https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

駭客CSI之大量掛馬傳奇

2009 / 05 / 12
編輯部
駭客CSI之大量掛馬傳奇
為什麼還有這麼多網站有資料隱碼問題?

悠哉的午後,被桌上公文卷宗覆蓋的電話響起,小陳拿起電話,心想現在才1點,誰這麼不識相地來擾人午休。正在咒罵時,小陳突然立正站好,「報告副座,這應該是網站系統亂掉,屬下馬上處理。」小陳立刻打開電腦的i牌瀏覽器。哇,單位的首頁怎麼變成被狗啃過的,仔細一看每個欄目中都多了
一串,「script src=xxx.cn/m.js」,這是怎麼回事?小陳心中一驚,是被入侵了吧,嘴角抖了一下,想說這下可以去邀功了。
為什麼呢?前些日子單位花了5x萬買了一套可立即還原網站的工具,只要按個按鈕,網站就回復原貌了。小陳很快地檢查了網站,毫不遲疑按下復原按鈕,10分鐘過去,小陳點開了單位首頁,「怎麼還在」,而且又多了另外一條「script src=xxx. se/b.js」,畫面就像是被碎紙機輾過的。
小陳立刻拿出單位通過ISMS驗證時所做的「資安事件應變程序」,翻了一下,有了,網站資安事故處理程序,第一步要先去檢查異常的Log檔案,找出攻擊來源與問題根源。二話不說立即調出這星期的網站Log檔案,不多,總共600MB。但1天100MB,
要怎麼找起?立刻發現應變程序不合乎現況的問題。這時,傳來急促的電話聲音,隔壁的系統組小楊接起電話,小陳的思緒似乎無法集中,隱約聽到「網站資料庫主機的效能異常」。 好像烏雲中射下了幾萬條光芒,心
中似乎有了自信滿滿的解答。立刻抓小楊連上網站資料庫主機。這下事情大條了,怎麼網站資料庫中,每一個資料表裡的欄位都被塞了網站上出現的神祕字串,小楊轉頭看平日敬重的陳專員已汗涔涔,拍拍小陳的肩膀
說:「我們一定要找出是哪個笨蛋幹的。」
在這之前,先把資料庫還原吧。20分鐘之後,一切恢復正常了,小陳趕緊拉著小楊,
到長官辦公室去報告戰績。正巧長官也準備閃人,聽到小陳說狀況解除了後,笑笑的說,「幹得不錯!」之後便一哄而散。
下班後,小陳來到電影院,隨著電影的高潮迭起,單位的網站也上映著下一波的“Mass SQL Injection Attack”。駭客小O點選著電腦螢幕上的程式,露著一點點輕蔑的笑意,今天用A地的機房電腦,剛剛也用偷來的信用卡買了十幾個新的網域名稱(domain name) ,一番滴滴答答的鍵盤敲下,設定好所有攻擊前的準備,把網域名稱對應到集團所指定的IP位置,再開啟配發下來的弱點攻擊碼產生器(exploit generator),滑鼠一按就生了30隻木馬後門到桌面的資料夾,熟練地拖拉到放置木馬的網路主機上。小O把今天要做的準備工作搞定,剩下就等笨魚上鉤。
晚上八點,小O依照經驗來看該下班的網管、工程師應該都閃光了,先選好從網路上搜尋而來的攻擊清單,再勾選幾個熱門的肉雞。今天就主打旅遊業好了,選好之後劈哩啪啦的網站可注入(inject-able)清單塞滿list,把滑鼠移到確認的按鈕上等著,毫不猶豫地按下去,收工。
當然,小陳的網站又被攻陷了。晚上9點,看完電影發現手機未接電話35通,聽了留言之後才驚覺網站又出問題。一回到家趕快連上線去看,網站這次看來沒有異狀,不過小陳家中電腦的防毒軟體卻跳出來嘰嘰叫,小陳趕緊打了通電話問問平時對資安頗有研究的老賴,對,就是人稱資安小孔明的老賴。依照老賴的說法,到幾個網站上面去看,果然,包含世貿官網、UDN市集網站還有國立歷史博物館都被攻陷了。接著,點開老賴MSN傳來的指令,要
小陳一步一步把問題找到。
Dear 小陳
首先不要緊張,深呼吸有助於你頭腦的思考,現在不能自亂陣腳。
第一、 把網站 Log 找出來。利用 find 指令,找這次攻擊的關鍵字,
如:"cast"。找到之後,把出問題的程式名稱記起來,進行弱
點的補強。
第二、利用以下的 SQL script 幫助系統恢復正常 (使用前請先備份)。
第三、把有問題的程式暫時關閉﹙改好之後再上線﹚。
第四、再檢查一遍資料庫是否還有問題。
Old Lai
經過老賴指點,小陳從家裡遠端連線到公司網站的伺服器,開啟一個cmd視窗,切換到網站log存放的目錄,利用find指令,搜尋有"cast"字串的記錄。一下就跳出好幾筆資料。經過20多分鐘跑完log搜尋,共發現23筆相關記錄,
每一筆都長得差不多,一副就是我是攻擊字串的感覺!
forum.aspx id=3633;
dEcLaRe%20@s%20vArChAr(4000);sEt%20@s=cAsT(0x644563
4c61526520407420764172437441624c655f637572736f52
0d0a%20aS%20vArChAr(4000));exec(@s);
Mozilla/4.0 500 0 64
雖然看不懂,不過小陳心想大概就是這些東西了。出問題的程式名稱forum.aspx是應用系統部用來做公告事項的程式。 好吧,先把資料庫救回來再說。 「這網站之前花了1百多萬做了滲透測試,不是都說
沒問題嗎?」、「我們系統部都有把IIS的錯誤訊息關上,怎麼可能還被SQL Injection成功呢?」在後續跨部門會議中的炮火隆隆,在會議的這段時間裡,小陳手機又傳來熟悉的聲音,
網站再度中箭!原來老賴雖指點了修改方式,但小陳只修補部分系統漏洞,等真正把全部程式碼改好上線,已是1星期之後了。最後,找了家倒楣的廠商背了黑鍋;只不過這次小陳可以拍拍胸跟長官說,這次絕對準備好了!
SQL