我正在阅读一篇关于最近被黑客入侵的网站 (astalavista.com) 的文章。
肇事者写下了他是如何做到的:
我们可以从中学到什么来更好地保护 Web 服务器?
让我困惑的一件事:
[+] Connecting to astalavista.com:80
[+] Grabbing banner...
LiteSpeed
[+] Injecting shellcode...
[-] Wait for it
[~] We g0tshell
uname -a: Linux asta1.astalavistaserver.com 2.6.18-128.1.10.el5 #1 SMP Thu May 7 10:35:59 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
ID: uid=100(apache) gid=500(apache) groups=500(apache)
我试图搜索 Litespeed 中是否存在任何远程注入漏洞,但我找不到任何漏洞。有人声称内核容易受到 vmsplice() 漏洞的影响,但这是否仍然需要任意代码执行?
另一件事
mysql> select username,password,email from contrexx_access_users where is_admin = 1;
+------------+----------------------------------+-----------------------------+
| username | password | email |
+------------+----------------------------------+-----------------------------+
| system | 0defe9e458e745625fffbc215d7801c5 | [email protected] |
| prozac | 1f65f06d9758599e9ad27cf9707f92b5 | [email protected] |
| Be1er0ph0r | 78d164dc7f57cc142f07b1b4629b958a | [email protected] |
| schmid | 0defe9e458e745625fffbc215d7801c5 | [email protected] |
+------------+----------------------------------+-----------------------------+
system:f82BN3+_*
Be1er0ph0r:belerophor4astacom
prozac:asta4cms!
commander:mpbdaagf6m
sykadul:ak29eral
他们是如何获得长达 18 个字符的彩虹表覆盖范围的?那里的 md5 彩虹表有多完整?
首先,一些观察:
- 即使抓取的横幅是针对 LiteSpeed(Apache 替代品),最终的访问也是通过 Apache 用户进行的
- 由于最初的访问是通过 Apache 用户进行的,因此这很可能是 Apache/LiteSpeed 级别的漏洞,而不是内核漏洞。
-.bash_history:又一个哎哟。
其次,如何更好地保护系统:
- 使用像OSSEC这样的入侵检测系统,会在关键文件被更改时提醒管理员。
- 使用第 7 层(应用层)防火墙可能会过滤掉导致初始 Web 用户妥协的错误输入
- 不要存储用户/客户的密码。始终使用盐渍哈希。
- 不要勾选攻击者。:)
最后,md5彩虹表的资源:
http://www.freerainbowtables.com/en/tables/md5/
http://project-rainbowcrack.com/table.htm
顺便说一句,我同意Unknown,这就是我发布这些链接作为证据的原因。
Anapologetos
md5彩虹表非常齐全。特别是当您的密码中包含您的用户名时。