This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

DHS сайт стал жертвой вторжения hacktivist

Filed Under: Featured, Security threats

Hacktivist NullCrew группа недавно объявила успешного вторжения (хотя intrusionette может быть лучше слов) в отношении веб-сайта в иерархии домена DHS.GOV.

DHS, конечно, является Департамент США Национальная Безопаность.

Intrusionetted сайт был studyinthestates.dhs.gov, предназначенных для помощи иностранцам узнать, и как они могли бы учиться в американских школах, колледжах и университетах.

Похоже, что сайт был уязвим к тому, что известно как каталог обхода уязвимости.

Вот где вы строите URL убеждает, что сервер, чтобы перейти к части веб-сервера, который вы не должны иметь доступ и извлекать содержимое оттуда.

Представьте себе, например, что ваш веб-сервер размещается файл, который доступен через URL http://example.org/private.dat, но зарегистрированным пользователям только.

Если на сервере были видеть несанкционированного GET запрос / private.dat, вы ожидаете, чтобы отклонить запрос.

Но ваш сервер должен быть осторожным, чтобы не позволить себе получить обманом, например, запрос на получение файла, такие как / подкаталог /.. / Private.dat вместо этого.

Если вы начинаете изучение файла с левой стороны, он не похож на файл в корневой каталог, потому что имя каталога (/ подкаталог /) в первую очередь. Но последующие .. /, который означает «родительский каталог на тот, я в настоящий момент», прыгает назад на один уровень вверх, тем самым сокращая на начальном вниз шаг в подкаталог.

Имена файлов с путями, которые ведут вверх в вашей файловой системе всегда риск. По восхождение вверх, злоумышленник может бродить "до-и более-вниз" в противном случае запрещенных части дерева каталогов вашего веб-сервера.

В действительно плохих случаях, злоумышленники могут даже быть в состоянии поднять себя из дерева каталогов вашего веб-сервера в целом, и в остальной части системы регистрации.

Это может дать им доступ к паролю и конфигурационные файлы для самой операционной системы или другого программного обеспечения, работающие на том же сервере.

Плохая обработка вверх ведущих имен, кажется, было то, что был неправ по изучению на сайте Штатах.

Похоже, что скрипт, ответственный за загрузку хранилища было неосторожное в своем аргументе обработки. URL подобное:

 http://example.org/known/dir/download.php?file=somename.dat 

могут злоупотреблять с просьбой вроде этого:

 http://example.org/known/dir/download.php?file=../../private.dat 

Это, кажется, вызвало плохо настроенных скачать скрипт для перемещения вверх в дереве каталогов веб-сервера, извлечения из внутренней файла, чем была бы заблокирована, если она была загружена непосредственно извне.

Неисправность по-видимому, была исправлена, но если NullCrew, чтобы поверить (и давайте предполагать, что они могут быть здесь), это отверстие было использовать для получения файла конфигурации WordPress, видимо, в том числе бэкэнда расположение базы данных и пароль. Этот файл конфигурации был опубликован на общедоступных падения сайта.

К сожалению, если HTTP-заголовки возвращается Исследование на сайте государствам говорить правду, есть еще несколько исправлений должно быть сделано.

Конечно, какая-то ошибка?

На сайте сообщается, что он работает Apache 2.2.3 на Red Hat, и PHP 5.3.3. Пока я пишу это, этих версий должно быть действительно PHP 5.3.20 и Apache Web Server 2.2.23 .

Почему бы не использовать это как призыв к действию для вашего собственного веб-серверов в 2013 году?

  • Убедитесь, что вы в курсе последних исправлений безопасности для всех фоновых компонент вы используете. Злоумышленники читать списки рассылки уязвимости, так что они уже знают, как ворваться в вашу устаревших серверов.
  • Рассмотрим работает брандмауэр веб-приложений (WAF) рыскать входящего интернет-трафика за фиктивные или рискованные вид запросов. Это помогает защитить ваши веб-серверов от пока еще неизвестных атак.
  • Выполнение регулярного Тесты на проникновение в отношении собственных свойств веб-чтобы убедиться, что трюки, такие как обратный путь в каталогах блокируются и регистрируется.

Беглый взгляд на ваши логи веб-сервера почти наверняка выявить большое количество (вероятно, автоматизированы) атак, основанных на странный вид URL, который атакующий надеется прокрасться мимо вашей защиты.

Это не вопрос, если, или даже, когда вы могли бы быть атакованы. Если вы приглашаете входящих веб-запросов, вы уже под атакой!

Запуск веб-сервера в домашних условиях?

Почему бы не попробовать бесплатно Sophos UTM Home Edition ?

Вы получаете Интернет и фильтрации электронной почты, Web Application Firewall, IPS, VPN и еще до 50 адресов. Вы также можете защитить до 12 ПК на базе Windows в вашей сети с Sophos Anti-Вирус!

(Примечание:. Требуется регистрация)

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog