|
Apache是全球使用最多的Web Server之一,近期Apache的官網被黑客入侵了,素包子根據apache網站的描述,分析了下黑客的思路�。大概包含5個過程�,雖然道路曲折�,但黑客快速通關�,一步一步的接近目標,有很多可圈可點的地方,還是相當精彩的������?上ё詈髉eople.apache.org沒搞下來,否則可以寫小說拍電影了,不過男女主角不能是aXi和aJiao��。
1�、通過跨站漏洞社工了幾個管理員,獲得JIRA(一個項目管理程序)后臺管理權限,并修改相關設置,上傳jsp木馬��。
2�、在后臺看到其他用戶的帳號,通過登陸入口暴力跑密碼��,破解了幾百個帳號�。
官方說是“At the same time as the XSS attack”,我不這么認為����,我認為是獲取后臺之后�,能看到帳號了,才可以高效率的破解密碼����。如果不通過后臺就可以破解幾百個帳號��,那這個事情早就發生了。
3�、部署了一個JAR�,可以記錄登陸帳號及密碼�,然后用JIRA的系統發郵件給apache的管理人員說:“JIRA出現故障了,請你使用郵件里的臨時密碼登陸����,并修改密碼”,相關人員登陸了,并把密碼修改成自己常用的密碼,當然����,這些密碼都被記錄下來了 :)
4��、正如黑客所算計的,上述被記錄的密碼中,有密碼可以登陸brutus.apache.org��,更讓黑客開心和省心的是�,這個可以登陸的帳號竟然具備完全的sodu權限(不知道包子是不是想打sudo?),提權都不用提了����,直接就是root��,真是爽的一塌糊涂啊。而這個被root的brutus.apache.org上面跑著JIRA、Confluence和Bugzilla。
5�、brutus.apache.org上的部分用戶保存了subversion的密碼�,黑客用這些密碼登陸了people.apache.org�,但是并沒獲得其他權限。這個people.apache.org可是apache的主服務器之一,如果root了這個機器��,那基本可以獲得所有apache主要人員的密碼了����?上В诳蛡児μ澮缓垺
整個故事到此結束����,下面說說Apache是如何發現自己被入侵的��。
根據apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”,我猜測apache是因為黑客重設了用戶密碼這個行為才發現被入侵的。
如果說的是黑客重設的是JIRA的密碼����,那么就是因為黑客做戲沒做足全套導致的�,可能apache管理人員上去看之后��,發現沒啥問題����,被忽悠了��。
如果說的是黑客重設其他密碼,我想不到整個過程中還需要重設什么其他的密碼�。
我還是對apache的安全措施非常好奇����,到底是如何發現的��?到底是相關人員安全敏感度高呢��,還是黑客留下了一些痕跡被安全檢查措施發現了。如果是后者的話��,檢查周期又是多長呢��?24小時����?
經驗教訓:
回頭再看看黑客的整個攻擊過程��,素包子相信在細節上會有很多可以吸取教訓的地方��。從長遠來看,可以加強安全意識培訓����、實施SDL安全開發生命周期��、日志集中分析、主機入侵檢測系統等等�,這些都是需要企業的安全部門長期投入去做的事情����;相對短平快的方法是要求重要的人員、重要的應用����、重要的系統使用雙因素動態密碼認證。
51CTO王文文:萬千開源愛好者追捧的Apache����,官網又一次被搞了����。我記得2009年那會剛被黑過����,2010年春天再次上演。有意思的是��,似乎每次都被黑客拿到apache.org的最高權限�,我記得09年前有一次是被社工旁路搞進去了,不過那次黑客沒做破壞����,友情提示后就公開了入侵過程�。這回的被黑事件也挺雷人��,居然能直接調用root權限����?�。h My Lady GaGa��!就算是免費的開源產品��,也要有點敬業精神吧�。另外����,Apache的運維兄弟們,是不是得去鞏固一下安全課程了��?
如果有需要服務器的租用與托管的敬請聯系QQ:1501281758(億恩星辰) 聯系電話:0371—63322220
本文出自:億恩科技【www.laynepeng.cn】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商����!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
