防范網(wǎng)站漏洞攻擊安全寶黑規(guī)則再度升級(jí)

白鴿子

近期，烏云爆出深信服上網(wǎng)行為管理系統(tǒng)及廣域網(wǎng)優(yōu)化網(wǎng)關(guān)權(quán)限繞過以及VPN漏洞。從描述來看，次此漏洞危害波及到眾多大型公司及中小企業(yè)。鑒于此次危害較大，網(wǎng)站安全專家--安全寶(http://www.anquanbao.com)再度升級(jí)黑規(guī)則加以防范。　　據(jù)了解，網(wǎng)站安全專家--安全寶采用替身式防護(hù)技術(shù)，為中小型網(wǎng)站提供網(wǎng)站安全保護(hù)服務(wù)，烏云平臺(tái)曝光的“系統(tǒng)權(quán)限繞過”，大則可以控制整個(gè)服務(wù)器，小則可以控制此設(shè)備的運(yùn)行，危害很大。對(duì)此，安全寶緊急升級(jí)黑規(guī)則，將智能識(shí)別并將威脅阻擋在外，避免網(wǎng)站遭到攻擊而泄露信息和遭到破壞。
　　另外，安全寶的服務(wù)還提供網(wǎng)站漏洞掃描，對(duì)發(fā)現(xiàn)的漏洞提出實(shí)質(zhì)性的修復(fù)加固建議，在根源上堵住漏洞，防止攻擊。
　　專業(yè)的防止諸DDOS，cc，XSS、SQL注入、木馬、零日攻擊、僵尸網(wǎng)絡(luò)等各種網(wǎng)站安全問題，網(wǎng)站加速，頁面緩存服務(wù)的提供，從各個(gè)方面保護(hù)網(wǎng)站，并提升網(wǎng)站的性能。
　　此外對(duì)于該漏洞問題，深信服表示，已發(fā)布漏洞補(bǔ)丁，敬請(qǐng)各用戶盡快修復(fù)。
　　安全寶黑規(guī)則升級(jí)包:
　　http://10.18.102.190/products/rule/ruleUpdate_20121011_162415.pkg
　　安全寶專家詳細(xì)剖析漏洞惡意攻擊：

　　在apache的配置文件中，我們可以看見
　　其中最后一行的意思是把系統(tǒng)根目錄設(shè)置為file別名，就是file目錄相當(dāng)于系統(tǒng)根目錄，這樣我們可以很輕松的定位到很多的系統(tǒng)文件。比如shadow(當(dāng)然訪問這個(gè)文件是需要root權(quán)限的，但現(xiàn)在的權(quán)限就是root權(quán)限)，于是我們得到

▲安全寶

　　同樣，我們也可以得到后臺(tái)維護(hù)的密碼口令

▲安全寶

　　然后通過后臺(tái)維護(hù)軟件連接，用OD調(diào)試運(yùn)行添加用戶(具體見http://www.wooyun.org/bugs/wooyun-2010-011367)
　　最后就可以直接通過添加的用戶連接服務(wù)器啦!
　　至于前臺(tái)密碼，作者說到是在ctrluser.ini文件里的，用了sha1加密。不過既然拿到root權(quán)限了，就直接將之替換為已知明文的密文即可(作者正解)。然后登陸前臺(tái)，一覽無余

▲安全寶

　　再者就是作者提到的VPN簡(jiǎn)單繞過，是由于VPN的備份機(jī)制引起的，在備份的時(shí)候，系統(tǒng)會(huì)將一些配置文件和帶有用戶信息的數(shù)據(jù)庫加密并導(dǎo)出為一個(gè)bcf文件，當(dāng)然密碼是不知道的，這里看來應(yīng)該沒什么問題。但是呢，備份后系統(tǒng)會(huì)在stmp目錄下保存一份沒有經(jīng)過加密的文件，這就坑爹啦。根據(jù)前面的file別名問題，我們可以定位到這個(gè)備份文件，讓后下載之!最后得到用戶密碼，如果對(duì)只做了密碼驗(yàn)證的用戶來說，我們就可以登錄到VPN了。
　　在以上的步驟中，有幾個(gè)點(diǎn)是造成這個(gè)漏洞的關(guān)鍵：
　　1. file別名文件的設(shè)置
　　2. 權(quán)限設(shè)置太高，這就倒是能夠直接查看shadow等文件
　　3. 文件訪問限制(這個(gè)可能跟root權(quán)限有關(guān))
　　以上3個(gè)條件的出現(xiàn)，才能造成這次漏洞，只要我們讓其中一個(gè)不能成功，這漏洞就能避免。
　　縱觀以上3個(gè)條件，文件的訪問限制是最簡(jiǎn)單和直接的，因?yàn)槲募�的路徑中有的是固定�?如“/etc/shadow”、“/stmp/cfgbk”),只要我們限定了以上文件的訪問，就輕松解決了問題。

linuvzg

謝謝樓主分享

Zmiou4

謝謝你的發(fā)言` 非常有意義