Защита веб-серверов

Question

Защита веб-серверов

Я читал статью о недавно взломанном веб-сайте (astalavista.com).

Исполнитель записал, как он это сделал:

Чему мы можем научиться на этом, чтобы улучшить безопасность веб-серверов?

Одна из вещей, которая озадачила меня:

    [+] Connecting to astalavista.com:80
    [+] Grabbing banner...
            LiteSpeed
    [+] Injecting shellcode...
    [-] Wait for it

    [~] We g0tshell
            uname -a: Linux asta1.astalavistaserver.com 2.6.18-128.1.10.el5 #1 SMP Thu May 7 10:35:59 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
            ID: uid=100(apache) gid=500(apache) groups=500(apache)

Я попытался выполнить поиск, чтобы выяснить, есть ли какая-либо уязвимость удаленного внедрения в Litespeed, но я не смог ее найти. Некоторые люди утверждали, что ядро подвержено эксплойту vmsplice(), но не требует ли оно выполнения произвольного кода?

Еще одна вещь

mysql> select username,password,email from contrexx_access_users where is_admin = 1;
+------------+----------------------------------+-----------------------------+
| username   | password                         | email                       |
+------------+----------------------------------+-----------------------------+
| system     | 0defe9e458e745625fffbc215d7801c5 | info@comvation.com          |
| prozac     | 1f65f06d9758599e9ad27cf9707f92b5 | prozac@astalavista.com      |
| Be1er0ph0r | 78d164dc7f57cc142f07b1b4629b958a | paulo.santos@astalavista.ch |
| schmid     | 0defe9e458e745625fffbc215d7801c5 | ivan.schmid@comvation.com   |
+------------+----------------------------------+-----------------------------+

system:f82BN3+_*
Be1er0ph0r:belerophor4astacom
prozac:asta4cms!
commander:mpbdaagf6m
sykadul:ak29eral

Как они получили радужный стол длиной до 18 символов? Насколько полны радужные таблицы md5?

3

security website hacking exploit

Источник

Unknown 05 июн '09 в 19:33

2 ответа

Решение

Радужные таблицы md5 очень полны. Особенно, когда ваш пароль содержит ваше имя пользователя.

0

Источник

Karl Katzke 05 июн '09 в 19:38

Другие вопросы по тегам security website hacking exploit

Josh Brower 05 июн '09 в 19:45 2009-06-05 19:45 · Accepted Answer · 2009-06-05 19:45

Прежде всего несколько замечаний:

-Даже если баннер перехвачен для LiteSpeed (заменяющая Apache замена), получаемый доступ осуществляется через пользователя Apache.

-Потому что исходный получаемый доступ осуществляется через пользователя Apache, скорее всего, это уязвимость уровня Apache / LiteSpeed, а не уязвимость ядра.

-.bash_history: еще один ой.

Во-вторых, как лучше обезопасить систему:

-Использовать систему защиты от вторжений, такую как OSSEC, предупредил бы администраторов об изменении критических файлов.

-Использование брандмауэра Layer 7 (Application Layer) могло бы отфильтровать неверные данные, которые привели к первоначальному компрометации пользователя сети.

-Не храните пароли пользователя / клиента. Всегда используйте соленый хеш.

-Не ставить галочку на нападающих.:)

Наконец, ресурсы для радужных таблиц md5:

http://www.freerainbowtables.com/en/tables/md5/

http://project-rainbowcrack.com/table.htm

Кстати, я согласен с неизвестным, поэтому я разместил эти ссылки в качестве доказательства.

Anapologetos