黑客攻破Apache.org官网安全问题发人深思

43顶
7踩

2010-04-16 07:19 by 见习记者 adong 评论(19) 有12192人浏览

Apache 安全

Apache是全球使用最多的Web Server之一，近期Apache的官网被黑客入侵了，素包子根据apache网站的描述，分析了下黑客的思路。大概包含5个过程，虽然道路曲折，但黑客快速通关，一步一步的接近目标，有很多可圈可点的地方，还是相当精彩的。可惜最后people.apache.org没搞下来，否则可以写小说拍电影了，不过男女主角不能是aXi和aJiao。

1、通过跨站漏洞社工了几个管理员，获得JIRA（一个项目管理程序）后台管理权限，并修改相关设置，上传jsp木马。

2、在后台看到其他用户的帐号，通过登陆入口暴力跑密码，破解了几百个帐号。

官方说是“At the same time as the XSS attack”，我不这么认为，我认为是获取后台之后，能看到帐号了，才可以高效率的破解密码。如果不通过后台就可以破解几百个帐号，那这个事情早就发生了。

3、部署了一个JAR，可以记录登陆帐号及密码，然后用JIRA的系统发邮件给apache的管理人员说：“JIRA出现故障了，请你使用邮件里的临时密码登陆，并修改密码”，相关人员登陆了，并把密码修改成自己常用的密码，当然，这些密码都被记录下来了：）

4、正如黑客所算计的，上述被记录的密码中，有密码可以登陆brutus.apache.org，更让黑客开心和省心的是，这个可以登陆的帐号竟然具备完全的sodu权限，提权都不用提了，直接就是root，真是爽的一塌糊涂啊。而这个被root的brutus.apache.org上面跑着JIRA、Confluence和Bugzilla。

5、brutus.apache.org上的部分用户保存了subversion的密码，黑客用这些密码登陆了people.apache.org，但是并没获得其他权限。这个people.apache.org可是apache的主服务器之一，如果root了这个机器，那基本可以获得所有apache主要人员的密码了。可惜，黑客们功亏一篑。

整个故事到此结束，下面说说Apache是如何发现自己被入侵的。

根据apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”，我猜测apache是因为黑客重设了用户密码这个行为才发现被入侵的。

如果说的是黑客重设的是JIRA的密码，那么就是因为黑客做戏没做足全套导致的，可能apache管理人员上去看之后，发现没啥问题，被忽悠了。

如果说的是黑客重设其他密码，我想不到整个过程中还需要重设什么其他的密码。

我还是对apache的安全措施非常好奇，到底是如何发现的？到底是相关人员安全敏感度高呢，还是黑客留下了一些痕迹被安全检查措施发现了。如果是后者的话，检查周期又是多长呢？24小时？

经验教训：

回头再看看黑客的整个攻击过程，素包子相信在细节上会有很多可以吸取教训的地方。从长远来看，可以加强安全意识培训、实施SDL安全开发生命周期、日志集中分析、主机入侵检测系统等等，这些都是需要企业的安全部门长期投入去做的事情；相对短平快的方法是要求重要的人员、重要的应用、重要的系统使用双因素动态密码认证。

更多Apache官网被黑内幕，请访问素包子的网站 http://baoz.net

来自: http://www.cnbeta.com/articles/108698.htm

分享到：

43
顶

7
踩

评论共 19 条请登录后发表评论

19 楼 12345678 2010-04-18 22:00

黑客才是人才，不可多得啊，因为多的都被封杀了。

18 楼 shinezhou 2010-04-18 14:05

囧~

17 楼姜太公 2010-04-18 12:48

shellfish 写道

是sudo，不要误人子弟

你一眼就看出来了，说明楼主误写撑sodu问题也不大。有点笔误能算什么大事，犯不着在这上面做文章吧

16 楼 fight_bird 2010-04-17 17:06

入口又是XSS，范伟说过：真是防不胜防，对XSS防范宁可过，也不可松懈。

15 楼 shellfish 2010-04-17 11:04

是sudo，不要误人子弟

14 楼 yutiansky 2010-04-17 08:34

hellolaojiang 写道

calvinlyc 写道

问个比较小白的问题，一般密码不都被encrypt了么，怎么还能拿的到。。？

上面说了,拿到用户名后,暴力破解的. 管理员修改后的密码,估计是用木马实时记录的.

就是说，他不告诉你，你就揍他。揍，使劲揍。

13 楼 ericxu131 2010-04-16 15:16

想不到这种翻译的文章能上JE新闻，翻译的真烂啊。

12 楼 geminiyellow 2010-04-16 13:54

fangin 写道

geminiyellow 写道

厉害啊黑客。
指出一个 -> 通过跨站漏洞社工了几个管理员
提问一个 -> 具备完全的sodu权限
望不吝指点。

sudo是linux下权限工具
社工是指社会工程学，类似人肉搜索，搜集管理员的各种资料然后套近乎。类似这种意思吧

不不，不是sudo，sudo天天用我是知道的。
我是看不懂sodu这个命令。
特地没用baidu翻墙g了一下没g到，所以才有此一问。
原来社工还有这个意思，我一直都认为社工是在福利院里面的那些工作人员呢。
还想说外国的福利真好，管理员兼职社工。

11 楼 JE帐号 2010-04-16 13:51

所以说,自己平时玩玩的网站和自己管理的网站密码决不能一样啊.

10 楼 hellolaojiang 2010-04-16 12:57

calvinlyc 写道

问个比较小白的问题，一般密码不都被encrypt了么，怎么还能拿的到。。？

上面说了,拿到用户名后,暴力破解的. 管理员修改后的密码,估计是用木马实时记录的.

9 楼 calvinlyc 2010-04-16 12:37

问个比较小白的问题，一般密码不都被encrypt了么，怎么还能拿的到。。？

8 楼 greateWei 2010-04-16 11:42

问题出在jira和confluence中，apache使用这两个产品作为问题跟踪和网站wiki。

最近jira官方也发了邮件，要求注册用户更改密码。

7 楼 fangin 2010-04-16 11:24

geminiyellow 写道

厉害啊黑客。
指出一个 -> 通过跨站漏洞社工了几个管理员
提问一个 -> 具备完全的sodu权限
望不吝指点。

sudo是linux下权限工具
社工是指社会工程学，类似人肉搜索，搜集管理员的各种资料然后套近乎。类似这种意思吧

6 楼 stack3256 2010-04-16 10:43

第3步的时候引起了管理人员的注意
还有可能登陆帐号及密码的时候页面地址栏显示和原来不一样
原来的地址登陆应该是做hash加密的
sodu权限是管理员疏忽，黑客利用现有密码试出来的

5 楼 yuyue618 2010-04-16 09:20

哈哈, 我觉得比我好 . 我小学本科毕业都翻译不出来.

4 楼 geminiyellow 2010-04-16 09:20

厉害啊黑客。
指出一个 -> 通过跨站漏洞社工了几个管理员
提问一个 -> 具备完全的sodu权限
望不吝指点。

3 楼 ricoclindy 2010-04-16 09:06

小学一年的翻译水平

2 楼 frosting2006 2010-04-16 08:44

最大的问题在于JIRA故障的确认～～

1 楼 dancewhyw 2010-04-16 08:02

大家都是玩服务器的，知己知彼
的确精彩

发表评论

您还没有登录,请您登录后再发表评论

43顶7踩