置��,上傳jsp木馬����。
2、在后臺看到其他用戶的帳號��,通過登陸入口暴力跑密碼���,破解了幾百個帳號����。
官方說是“At the same time as the XSS attack”����,我不這么認(rèn)為���,我認(rèn)為是獲取后臺之后,能看到帳號了��,才可以高效率的破解密碼�����。如果不通過后臺就可以破解幾百個帳號��,那這個事情早就發(fā)生了����。
3、部署了一個JAR�,可以記錄登陸帳號及密碼,然后用JIRA的系統(tǒng)發(fā)郵件給apache的管理人員說:“JIRA出現(xiàn)故障了�,請你使用郵件里的臨時密碼登陸,并修改密碼”����,相關(guān)人員登陸了,并把密碼修改成自己常用的密碼��,當(dāng)然,這些密碼都被記錄下來了 :)
4���、正如黑客所算計的�����,上述被記錄的密碼中,有密碼可以登陸brutus.apache.org���,更讓黑客開心和省心的是��,這個可以登陸的帳號竟然具備完全的sodu權(quán)限(不知道包子是不是想打sudo�?)��,提權(quán)都不用提了����,直接就是root,真是爽的一塌糊涂啊����。而這個被root的brutus.apache.org上面跑著JIRA、Confluence和Bugzilla����。
5��、brutus.apache.org上的部分用戶保存了subversion的密碼��,黑客用這些密碼登陸了people.apache.org���,但是并沒獲得其他權(quán)限。這個people.apache.org可是apache的主服務(wù)器之一�����,如果root了這個機器����,那基本可以獲得所有apache主要人員的密碼了���?上����,黑客們功虧一簣��。
整個故事到此結(jié)束,下面說說Apache是如何發(fā)現(xiàn)自己被入侵的�。
根據(jù)apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”,我猜測apache是因為黑客重設(shè)了用戶密碼這個行為才發(fā)現(xiàn)被入侵的�����。
如果說的是黑客重設(shè)的是JIRA的密碼��,那么就是因為黑客做戲沒做足全套導(dǎo)致的�,可能apache管理人員上去看之后,發(fā)現(xiàn)沒啥問題�,被忽悠了����。
如果說的是黑客重設(shè)其他密碼,我想不到整個過程中還需要重設(shè)什么其他的密碼���。
我還是對apache的安全措施非常好奇����,到底是如何發(fā)現(xiàn)的�?到底是相關(guān)人員安全敏感度高呢,還是黑客留下了一些痕跡被安全檢查措施發(fā)現(xiàn)了�����。如果是后者的話,檢查周期又是多長呢����?24小時?
經(jīng)驗教訓(xùn):
回頭再看看黑客的整個攻擊過程�,素包子相信在細(xì)節(jié)上會有很多可以吸取教訓(xùn)的地方。從長遠(yuǎn)來看��,可以加強安全意識培訓(xùn)�����、實施SDL安全開發(fā)生命周期�����、日志集中分析�����、主機入侵檢測系統(tǒng)等等����,這些都是需要企業(yè)的安全部門長期投入去做的事情;相對短平快的方法是要求重要的人員、重要的應(yīng)用�、重要的系統(tǒng)使用雙因素動態(tài)密碼認(rèn)證。
51CTO王文文:萬千開源愛好者追捧的Apache�����,官網(wǎng)又一次被搞了����。我記得2009年那會剛被黑過,2010年春天再次上演�。有意思的是,似乎每次都被黑客拿到apache.org的最高權(quán)限����,我記得09年前有一次是被社工旁路搞進(jìn)去了�,不過那次黑客沒做破壞,友情提示后就公開了入侵過程�����。這回的被黑事件也挺雷人����,居然能直接調(diào)用root權(quán)限?!����!Oh My Lady GaGa!就算是免費的開源產(chǎn)品�����,也要有點敬業(yè)精神吧�。另外,Apache的運維兄弟們�����,是不是得去鞏固一下安全課程了�?
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
