This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

美国国土安全部网站hacktivist入侵的受害者

Filed Under: Featured, Security threats

Hacktivist的组NullCrew最近宣布对一个网站中的DHS.GOV的域层次结构的一个成功的入侵(,虽然intrusionette可能是一个更好的词)。

当然,美国国土安全部,是美国国土安全部。

的intrusionetted的网站studyinthestates.dhs.gov,目的是帮助外国人是否以及如何找出他们也许能在美国学校,学院和大学学习。

它的网站看起来好像是脆弱的被称为一个目录遍历漏洞。

这就是你说服服务器来浏览Web服务器的一个部分,你不应该能够访问,并检索内容有构造一个URL。

想象一下,例如,您的网络服务器承载的文件,该文件是可以通过URL http://example.org/private.dat的 ,但到登录的用户只。

如果服务器看到一个未授权的GET请求/ private.dat的 ,你希望它拒绝该请求。

但你的服务器需要要小心,它不会让自己被骗,例如请求来检索文件如/子目录/。。/ private.dat。

如果你从左边开始检查的文件名 ​​,它不会看起来像根目录中的一个文件,是因为有一个目录名称(/子目录/)。但随之而来的.. /,表示我在此刻“,”父目录跃起上升一个级别,从而抵消了最初的一步向下进入子目录

在你的文件系统中,导致向上的路径,文件名总是有风险。向上攀爬,攻击者可能会漫步“和过度和下”,否则禁止您的Web服务器的目录树中的部分。

在非常糟糕的情况下,攻击者甚至可以悬挂自己的Web服务器的目录树共备案制,进入休息。

这可能给他们访问操作系统本身的密码和配置文件,或在同一服务器上运行的其他软件。

向上领先的文件名 ​​处理不当,似乎已经在美国网站上的研究发生了什么事。

它看起来就像一个PHP脚本的下载资料库中的参数处理是不小心的。一个URL的形式:

 http://example.org/known/dir/download.php?file=somename.dat 

这样的要求可能会被滥用:

 http://example.org/known/dir/download.php?file=../../private.dat 

,现在看来,这造成生病配置的下载脚本的Web服务器的目录树中导航向上,由内而外的文件比已被封锁,如果它已经被下载直接从外部检索。

故障似乎已经被修补了,但如果NullCrew是可以相信的(让我们假设他们可以在这里),这个洞是用来获取WordPress的配置文件,显然也包括后端数据库的位置和密码。这个配置文件是一个公开可用的降网站上公布。

可悲的是,如果返回的HTTP标头的研究在美国的网站说的是真话,还是需要做一些更多的补丁。

当然,一些错误呢?

该网站报道,它的运行的Apache 2.2.3在Red Hat,和PHP 5.3.3。在我写这篇文章时,这些版本确实应该PHP 5.3.20和Apache Web服务器2.2.23

为什么不使用这是一个呼吁采取行动,在2013年为自己的Web服务器?

  • 确保你的所有后端组件使用最新的安全修补程序更新。攻击者读取漏洞的邮件列表,所以他们已经知道如何打破你的未打补丁的服务器。
  • 考虑运行一个Web应用防火墙 (WAF)为假的或有风险的,前瞻性的请求冲刷入站网络流量。这有助于保护您的Web服务器从未知的攻击。
  • 定期执行渗透测试,对自己的网络性能,以确保被封锁,记录技巧,如目录遍历。

就让我们来看看在你的Web服务器日志中几乎肯定会发现大量的(可能是自动的)攻击奇怪的前瞻性的URL,攻击者希望将你的防御偷渡过去的基础上。

这不是一个问题,甚至的时候,你可能会攻击。如果您要邀请入站的Web请求,你已经受到攻击!

运行Web服务器在家里吗?

为什么不尝试一下的免费的Sophos UTM家庭版的吗?

最多50个IP地址,Web和邮件过滤,Web应用防火墙,IPS,VPN和更多。您也可以保护多达12个Windows个人电脑网络上的Sophos反病毒!

(注:需要注册)。

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog