駭客CSI之大量掛馬傳奇

2009 / 05 / 12

編輯部

為什麼還有這麼多網站有資料隱碼問題？

悠哉的午後，被桌上公文卷宗覆蓋的電話響起，小陳拿起電話，心想現在才1點，誰這麼不識相地來擾人午休。正在咒罵時，小陳突然立正站好，「報告副座，這應該是網站系統亂掉，屬下馬上處理。」小陳立刻打開電腦的i牌瀏覽器。哇，單位的首頁怎麼變成被狗啃過的，仔細一看每個欄目中都多了
一串，「script src=xxx.cn/m.js」，這是怎麼回事？小陳心中一驚，是被入侵了吧，嘴角抖了一下，想說這下可以去邀功了。
為什麼呢？前些日子單位花了5x萬買了一套可立即還原網站的工具，只要按個按鈕，網站就回復原貌了。小陳很快地檢查了網站，毫不遲疑按下復原按鈕，10分鐘過去，小陳點開了單位首頁，「怎麼還在」，而且又多了另外一條「script src=xxx. se/b.js」，畫面就像是被碎紙機輾過的。
小陳立刻拿出單位通過ISMS驗證時所做的「資安事件應變程序」，翻了一下，有了，網站資安事故處理程序，第一步要先去檢查異常的Log檔案，找出攻擊來源與問題根源。二話不說立即調出這星期的網站Log檔案，不多，總共600MB。但1天100MB，
要怎麼找起？立刻發現應變程序不合乎現況的問題。這時，傳來急促的電話聲音，隔壁的系統組小楊接起電話，小陳的思緒似乎無法集中，隱約聽到「網站資料庫主機的效能異常」。好像烏雲中射下了幾萬條光芒，心
中似乎有了自信滿滿的解答。立刻抓小楊連上網站資料庫主機。這下事情大條了，怎麼網站資料庫中，每一個資料表裡的欄位都被塞了網站上出現的神祕字串，小楊轉頭看平日敬重的陳專員已汗涔涔，拍拍小陳的肩膀
說：「我們一定要找出是哪個笨蛋幹的。」
在這之前，先把資料庫還原吧。20分鐘之後，一切恢復正常了，小陳趕緊拉著小楊，
到長官辦公室去報告戰績。正巧長官也準備閃人，聽到小陳說狀況解除了後，笑笑的說，「幹得不錯！」之後便一哄而散。
下班後，小陳來到電影院，隨著電影的高潮迭起，單位的網站也上映著下一波的“Mass SQL Injection Attack”。駭客小O點選著電腦螢幕上的程式，露著一點點輕蔑的笑意，今天用A地的機房電腦，剛剛也用偷來的信用卡買了十幾個新的網域名稱(domain name) ，一番滴滴答答的鍵盤敲下，設定好所有攻擊前的準備，把網域名稱對應到集團所指定的IP位置，再開啟配發下來的弱點攻擊碼產生器(exploit generator)，滑鼠一按就生了30隻木馬後門到桌面的資料夾，熟練地拖拉到放置木馬的網路主機上。小O把今天要做的準備工作搞定，剩下就等笨魚上鉤。
晚上八點，小O依照經驗來看該下班的網管、工程師應該都閃光了，先選好從網路上搜尋而來的攻擊清單，再勾選幾個熱門的肉雞。今天就主打旅遊業好了，選好之後劈哩啪啦的網站可注入(inject-able)清單塞滿list，把滑鼠移到確認的按鈕上等著，毫不猶豫地按下去，收工。
當然，小陳的網站又被攻陷了。晚上9點，看完電影發現手機未接電話35通，聽了留言之後才驚覺網站又出問題。一回到家趕快連上線去看，網站這次看來沒有異狀，不過小陳家中電腦的防毒軟體卻跳出來嘰嘰叫，小陳趕緊打了通電話問問平時對資安頗有研究的老賴，對，就是人稱資安小孔明的老賴。依照老賴的說法，到幾個網站上面去看，果然，包含世貿官網、UDN市集網站還有國立歷史博物館都被攻陷了。接著，點開老賴MSN傳來的指令，要
小陳一步一步把問題找到。

Dear 小陳
首先不要緊張，深呼吸有助於你頭腦的思考，現在不能自亂陣腳。
第一、把網站 Log 找出來。利用 find 指令，找這次攻擊的關鍵字，
如："cast"。找到之後，把出問題的程式名稱記起來，進行弱
點的補強。
第二、利用以下的 SQL script 幫助系統恢復正常 (使用前請先備份)。
第三、把有問題的程式暫時關閉﹙改好之後再上線﹚。
第四、再檢查一遍資料庫是否還有問題。
Old Lai

經過老賴指點，小陳從家裡遠端連線到公司網站的伺服器，開啟一個cmd視窗，切換到網站log存放的目錄，利用find指令，搜尋有"cast"字串的記錄。一下就跳出好幾筆資料。經過20多分鐘跑完log搜尋，共發現23筆相關記錄，
每一筆都長得差不多，一副就是我是攻擊字串的感覺！
forum.aspx id=3633;
dEcLaRe%20@s%20vArChAr(4000);sEt%20@s=cAsT(0x644563
4c61526520407420764172437441624c655f637572736f52
0d0a%20aS%20vArChAr(4000));exec(@s);
Mozilla/4.0 500 0 64
雖然看不懂，不過小陳心想大概就是這些東西了。出問題的程式名稱forum.aspx是應用系統部用來做公告事項的程式。好吧，先把資料庫救回來再說。「這網站之前花了1百多萬做了滲透測試，不是都說
沒問題嗎？」、「我們系統部都有把IIS的錯誤訊息關上，怎麼可能還被SQL Injection成功呢？」在後續跨部門會議中的炮火隆隆，在會議的這段時間裡，小陳手機又傳來熟悉的聲音，
網站再度中箭！原來老賴雖指點了修改方式，但小陳只修補部分系統漏洞，等真正把全部程式碼改好上線，已是1星期之後了。最後，找了家倒楣的廠商背了黑鍋；只不過這次小陳可以拍拍胸跟長官說，這次絕對準備好了！

SQL