电台网站危机启示录

黑客·安全

特约作者 陈一天 · 2005年4月11日

危机现身

越来越多的公司组建起自己的门户网站,网络空间提供商也如雨后春笋般迅速增多,为了争取到更多的客户,他们打起了价格战。然而,在一个个低价套餐的背后,空间提供商是否真像它们所承诺的那样实行了“24×365”小时的专人监护呢?网站是否真的坚如磐石呢?

你可知道,在某些庄重的承诺背后没有安全、没有保护。一个个寄存于服务器上的小小网站,随时都有可能因某个网站上的某个漏洞而“灰飞烟灭”。我们有义务让大家了解、关注。现在,“木马屠城”栏目将带领大家从一次攻击开始……

我们此次攻击(无破坏成分)的突破口就在某家电台网站所采用的留言系统上。由于该ASP留言板的上传机制并不完善,攻击者可以通过本地欺骗的方式上传木马。更为严重的是,由于存放该网站的IIS服务器并未对外部客户端用户的访问权限和脚本执行等方面进行限制,我们可以轻易地跨站攻击存放于同一服务器上的其他30多家网站。

“我复出了,我决定选择一个目标,下手,借以宣告我的复出,大家可以开始恐慌了……”2005年4月的一个早晨,我在自己的博客上留下了以上几句话。

可能是由于爱听广播的缘故,我选中了本地办得最差的电台的网站,下手。此时,我需要一个漏洞来完成我的攻击。

3分钟后,我看到了一个我非常熟悉的留言板。它,应该有一个致命的漏洞,一个木马将毁掉它。

意外!没想到在攻破这个网站后,整个服务器摆在了我的面前……

锁定目标,闪电下手

1.寻找漏洞

笔者事先并不知道留言系统(为了广大网站的安全,本文不公布留言系统的名称)具体的上传页面的文件名。幸好该系统可以非常轻易地在专业ASP代码站点下载到,经笔者通过构建在自己机器的IIS平台上模拟运行的结果得知留言系统的上传页面名为“upfile_article.asp”。漏洞被找到了,现在就可以在互联网上寻找使用该留言系统的网站进行攻击了。

2.投石问路

以文章开头所提到的电台的网站为例。首先运行IE浏览器打开该网站,在默认留言系统的地址“http://www.***.com/lyb/”后加上上传页面文件名“upfile_article.asp”并回车。如果默认的上传页面未被管理员更改或删除,IE得到的反馈信息将会是“请先选择你要上传的文件!”,这也就意味着入侵已经成功了一半。

3.栽种木马

接下来,在本地机器上运行事先下载好的该留言系统的上传页面up.htm,进入上传操作页面。

在该页面中点击右键,选择查看源文件。在弹出的记事本中,找到关键代码“

现在,刷新“up.htm”页面,在第一个浏览框内随意选择一个JPG文件,在第二个浏览框内选择事先准备好的ASP木马文件(本文以上传一个“过渡性”木马为例),此时一定要在文件“.asp”扩展名后增加一个空格。稍等数秒,页面下方会出现“完毕”字样,这说明文件上传结束。

提示:一定要在“.asp”后加上一个空格,否则上传会失败。因为通常情况下,为了防止黑客上传ASP木马,留言板程序都会过滤“ASP”关键字。

现在,查看当前空白页面的源文件,网站服务器Upload目录下的200532621393361.asp文件就是刚才上传的ASP木马。现在运行IE浏览器输入地址“http://www.***.com/lyb/Upload/20053

2621393361.asp”并回车。可以看到刚才上传的“过渡性”木马程序已经成功植入(图1)。

14-f12-3.jpg
图1

提示:“过渡性”木马可以为攻击者生成各种各样的“小木马”,是进行入侵的必备工具。

根据“过渡性”木马的侦测,可得知当前服务的绝对路径为“E:\***\lyb\Upload\200532621393361.asp”(留言系统存在于服务器的E盘,“***”表示存放该网站的文件夹的名称)。

可以利用“过渡性”木马生成入侵者想要的不同功能的木马到较为“安全”的目录。在“输入木马内容”框中输入ASP木马的代码后,只要填好木马的保存路径以及文件名,点击“保存”即可。

4.完善木马

现在,可以自行制作一个功能强大的木马并利用刚才提到的“输入木马内容”框上传木马到网站中。

本文以“海阳顶端ASP木马”的配制和使用为例来进行讲解。首先运行2006X.exe,点击“打开”选择2006.asp,填写好存放路径、文件名和服务端密码,然后点击“生成服务端页面”即可。

海阳顶端ASP木马中有很多没必要使用的功能,要想自行设置可以使用2006Z.exe来生成自己需要的木马(简称为“自定义版”)。

木马制作告一段落,回到“过渡性”木马窗口。针对本文所提到的服务器,可以将木马生成到E:\***\lyb\2006a.asp中。生成木马后,当前页面(200532621393361.asp)会自动刷新并提示“save Success!”。

5.开始控制

万事俱备,只欠东风。将自己制作的ASP木马上传完毕后,也就意味着入侵已经接近尾声。

来看看战果,运行IE浏览器,输入地址“http://www.***.com/lyb/2006a.asp”并回车,出现海阳顶端ASP木马的登录界面,输入密码进行登录,木马强大的功能展示在眼前(图2)。

14-f12-5.jpg
图2

先来看看“服务器相关数据”吧,这里详细罗列出了被入侵服务器的各种信息,包括操作系统、系统设置等。而在“系统服务信息”里则罗列出了当前机器启动和安装的服务。利用“文本文件搜索器”可以寻找指定文件。这些功能对于进一步入侵是相当有帮助的。

值得一提的是“Shell.Application文件浏览操作器”,进入该操作器后,可以像操作本地机器的资源管理器一样控制被入侵的服务器(图3)。

14-f12-6.jpg
图3

笔者在服务器上“游弋”一番后,发现该电台网站所在的E盘正是该服务器架设网站的分区,其中每一个文件夹就是一个单独的站点(30多个文件夹对应30多个不同的网站)。由于该空间提供商为每家网站都设置了二级域名转换,为了管理方便,网站文件夹的名字都是以它们的二级域名设置的。这对于入侵者来说简直就是送上门的肥肉。

每个文件夹下的index.htm(或default.asp)都是对应网站的首页文件,入侵者只要在“Shell.Application文件浏览操作器”中“上传”自己准备好的网页替换原有网页,那么当访问者再访问这些站点时,看到的将会是入侵者恶意修改后的网页。可以说攻击者掌握着30多个网站的命运。

坚壁清野,组建防线

如果说导致电台网站被攻陷的上传漏洞是不可避免的,那么该网站的服务器管理员在安全防范上的疏忽,从而导致攻击者可以轻易地跨站入侵其他站点则是可以避免的。

1.正确设置访问权限

由于该空间服务器所采用的是IIS环境,那么外部客户端在访问网站时都是以IUSR_ServerName用户的权限执行所有操作的,所以为了保证系统的安全,必须对该用户的权限作一些限制。

首先,要删除Everyone对系统所有的卷的访问权限。由于Everyone是各用户(组)权限设置的父对象,所以在删除Everyone权限之前,要取消子对象对父对象权限的继承。

接着就是对IUSR_ServerName用户作设置。对于不用通过IIS进行写操作的目录,应该取消“写入”权限即可。

2.脚本限制保平安

脚本执行的设置对于IIS服务器也是不可缺少的。对于网站服务器中保存着非脚本文件的目录,应该禁止执行其中的脚本文件。

如此一来,即使黑客利用管理员所未顾及到的漏洞取得了网页控制权限,也无法对存放在同一台服务器上的网站形成威胁,而解决留言板漏洞的唯一方法则是“更换”。

事件总结

一个网站的漏洞直接导致整个空间服务器的“失守”,这完全可以用“千里之堤,溃于蚁穴”来形容,一个小小的留言板上传漏洞所牵涉出来的如此多的安全隐患足以引起我们的重视。

如果该空间服务器的网管采取了相应的安全保护措施,完全可以在“灾害”来临时将损失降低到最低限度。但正是因为当前很多网管抱着“侥幸”心理,才让入侵者有空子可钻。

试想,企业级网站的空间提供商对于安全问题如此草率,那么其他的私人空间提供商又如何呢?那些缺少安全知识的个人IIS服务器架设者岂不是更加岌岌可危?

更为严重的是,这种“一家失火,十家遭殃”的情况并不是危言耸听,存在这一漏洞的空间服务器是很多很多的。因此,面对现状,我们不能逃避,查漏补缺、提高安全意识已迫在眉睫。