https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

主機代管紕漏又一筆? nike網站淪陷

2009 / 10 / 16
魏紜鈴
主機代管紕漏又一筆? nike網站淪陷

本月初,知名運動品牌系列網站,被檢視出遭掛惡意連結(請見資安烽火台單元)。Novell資深業務經理李逸凡分析,nike系列網站第一次遭惡意攻擊是在9月18日,惡意程式攻擊者hackzuo來自中國以Webshell後門程式入侵,雖不算是有破壞性的後門,卻是一種控制程式。

Novell從偵測系統上看來,這波遭受攻擊的nike系列網站主機是Microsoft-IIS/5.0版,由橘子磨坊國際有限公司註冊,IP位置為203.XX.X.X。攻擊者hackzuo以同一台主機共攻擊了442個website。最早攻擊時間是在7月6日,推算回去它的惡意攻擊程式碼是在6月撰寫。7月6日之後hackzuo攻擊的範圍僅針對中國和.com的單純網址,尚未攻擊到台灣的主機。在6日至17日是hackzuo活動率巔峰期,17日後攻擊行動暫緩,這段期間也僅是針對windows 2003的主機進行攻擊。

 9月18日hackzuo先入侵nikerunning.com,在該網址下開一個目錄(rt09/upload/)在之下再開一個子目錄,建置一自創的後台維護系統進行入侵,而登入ID則是hackzuo自己的QQ帳號。登入的畫面只要再鍵入密碼,就可以進入系統並控制主機。直至10月1日,hackzuo開始對nike這種流量大的商業型網站進行攻擊。

駭客利用後門程式取得後門路徑入侵nike網站,控制主機之後增加相關破壞行動,一般使用者在前台看不見有任何異狀。由因nike主機是使用window 2000作業平台,利用該系統弱點入侵成功。在攻擊nike網站之前,hackzuo攻擊其他網站都屬個人或主機代管,僅nike系列網站是辨識度和商業價值較高且流量高的商業型網站,他在單日對nike系列網站的攻擊事件共9筆,這些網站都共用同一台主機,來自同一個IP,李逸凡初估此攻擊有直接針對性,但此掛馬測試性質高,所以無掛木馬的可能。 

hackzuo攻擊的模式並非變更原網址路徑,而是安插另外一個index或網頁程式碼,利用OS或IIS漏洞進行上傳Webshell,而novell分析出該程式碼內有相關失戀心情抒發的文字,以簡體寫成。李逸凡分析hackzuo的惡意行為結構上,不算嚴重的後門入侵,比較特殊的點是在整個針對台灣的攻擊只針對nike的網路系統。通常攻擊者將惡意程式寫出來之後會做大量主機掃描,但是hackzuo卻選擇在特定時間點針對特定主機做目標性攻擊。 

做為nike系列網站主機代管商橘子磨坊國際有限公司,對此次nike系列網站攻擊事件應變態度積極,在第一時間其工程部門便積極進行相關的處理及維護。橘子磨坊回應,「經查詢我們發現事件是藉由nike其中一活動網站透過上傳功能,上傳一個檔案名稱為jpg,實際卻是非圖檔的檔案。也就是將惡意程式改變副檔名後矇混騙過上傳程式,上傳後再藉由實際網址位置執行該惡意程式。」

目前橘子磨坊已修正其上傳檔案內容過濾,另外也針對作業系統做了更新,活動機制本身的安全過濾及作業系統也會持續修正,並表示未來會更謹慎注意網站安全。自去年底,多家虛擬主機商爆發嚴重資安問題,資安意識是否有深植虛擬主機商,皆有待各虛擬主機商重視與積極維護。