Protegendo servidores da Web

3

Eu estava lendo um artigo sobre um site recente (astalavista.com) que foi invadido.

O autor escreveu como ele fez:

link

O que podemos aprender com isso para proteger melhor os servidores da Web?

Uma das coisas que me intrigaram:

    [+] Connecting to astalavista.com:80
    [+] Grabbing banner...
            LiteSpeed
    [+] Injecting shellcode...
    [-] Wait for it

    [~] We g0tshell
            uname -a: Linux asta1.astalavistaserver.com 2.6.18-128.1.10.el5 #1 SMP Thu May 7 10:35:59 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
            ID: uid=100(apache) gid=500(apache) groups=500(apache)

Eu tentei pesquisar para ver se havia alguma vulnerabilidade de injeção remota no Litespeed, mas não consegui encontrar nenhuma. Algumas pessoas afirmaram que o kernel era suscetível à exploração vmsplice (), mas isso ainda não requer execução arbitrária de códigos?

Outra coisa

mysql> select username,password,email from contrexx_access_users where is_admin = 1;
+------------+----------------------------------+-----------------------------+
| username   | password                         | email                       |
+------------+----------------------------------+-----------------------------+
| system     | 0defe9e458e745625fffbc215d7801c5 | [email protected]          |
| prozac     | 1f65f06d9758599e9ad27cf9707f92b5 | [email protected]      |
| Be1er0ph0r | 78d164dc7f57cc142f07b1b4629b958a | [email protected] |
| schmid     | 0defe9e458e745625fffbc215d7801c5 | [email protected]   |
+------------+----------------------------------+-----------------------------+

system:f82BN3+_*
Be1er0ph0r:belerophor4astacom
prozac:asta4cms!
commander:mpbdaagf6m
sykadul:ak29eral

Como eles conseguiram cobrir a cobertura do arco-íris de até 18 caracteres? Quão completas são as tabelas de arco-íris do md5?

    
por Unknown 05.06.2009 / 21:33

2 respostas

3

Primeiramente fora , algumas observações:

-Mesmo que o banner escolhido seja para o LiteSpeed (um substituto do Apache), o acesso resultante é através do usuário do Apache

-Uma vez que o acesso resultante inicial é através do usuário do Apache, provavelmente é uma vulnerabilidade no nível do Apache / LiteSpeed, não uma vulnerabilidade do kernel.

-. bash_history: Outro ai

Em segundo lugar , como proteger melhor o sistema:

-Usar um Sistema de Dise de Intrusão como OSSEC , teria alertado os administradores quando arquivos críticos foram alterados.

-Usar um firewall na Camada 7 (Camada de Aplicação) pode ter filtrado a entrada incorreta que resultou na Web inicial compromisso do usuário

-Não armazene as senhas do usuário / cliente. Use sempre um hash salgado.

-Não ataca os atacantes. :)

Finalmente , recursos para tabelas de arco-íris md5:

link

link

btw, concordo com Desconhecido , e é por isso que postei esses links como prova.

Anapologetos

    
por 05.06.2009 / 21:45
0

As tabelas de arco-íris do md5 são muito completas. Especialmente quando sua senha tem seu nome de usuário.

    
por 05.06.2009 / 21:38