Security

保護網路伺服器

  • June 8, 2009

我正在閱讀一篇關於最近被黑客入侵的網站 (astalavista.com) 的文章。

肇事者寫下了他是如何做到的:

http://pastebin.com/f751e9f5b

我們可以從中學到什麼來更好地保護 Web 伺服器?

讓我困惑的一件事:

   [+] Connecting to astalavista.com:80
   [+] Grabbing banner...
           LiteSpeed
   [+] Injecting shellcode...
   [-] Wait for it
  
   [~] We g0tshell
           uname -a: Linux asta1.astalavistaserver.com 2.6.18-128.1.10.el5 #1 SMP Thu May 7 10:35:59 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
           ID: uid=100(apache) gid=500(apache) groups=500(apache)

我試圖搜尋 Litespeed 中是否存在任何遠端注入漏洞,但我找不到任何漏洞。有人聲稱核心容易受到 vmsplice() 漏洞的影響,但這是否仍然需要任意程式碼執行?

另一件事

mysql> select username,password,email from contrexx_access_users where is_admin = 1;
+------------+----------------------------------+-----------------------------+
| username   | password                         | email                       |
+------------+----------------------------------+-----------------------------+
| system     | 0defe9e458e745625fffbc215d7801c5 | info@comvation.com          |
| prozac     | 1f65f06d9758599e9ad27cf9707f92b5 | prozac@astalavista.com      |
| Be1er0ph0r | 78d164dc7f57cc142f07b1b4629b958a | paulo.santos@astalavista.ch |
| schmid     | 0defe9e458e745625fffbc215d7801c5 | ivan.schmid@comvation.com   |
+------------+----------------------------------+-----------------------------+

system:f82BN3+_*
Be1er0ph0r:belerophor4astacom
prozac:asta4cms!
commander:mpbdaagf6m
sykadul:ak29eral

他們是如何獲得長達 18 個字元的彩虹表覆蓋範圍的?那裡的 md5 彩虹表有多完整?

首先,一些觀察:

  • 即使抓取的橫幅是針對 LiteSpeed(Apache 替代品),最終的訪問也是通過 Apache 使用者進行的

  • 由於最初的訪問是通過 Apache 使用者進行的,因此這很可能是 Apache/LiteSpeed 級別的漏洞,而不是核心漏洞。

-.bash_history:又一個哎喲。

其次,如何更好地保護系統:

- 使用像OSSEC這樣的入侵檢測系統,會在關鍵文件被更改時提醒管理員。

  • 使用第 7 層(應用層)防火牆可能會過濾掉導致初始 Web 使用者妥協的錯誤輸入

  • 不要儲存使用者/客戶的密碼。始終使用鹽漬雜湊。

  • 不要勾選攻擊者。:)

最後,md5彩虹表的資源:

http://www.freerainbowtables.com/en/tables/md5/

http://project-rainbowcrack.com/table.htm

順便說一句,我同意Unknown,這就是我發布這些連結作為證據的原因。

類比學

引用自:https://serverfault.com/questions/20769