旁注挂马——曲线攻破“壁垒”
网络安全
wajika@126.com:我最近用动网搭建了一个论坛(http://wajika.XXXX.cn/index.asp),但是不知怎么地就被黑客挂马了。让我不解的是,我已经把所有的动网漏洞都补上了,我网站中也不存在其他的潜在隐患,可为什么还会被黑客挂马?问题出在什么地方呢?
小新分析:奥运临近,黑客越来越活跃,网站挂马的情况也会增多。根据你提供的描述分析,我们怀疑你的网站受到了旁注入侵导致网站被黑客挂马。
博弈主题:旁注入侵
技术难度:★★★★
重点知识:入侵服务器并在其中的网站上挂马
所谓旁注,可以简单地理解为间接网站入侵。黑客不直接入侵目标网站(一般是因为该网站安全措施较好),通过域名Whois查询功能查到目标网站的IP地址,根据该IP地址找到目标网站使用的服务器,在服务器上寻找安全防范薄弱的网站入侵,入侵成功后通过提权等手段取得服务器主机的高级权限,从而实现入侵整个服务器上所有网站的目的。
读者网站的网络环境如下:操作系统:Windows 2000 Advanced Server;脚本支持:启动IIS,支持ASP、PHP、CGI ;数据库:Access、MS SQL Server;服务支持:FSO/ADO/WSH;FTP服务:Serv-U。
该服务器支持的脚本类型广泛,所以无论是PHP还是ASP的网页木马都可以顺利地在这个网站中运行;其次,该虚拟主机支持的服务种类较多,FSO(微软ASP的一个对文件操作的控件,经常被黑客利用)等服务的开启为入侵成功后进行控制服务器主机提权提供了必备条件;此外FTP服务使用的是Serv-U系统,因此存在通过Serv-U进行提权的可能性。在确定了网站服务器具有旁注的可能性后,我们现在开始进行罪案还原。
小知识:虚拟主机是在网络服务器上划分出一定的磁盘空间供用户放置站点、应用组件等,提供必要的站点功能与数据存放、传输功能。服务器划分成多个“虚拟”的服务器,每一个虚拟主机都具有独立的域名和完整的Internet服务器(支持WWW、FTP、E-mail等功能)。
一台服务器上的不同虚拟主机是各自独立的,并由用户自行管理。由于多台虚拟主机共享一台真实主机的资源,每个用户承受的硬件费用、网络维护费用、通信线路的费用均大幅度降低。虚拟主机也叫“网站空间”。
罪案还原:旁注入侵挂马害人
我们根据读者提供的线索,对他所遇到的网络入侵进行罪案还原,并推理黑客是如何入侵他的论坛的。
第一步:打开旁注入侵软件Domain,点击“旁注检测”标签,然后在“输入域名”项中输入目标网站的域名,然后点击输入框后方的“》”按钮,网站主机的IP地址就会被检测出来。这时我们再点击IP地址框后的“查询”按钮,在Domain软件界面的左边栏中开始出现大量的网站地址,这些网站与我们要入侵的网站处于同一服务器。
第二步:查询出服务器中所有的网站网址后,我们可以随意点击这些网站,每点击一个网址,Domain都会打开相应的网站,并自动检测网站是否存在“注入点”。
检测出可能存在注入点的网页就会以红色链接地址的形式出现在网页下方的“注入点提示栏”中,此时我们右键点击可疑网址,然后在弹出的菜单中选择“检测注入”即可详细地检测被怀疑有注入点的网页地址(图1)。
第三步:点击“检测注入”后,Domain会自动打开“SQL注入”页面,进行SQL注入猜解检测,检测可疑注入点是否能够实现SQL注入,猜解出网站的数据库表单与用户名密码等信息。
根据我们的罪案还原,被入侵的服务器中有许多虚拟主机都有注入点,在检测到一个Access数据库的注入点后,我们依次点击“猜解表名”,将存在注入点的网站数据库表单猜解出来后选择“USERS”选项,这个表往往是存储用户名和密码的表单。
然后点击“猜解列名”,在猜解出的列名中寻找与用户名和密码有关的列名,如Password或者Name等,找到后在这些列名前打钩,最后点击“猜解内容”即可。一般很快就可以猜解出测试网站管理员的用户名和密码(图2)。
第四步:在检测出用户名和密码之后,随便登录一个MD5破解网站,将MD5加密的密码暴力破解,然后再点击Domain中的“管理入口扫描”选项,扫描网站的后台。在扫描出测试网站后台之后,通过IE浏览器打开后台页面,输入破解出来的用户名和密码登录。
此时,根据测试网站后台管理的权限设置和具体的程序漏洞,拟定不同方案上传自己的网页木马。我们测试的网站可以通过在线内容编辑器WebEditor上传网页木马。
第五步:在网页木马上传成功后,输入网页木马的地址登入网页木马的管理页面。此时黑客需要完成的最后目标就是“提权”,将自己只能够操作虚拟主机的权限提升到操作主机服务器所有网站的权限。
最直接的方法是通过大多数网页木马中提供的“Serv-U提权”功能进行提权尝试。但测试中我们找到了虚拟主机的目录(图3),就可以不用继续难度很高的提权了。在虚拟主机目录中找到所有的数据库,将木马加入其中即可。这样当用户访问目标网站时就会中毒了。
防范旁注要“两手抓”
对于个人站长,要防范旁注入侵,有两个办法:一是换服务器提供商,选知名度高、口碑好的大型服务器提供商,这些服务器的安全防范措施较高,旁注的成功率较低;二是可以修改自己网页的DNS设置来防范旁注。
旁注的关键就是黑客通过Whois查询获得目标网站的IP地址,因此我们可以在网站后台管理页面的“域名DNS指向”中,给同一个域名设置两个IP地址,一个IP地址是假地址,另一个IP地址设置为运营商提供的服务器IP地址。这样会给黑客入侵增加很大的工作量,可能会促使他们放弃入侵。
对服务器管理员而言,要防范旁注,一定要提高服务器的安全措施,例如要严格进行权限设置、关闭FSO等服务。此外,还要在服务器中安装杀毒软件,定时进行杀毒,这样才能及时清除黑客上传的网页木马,阻止黑客进一步入侵。