Tường thuật Diễn tập An ninh mạng “Điều tra và xử lý website bị tấn công”

Các shell được hacker upload đến server: asdasds.PHP, dasdasds.PHP, ga.PHP, garu.PHP, Jonhn.PHP, nobita.PHP, ok.PHP, Pun.PHP, shellcode.PHP
Nguyên nhân: hacker upload shell lên server thông qua chức năng upload (upload.PHP) bằng cách đổi đuôi file shell thành chữ in hoa (ví dụ: backdoor.php thành backdoor.PHP)
Phương án khắc phục:
Trước tiên: Cần kiểm tra các lỗi khác như SQL Injection (website bị rất nhiều chỗ SQL Injection).
Tiếp theo: Chặn không cho người dùng upload các file nguy hiểm, chỉ cho upload các file được cho phép (Cơ chế white list)
Hành động hacker thực hiện để deface trang chủ:
118.70.128.104 và 14.177.138.195 là địa chỉ IP "kẻ xấu"

118.70.128.104 - - [23/Mar/2016:03:43:15 +0700] "GET /files/cmd=move%20index.HTML%20C:%5Cxampp%5Chtdocs%5C HTTP/1.1" 404 1059 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
14.177.138.195 - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"

Mô phỏng quá trình tấn công:

 

Chúc mừng Agribank =D>, các đội lưu ý thực hiện thành công thì cập nhật kết quả lên trên Thread này để BTC ghi nhận thời gian hoàn thành nhiệm vụ

Kết quả kiểm tra sơ bộ của Agribank:

• Hacker upload file index.html lên thư mục gốc của website để deface. Đã đổi tên file này để website trở lại bình thường.
• Có nhiều shellcode được upload lên thư mục files (đây là thư mục chứa các file người dùng upload lên.
• Khoanh vùng tấn công: khả năng có lỗ hổng tại file upload.php. Đang tiếp tục nghiên cứu.

 

VNPT EPAY:
- Đã mất kết nối.
- Trạng thái máy chủ đã bị tấn công thay đổi file index, file index được thay đổi như mục đích của hacker.
- Hacker đã upload được một số file lên thư mục files, điều nghi ngờ là phần upload không bắt định dạng file nên có thể upload bất kì file nào lên cungx được.
- Các files nghi ngờ shell code đều được mã hoá.
- Máy chủ chậm nên chưa download được chương trình về.

 

Báo cáo kết quả HVAN

• Trang index.php đã bị thay thế bằng trang index.html bởi kẻ tấn công

• Thay thế nội dung trang chủ bằng thông báo bảo trì:

 

Thái Nguyên:
- Thay thông báo bảo trì
- Các shell code được hacker upload lên htdocs/files/
- Khoanh vùng tấn công: khả năng có lỗ hổng tại upload.php

 

File shell đã được upload

 

Đại học Duy Tân đã thay đổi giao diện trang chủ và thông báo bảo trì

 

asdasds.PHP, dasdasds.PHP, ga.PHP, garu.PHP, Jonhn.PHP, nobita.PHP, ok.PHP, Pun.PHP, shellcode.PHP là các file shell có thể do kẻ tấn công upload lên server

 

Kết quả kiểm tra sơ bộ của Team An Ninh Ứng Dụng - Ngân Hàng Nam Á:
Lỗ hổng:
- Sql injection ở login.php, profile.php, download.php.
- Upload.php không check extension chữ hoa nên hacker bypass được bằng PHP ở upload.php. Shellcode được úp lên tại: files/nobita.PHP
- Giao diện bị deface bằng file index.html

Đã xử lý:
- Khôi phục giao diện, check extension trong upload.php
- Xử lý các lỗi SQL Injection.

 

Báo cáo:
1. Đã thay thế nội dung trang chủ đúng với index.php
2. Shell hacker : /files/nobita.PHP
3. Nguồn gốc:
- Lỗ hổng không phải từ Hacker mà là do người lập trình cho phép upload file .PHP (chữ hoa)
- Hacker sẽ up file nobita.PHP cho phép thực hiện các cmd, ví dụ như chỉnh sửa tên file.
- Hacker đổi tên file .PHP thành các file thực thi để thực hiện các việc tấn công.

 

Kết quả sơ bộ ĐH DUY TÂN tìm thấy file Nobita.php có chứa shell nhận biến get "cmd" để thực thi câu lệnh trên Server

 

Giải pháp Khắc phục lỗi upload file và SQL injection

 

Giao diện bảo trì:


Các shell được hacker upload đến server: asdasds.PHP, dasdasds.PHP, ga.PHP, garu.PHP, Jonhn.PHP, nobita.PHP, ok.PHP, Pun.PHP, shellcode.PHP
Nguyên nhân: hacker upload shell lên server thông qua chức năng upload (upload.PHP) bằng cách đổi đuôi file shell thành chữ in hoa (ví dụ: backdoor.php thành backdoor.PHP)
Phương án khắc phục:
Trước tiên: Cần kiểm tra các lỗi khác như SQL Injection (website bị rất nhiều chỗ SQL Injection).
Tiếp theo: Chặn không cho người dùng upload các file nguy hiểm, chỉ cho upload các file được cho phép (Cơ chế white list)
Hành động hacker thực hiện để deface trang chủ:
118.70.128.104 và 14.177.138.195 là địa chỉ IP "kẻ xấu"

118.70.128.104 - - [23/Mar/2016:03:43:15 +0700] "GET /files/cmd=move%20index.HTML%20C:%5Cxampp%5Chtdocs%5C HTTP/1.1" 404 1059 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
14.177.138.195 - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"

Mô phỏng quá trình tấn công:

 

Báo cáo lần 2 đội Trường Đại học Thăng Long:
- Phát hiện lỗi bypass login SQLinjection tại file địa chỉ: http://drill18.whitehat.vn/login.php


- Hacker đã up file nobita.php lên server, file này cho phép thực thi cmd, đội đã test thử với ipconfig

 

EPAY: Thực hiện dò shell bằng công cụ như sau:

*************************************************************************************************
* *
* Welcome to Shell Detector Tool 1.1 *
* More information can be found here *
* http://www.shelldetector.com *
* *
*************************************************************************************************

Starting file scanner, please be patient file scanning can take some time.
Number of known shells in database is: 604
File scan done, we have: 24 files to analyze

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\delete.php
Full path: C:\xampp\htdocs\delete.php
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 15 17:25:00 2016
Last modified: Wed Oct 15 15:29:32 2014
Filesize: 1.7 KB


=======================================================

Suspicious behavior found in: C:\xampp\htdocs\download.php
Full path: C:\xampp\htdocs\download.php
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 15 17:25:00 2016
Last modified: Wed Oct 15 12:52:22 2014
Filesize: 2.7 KB


=======================================================

Suspicious behavior found in: C:\xampp\htdocs\filemanager.php
Full path: C:\xampp\htdocs\filemanager.php
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 15 17:25:00 2016
Last modified: Wed Oct 15 15:37:12 2014
Filesize: 1.6 KB


=======================================================

Suspicious behavior found in: C:\xampp\htdocs\myfiles.php
Full path: C:\xampp\htdocs\myfiles.php
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 15 17:25:00 2016
Last modified: Sun Oct 19 06:48:40 2014
Filesize: 2.9 KB

Suspicious function used: ["`files` where uid = '$UserId' order by `"](line: 21)

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\files\ga.PHP
Full path: C:\xampp\htdocs\files\ga.PHP
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 22 16:13:49 2016
Last modified: Tue Mar 22 16:13:49 2016
Filesize: 1.0 KB

Suspicious function used: ['`e\x0f\x8a"\xf0\xab\t`\xd0\xcc\xb0\xb1\xaa\x12\xc8\x10\xe6HZ5\xf0\xa1\xd4\xb6\xa6\xc2\x100\xe9kq\xfa\x9d\x18O\xcb"G\x7f\r~\xba\x89\x1b\x91\\R\x88Ht\x14\xe2\xe3\x7f\xe6\x19h[4\xa9\x19E\xa0\xd7\xc0\x13\xecKH\xe5\x81\xa2\x16\x8bt\x12\xde\xac\xc0\x9e\x9c\xdc\xfdvQDA\xa9+r\x88R\xf9\xeb\xedq\xbf{`\x95Ja\xc2x\x9d|b\x05\xdc!\xfb\xa2a\xba\x8fS8B\xd2\x93i\xfd\xa1B+\x95\xa4\x9f\x15\x1bwHC\x85\\\x88\x87\x1c\x86\xe3u\x99gR\xe3\xd0\x92x\x96$j\x1c\x14\xb2\x10\x10-\xc4\x89