「慶豐銀行的 Web ATM site被 黑掉了,使用者請多加注意。」一位網友Zero在網路上分享了這樣的一則訊息,而在資安人網站首頁的烽火台單元及Zone-H亦有相關的資料批露。
「linuXploit_crew was here by _Seri4l_Kill3r_...reason for the attack?: we need peace...contact: seri4l_kill3r@post.com we are: _Seri4l_Kill3r_ - Thund3rC4sh and MeC」在https://ebank.chinfonbank.com.tw/的網頁上,入侵者留下了這樣的訊息。
慶豐銀行初步推測這是一個自動化的程式,在網路上搜索漏洞進行攻擊。該行人員表示,約莫半年前也曾出現過網頁被置換成一個血手印圖案上面寫著「Save the Child」,當時認為是屬於一次性的惡意攻擊,便將圖片拿掉,然後更改該伺服器主機上面的IIS設定。慶豐表示那是一台前端的伺服器,上面有3、4種銀行業務以及發送簡訊等服務,由於是對外的服務,有些port是不得已被打開的,但其實重要的交易皆已拉至後台。
資安專家表示,這並不是單純被置換網頁的事件而已,以這種程度看來,代表駭客已經可以拿到控制網站的權限,專家推測這是網站常遇見的安全問題-SQL Injection攻擊,使用程式自動檢查到有漏洞的網頁,然後手動埋入,也就是說這是網頁程式的問題,而非IIS 6伺服器的問題,IIS 6已經比IIS 5的安全性改善很多,許多不必要的method(被允許的傳輸)都已經預設為關閉,只要管理者有定期更新的習慣,較難直接被寫入惡意網頁。由於根本的源頭-不安全的網站程式碼,依然存在,才會使得問題一而再的發生。
其實還是有不少銀行網頁有SQL Injection的問題,只是可能權限設定比較嚴謹,只能允許「讀取」。而慶豐這次的狀況,顯然是銀行的伺服器權限設定已經到達可以「寫入」,視該台伺服器提供的服務,以及銀行整體的資訊基礎架構而定。攻擊者其實是可以寫入後門程式(Web Shell)到前台伺服器,將之當作跳板,就能連結到後台的資料主機,並且悄悄、持續將資料送出,至於送出的是何種資料,對該行客戶的影響就可大可小。
此次事件對該銀行系統資料可能造成的實際影響,還需經進一步調查才能得知。
該銀行也表示會再掃瞄看看,是否有木馬或側錄程式等,並且監控該網站活動記錄,針對記錄再判斷應該如何處理。
木馬程式容易被防毒、防間諜等軟體掃到,但後門程式不太會被讀取到,就不易被找到,一般來說,都是後端資料庫已經被偷得差不多了,利用價值殆盡,才放木馬到網頁上,感染來瀏覽網頁的人。企業IT人員對SQL Injection問題不應輕忽。