TOM音街 安全隐患扎堆

安全阵线

苗得雨 · 2009年11月16日 第45期

本期主角 TOM音街

问题所在 各种漏洞、黑客后门

主要危害 网站被黑客入侵

调研时间 2009.9.6~2009.11.10

TOM音街,一个汇集大量歌曲的地方,相信登录的网民一定不少,但它的安全性却令人担忧。我们电脑报安全团队的成员,在该网站发现多个安全问题,涉及目录查看漏洞、物理路径泄露、黑客后门、注入漏洞。这些安全隐患虽然还没有对用户产生直接的影响,但对TOM音街敲响了安全的警钟,是时候对网站进行一次彻底的安全检查了。

网站目录随意看

我是安全实验室的苗得雨,最近对TOM音街进行了一次安全检测,发现了不少安全隐患。那天我进入TOM音街,主要是为了听歌曲,只是无意的一个举动,在IE浏览器返回的时候想偷懒,因此直接将http://play8.tom.com/player/ splay.php?songid=706463网址后面的字符串去掉了,我认为http://play8.tom.com/player/会直接返回到首页,但是我错了。

在去掉网址后面的字符串之后,http://play8.tom.com/player/竟然直接呈现出了网站目录(图1)。这是非常严重的错误,网站出现这种错误通常只有两个原因,一个原因是管理麻痹大意,配置服务器的时候,由于技术员生疏或者忽视,导致了配置错误,最终暴露了网站目录。

45-f07-1.jpg

另外一个原因就是漏洞,例如FTP软件等造成的漏洞,由于管理员没有及时修补,或者管理员根本就不知道有这个漏洞,因此就造成了网站目录暴露的问题。TOM音街的这台服务器就因为暴露了目录,让我很容易就获取了网站的结构,还好这个网站使用的是PHP脚本语言,如果使用的是ASP+Access结构,那么后台数据肯定会暴露在黑客的面前,黑客可以根据数据库路径直接将数据库整体下载。

物理路径泄露

暴露的目录可以提供很多敏感的信息,我逐一点击各个目录,结果这次扫荡式的点击有了更多出人意料的收获,在网址为“http://play8.tom.com/autorun/” 的目录下,有多个“.sh”后缀的文件,“.sh”格式文件是UNIX或Linux操作系统的可执行的Shell脚本文件,非常类似Windows系统中可以执行DOS命令的.com文件。

这些.sh后缀的文件中,通常会包含网站在服务器中的物理路径等信息。我下载了这些.sh文件,使用记事本程序将它们打开,果然发现了TOM音街在这台服务器中的物理路径/www/webroot/a8/upload/tempfile/file(图2)。

45-f07-2.jpg

安全小百科:物理路径泄露属于低风险安全隐患,它的危害一般被描述为“攻击者可以利用此漏洞得到信息,来对系统进一步地攻击”。提供Web、FTP、SMTP等公共服务的服务器都有可能出现物理路径泄露的问题。

比较常见的是Web服务器的路径泄露。导致Web服务器路径泄露的原因很多,可能是Web平台本身、脚本语言解释器、引擎插件、组件、辅助程序等一些原因造成的,也有可能是脚本编写错误所导致的。

很多时候,黑客会精心构造一个畸形、超长或不存在的文件请求,而这个请求是Web服务器没有预料且不能正确处理的,这时往往会返回出错信息——最直观的就是暴露物理路径。

得到物理路径能够做什么呢?对于许多黑客而言,物理路径有些时候能带来一些有价值的非公开信息,可以大致了解系统的文件目录结构,可以看出系统所使用的第三方软件,也说不定会得到一个合法的用户名(因为很多人把自己的用户名作为网站的目录名)。

存在PHP注入点

虽然看到了TOM音街的物理路径,但毕竟是危害级别不高的漏洞。不过管理员竟然出现了如此多的错误,想必平时一定不注重网络安全,于是我决定再深入一下,挖掘一下TOM音街是不是有危害更大的漏洞,例如注入漏洞。

查找注入漏洞的整个过程顺利得有点儿让我无语,甚至没有使用任何辅助工具,仅是随机地点开了几个网站,然后在每个网址后面加入了一个“'”号,其中一个页面就立刻爆出了MySQL的错误提示页面。注入点http://comment.a8.tom.com/user.php?username=546557694就顺利地被找到了。

安全小百科:所谓SQL注入就是利用目标网站的某个页面缺少对用户传递参数控制或者控制得不够好的漏洞 ,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的。PHP注入用得较多的工具是Pangolin,它能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。

在Pangolin的URL一项中输入查找出的注入点网址(图3),然后点击Check就开始进行注入漏洞的检验了。目标网站数据库的名称等信息全部被猜出来后,使用MySQL提权工具进行提权,添加管理员账号,上传木马。

45-f07-3.jpg

惊现黑客后门

在深入检测过程中,不知道是幸运还是不幸,我竟然惊讶地发现,TOM音街网站中已经有许多黑客的后门了,数量不低于20个。半个小时之前还感到庆幸的我,现在则是一盆冷水从头浇到脚——原来安全隐患已经被利用了。

既然别人已经放了后门了,那么我就试试能不能直接使用这些后门。不过由于没有密码,尝试使用后门时都被拒绝了。不过我很快就想到了,许多黑客在留后门的时候也会留下用后门页面构造的虚假文件,根据日期排序,我很快找到了一个文件,打开之后果然看到了密码,登录了后门(图4)。

45-f07-4.jpg

深度分析

TOM音街大概是最近一段时间我们见过的知名网站中安全隐患最多的一个网站了,从危害级别较低的物理路径泄露,到网站被植入了20多个黑客后门,给平时使用TOM音街的网友带来安全风险,庆幸的是到目前为止还没有对用户造成实质性的损害。

网站出现注入漏洞,完全是代码检查不严造成的。如果网站定时进行代码的安全检测,哪怕就是最常规的检测,都不可能出现如此多的安全隐患。最令人叹为观止的还是TOM音街中的20多个黑客后门。

从时间来看,有不少后门在TOM音街的服务器中已经存在一段时间了,网站方面竟然没有病毒过滤和探测系统,而管理员也没有及时查看服务器的新增文件变化,这些都是造成如此后果的原因。我们的这次安全检测不但值得TOM音街的管理员警惕,其他网站的管理员也可以从中吸取教训——网站的安全工作马虎不得,自己要定时和不定时地进行网站的安全检测。