Apache是全球使用最多的Web Server之一��,近期Apache的官網被黑客入侵了�����,素包子根據apache網站的描述,分析了下黑客的思路�����。大概包含5個過程���,雖然道路曲折,但黑客快速通關����,一步一步的接近目標���,有很多可圈可點的地方,還是相當精彩的����?��?上ё詈髉eople.apache.org沒搞下來�,否則可以寫小說拍電影了���,不過男女主角不能是aXi和aJiao��。
1�����、通過跨站漏洞社工了幾個管理員,獲得JIRA(一個項目管理程序)后臺管理權限,并修改相關設置���,上傳jsp木馬。
2、在后臺看到其他用戶的帳號�,通過登陸入口暴力跑密碼�,破解了幾百個帳號�����。
官方說是“At the same time as the XSS attack”�����,我不這么認為,我認為是獲取后臺之后����,能看到帳號了��,才可以高效率的破解密碼�����。如果不通過后臺就可以破解幾百個帳號��,那這個事情早就發生了。
3���、部署了一個JAR,可以記錄登陸帳號及密碼����,然后用JIRA的系統發郵件給apache的管理人員說:“JIRA出現故障了���,請你使用郵件里的臨時密碼登陸�,并修改密碼”���,相關人員登陸了����,并把密碼修改成自己常用的密碼,當然,這些密碼都被記錄下來了 :)
4�����、正如黑客所算計的����,上述被記錄的密碼中,有密碼可以登陸brutus.apache.org,更讓黑客開心和省心的是,這個可以登陸的帳號竟然具備完全的sodu權限����,提權都不用提了����,直接就是root�,真是爽的一塌糊涂啊。而這個被root的brutus.apache.org上面跑著JIRA���、Confluence和Bugzilla。
5��、brutus.apache.org上的部分用戶保存了subversion的密碼�����,黑客用這些密碼登陸了people.apache.org�,但是并沒獲得其他權限�����。這個people.apache.org可是apache的主服務器之一����,如果root了這個機器���,那基本可以獲得所有apache主要人員的密碼了�。可惜�,黑客們功虧一簣�����。
整個故事到此結束,下面說說Apache是如何發現自己被入侵的�����。
根據apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”����,我猜測apache是因為黑客重設了用戶密碼這個行為才發現被入侵的�。
如果說的是黑客重設的是JIRA的密碼,那么就是因為黑客做戲沒做足全套導致的��,可能apache管理人員上去看之后�����,發現沒啥問題���,被忽悠了��。
如果說的是黑客重設其他密碼,我想不到整個過程中還需要重設什么其他的密碼����。
我還是對apache的安全措施非常好奇��,到底是如何發現的?到底是相關人員安全敏感度高呢���,還是黑客留下了一些痕跡被安全檢查措施發現了。如果是后者的話�����,檢查周期又是多長呢�����?24小時�����?
經驗教訓:
回頭再看看黑客的整個攻擊過程��,素包子相信在細節上會有很多可以吸取教訓的地方�����。從長遠來看�,可以加強安全意識培訓�����、實施SDL安全開發生命周期�����、日志集中分析、主機入侵檢測系統等等�,這些都是需要企業的安全部門長期投入去做的事情��;相對短平快的方法是要求重要的人員、重要的應用���、重要的系統使用雙因素動態密碼認證。