Security
保護網路伺服器
我正在閱讀一篇關於最近被黑客入侵的網站 (astalavista.com) 的文章。
肇事者寫下了他是如何做到的:
我們可以從中學到什麼來更好地保護 Web 伺服器?
讓我困惑的一件事:
[+] Connecting to astalavista.com:80 [+] Grabbing banner... LiteSpeed [+] Injecting shellcode... [-] Wait for it [~] We g0tshell uname -a: Linux asta1.astalavistaserver.com 2.6.18-128.1.10.el5 #1 SMP Thu May 7 10:35:59 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux ID: uid=100(apache) gid=500(apache) groups=500(apache)
我試圖搜尋 Litespeed 中是否存在任何遠端注入漏洞,但我找不到任何漏洞。有人聲稱核心容易受到 vmsplice() 漏洞的影響,但這是否仍然需要任意程式碼執行?
另一件事
mysql> select username,password,email from contrexx_access_users where is_admin = 1; +------------+----------------------------------+-----------------------------+ | username | password | email | +------------+----------------------------------+-----------------------------+ | system | 0defe9e458e745625fffbc215d7801c5 | info@comvation.com | | prozac | 1f65f06d9758599e9ad27cf9707f92b5 | prozac@astalavista.com | | Be1er0ph0r | 78d164dc7f57cc142f07b1b4629b958a | paulo.santos@astalavista.ch | | schmid | 0defe9e458e745625fffbc215d7801c5 | ivan.schmid@comvation.com | +------------+----------------------------------+-----------------------------+ system:f82BN3+_* Be1er0ph0r:belerophor4astacom prozac:asta4cms! commander:mpbdaagf6m sykadul:ak29eral
他們是如何獲得長達 18 個字元的彩虹表覆蓋範圍的?那裡的 md5 彩虹表有多完整?
首先,一些觀察:
即使抓取的橫幅是針對 LiteSpeed(Apache 替代品),最終的訪問也是通過 Apache 使用者進行的
由於最初的訪問是通過 Apache 使用者進行的,因此這很可能是 Apache/LiteSpeed 級別的漏洞,而不是核心漏洞。
-.bash_history:又一個哎喲。
其次,如何更好地保護系統:
- 使用像OSSEC這樣的入侵檢測系統,會在關鍵文件被更改時提醒管理員。
使用第 7 層(應用層)防火牆可能會過濾掉導致初始 Web 使用者妥協的錯誤輸入
不要儲存使用者/客戶的密碼。始終使用鹽漬雜湊。
不要勾選攻擊者。:)
最後,md5彩虹表的資源:
http://www.freerainbowtables.com/en/tables/md5/
http://project-rainbowcrack.com/table.htm
順便說一句,我同意Unknown,這就是我發布這些連結作為證據的原因。
類比學