我正在阅读一篇关于最近被黑客入侵的网站(astalavista.com)的文章。
肇事者写下他是如何做到的:
http://pastebin.com/f751e9f5b
[+] Connecting to astalavista.com:80 [+] Grabbing banner... LiteSpeed [+] Injecting shellcode... [-] Wait for it [~] We g0tshell uname -a: Linux asta1.astalavistaserver.com 2.6.18-128.1.10.el5 #1 SMP Thu May 7 10:35:59 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux ID: uid=100(apache) gid=500(apache) groups=500(apache) 我试着searchLitespeed是否有任何远程注入漏洞,但是我找不到任何漏洞。 有人声称内核易受vmsplice()攻击,但是这是否仍然需要执行任意代码?
mysql> select username,password,email from contrexx_access_users where is_admin = 1; +------------+----------------------------------+-----------------------------+ | username | password | email | +------------+----------------------------------+-----------------------------+ | system | 0defe9e458e745625fffbc215d7801c5 | [email protected] | | prozac | 1f65f06d9758599e9ad27cf9707f92b5 | [email protected] | | Be1er0ph0r | 78d164dc7f57cc142f07b1b4629b958a | [email protected] | | schmid | 0defe9e458e745625fffbc215d7801c5 | [email protected] | +------------+----------------------------------+-----------------------------+ system:f82BN3+_* Be1er0ph0r:belerophor4astacom prozac:asta4cms! commander:mpbdaagf6m sykadul:ak29eral
他们如何获得长达18个字符的彩虹表格? 在那里的MD5彩虹桌有多完整?
首先 ,几点意见:
即使抓取的横幅是LiteSpeed(一个替代的Apache),最终的访问是通过Apache用户
由于最初的访问是通过Apache用户进行的,很可能这是Apache / LiteSpeed级漏洞,而不是内核漏洞。
-bash_history:另一个哎。
其次 ,如何更好地保障系统安全:
– 使用OSSEC这样的入侵检测系统,会在关键文件发生变化时提醒pipe理员。
– 使用第7层(应用层) 防火墙可以过滤出导致初始网页用户受损的错误input
– 不要存储用户/客户的密码。 总是使用盐味散列。
– 不要打击攻击者。 🙂
最后 ,MD5彩虹表的资源:
http://www.freerainbowtables.com/en/tables/md5/
http://project-rainbowcrack.com/table.htm
顺便说一句,我同意未知 ,这就是为什么我张贴这些链接作为证据。
Anapologetos
MD5彩虹桌非常完整。 特别是当你的密码有你的用户名。