Tường thuật Diễn tập An ninh mạng “Điều tra và xử lý website bị tấn công”

Các shell được hacker upload đến server: asdasds.PHP, dasdasds.PHP, ga.PHP, garu.PHP, Jonhn.PHP, nobita.PHP, ok.PHP, Pun.PHP, shellcode.PHP
Nguyên nhân: hacker upload shell lên server thông qua chức năng upload (upload.PHP) bằng cách đổi đuôi file shell thành chữ in hoa (ví dụ: backdoor.php thành backdoor.PHP)
Phương án khắc phục:
Trước tiên: Cần kiểm tra các lỗi khác như SQL Injection (website bị rất nhiều chỗ SQL Injection).
Tiếp theo: Chặn không cho người dùng upload các file nguy hiểm, chỉ cho upload các file được cho phép (Cơ chế white list)
Hành động hacker thực hiện để deface trang chủ:
118.70.128.104 và 14.177.138.195 là địa chỉ IP "kẻ xấu"
Mã:
118.70.128.104 - - [23/Mar/2016:03:43:15 +0700] "GET /files/cmd=move%20index.HTML%20C:%5Cxampp%5Chtdocs%5C HTTP/1.1" 404 1059 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
14.177.138.195 - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"

Mô phỏng quá trình tấn công:
attack.jpg

Untitled.jpg
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chúc mừng Agribank =D>, các đội lưu ý thực hiện thành công thì cập nhật kết quả lên trên Thread này để BTC ghi nhận thời gian hoàn thành nhiệm vụ


Drill_AgriBank;n56719 đã viết:
Kết quả kiểm tra sơ bộ của Agribank:
  • Hacker upload file index.html lên thư mục gốc của website để deface. Đã đổi tên file này để website trở lại bình thường.
  • Có nhiều shellcode được upload lên thư mục files (đây là thư mục chứa các file người dùng upload lên.
  • Khoanh vùng tấn công: khả năng có lỗ hổng tại file upload.php. Đang tiếp tục nghiên cứu.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
VNPT EPAY:
- Đã mất kết nối.
- Trạng thái máy chủ đã bị tấn công thay đổi file index, file index được thay đổi như mục đích của hacker.
- Hacker đã upload được một số file lên thư mục files, điều nghi ngờ là phần upload không bắt định dạng file nên có thể upload bất kì file nào lên cungx được.
- Các files nghi ngờ shell code đều được mã hoá.
- Máy chủ chậm nên chưa download được chương trình về.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_HVAN
Báo cáo kết quả HVAN
  • Trang index.php đã bị thay thế bằng trang index.html bởi kẻ tấn công
clip_image002.jpg

clip_image004.jpg

  • Thay thế nội dung trang chủ bằng thông báo bảo trì:
clip_image006.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_ThaiNguyen
Thái Nguyên:
- Thay thông báo bảo trì
- Các shell code được hacker upload lên htdocs/files/
- Khoanh vùng tấn công: khả năng có lỗ hổng tại upload.php
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_HVAN
File shell đã được upload
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_DuyTan
Đại học Duy Tân đã thay đổi giao diện trang chủ và thông báo bảo trì
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_HVAN
asdasds.PHP, dasdasds.PHP, ga.PHP, garu.PHP, Jonhn.PHP, nobita.PHP, ok.PHP, Pun.PHP, shellcode.PHP là các file shell có thể do kẻ tấn công upload lên server
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Kết quả kiểm tra sơ bộ của Team An Ninh Ứng Dụng - Ngân Hàng Nam Á:
Lỗ hổng:
- Sql injection ở login.php, profile.php, download.php.
- Upload.php không check extension chữ hoa nên hacker bypass được bằng PHP ở upload.php. Shellcode được úp lên tại: files/nobita.PHP
- Giao diện bị deface bằng file index.html

Đã xử lý:
- Khôi phục giao diện, check extension trong upload.php
- Xử lý các lỗi SQL Injection.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_BKDaNang
Báo cáo:
1. Đã thay thế nội dung trang chủ đúng với index.php
2. Shell hacker : /files/nobita.PHP
3. Nguồn gốc:
- Lỗ hổng không phải từ Hacker mà là do người lập trình cho phép upload file .PHP (chữ hoa)
- Hacker sẽ up file nobita.PHP cho phép thực hiện các cmd, ví dụ như chỉnh sửa tên file.
- Hacker đổi tên file .PHP thành các file thực thi để thực hiện các việc tấn công.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_DuyTan
Kết quả sơ bộ ĐH DUY TÂN tìm thấy file Nobita.php có chứa shell nhận biến get "cmd" để thực thi câu lệnh trên Server
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_HVAN
Giải pháp Khắc phục lỗi upload file và SQL injection
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Giao diện bảo trì:
Untitled.jpg

Các shell được hacker upload đến server: asdasds.PHP, dasdasds.PHP, ga.PHP, garu.PHP, Jonhn.PHP, nobita.PHP, ok.PHP, Pun.PHP, shellcode.PHP
Nguyên nhân: hacker upload shell lên server thông qua chức năng upload (upload.PHP) bằng cách đổi đuôi file shell thành chữ in hoa (ví dụ: backdoor.php thành backdoor.PHP)
Phương án khắc phục:
Trước tiên: Cần kiểm tra các lỗi khác như SQL Injection (website bị rất nhiều chỗ SQL Injection).
Tiếp theo: Chặn không cho người dùng upload các file nguy hiểm, chỉ cho upload các file được cho phép (Cơ chế white list)
Hành động hacker thực hiện để deface trang chủ:
118.70.128.104 và 14.177.138.195 là địa chỉ IP "kẻ xấu"
Mã:
118.70.128.104 - - [23/Mar/2016:03:43:15 +0700] "GET /files/cmd=move%20index.HTML%20C:%5Cxampp%5Chtdocs%5C HTTP/1.1" 404 1059 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
14.177.138.195 - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"

Mô phỏng quá trình tấn công:
attack.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_ThangLong
Báo cáo lần 2 đội Trường Đại học Thăng Long:
- Phát hiện lỗi bypass login SQLinjection tại file địa chỉ: http://drill18.whitehat.vn/login.php
index_64222981b805ffb8512845f46613a52b.jpeg

- Hacker đã up file nobita.php lên server, file này cho phép thực thi cmd, đội đã test thử với ipconfig
index_64222981b805ffb8512845f46613a52b.jpeg

index_64222981b805ffb8512845f46613a52b.jpeg

index_64222981b805ffb8512845f46613a52b.jpeg

index_64222981b805ffb8512845f46613a52b.jpeg

index_64222981b805ffb8512845f46613a52b.jpeg

index_64222981b805ffb8512845f46613a52b.jpeg

index_64222981b805ffb8512845f46613a52b.jpeg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
EPAY: Thực hiện dò shell bằng công cụ như sau:

*************************************************************************************************
* *
* Welcome to Shell Detector Tool 1.1 *
* More information can be found here *
* http://www.shelldetector.com *
* *
*************************************************************************************************

Starting file scanner, please be patient file scanning can take some time.
Number of known shells in database is: 604
File scan done, we have: 24 files to analyze

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\delete.php
Full path: C:\xampp\htdocs\delete.php
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 15 17:25:00 2016
Last modified: Wed Oct 15 15:29:32 2014
Filesize: 1.7 KB


=======================================================

Suspicious behavior found in: C:\xampp\htdocs\download.php
Full path: C:\xampp\htdocs\download.php
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 15 17:25:00 2016
Last modified: Wed Oct 15 12:52:22 2014
Filesize: 2.7 KB


=======================================================

Suspicious behavior found in: C:\xampp\htdocs\filemanager.php
Full path: C:\xampp\htdocs\filemanager.php
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 15 17:25:00 2016
Last modified: Wed Oct 15 15:37:12 2014
Filesize: 1.6 KB


=======================================================

Suspicious behavior found in: C:\xampp\htdocs\myfiles.php
Full path: C:\xampp\htdocs\myfiles.php
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 15 17:25:00 2016
Last modified: Sun Oct 19 06:48:40 2014
Filesize: 2.9 KB

Suspicious function used: ["`files` where uid = '$UserId' order by `"](line: 21)

=======================================================

Suspicious behavior found in: C:\xampp\htdocs\files\ga.PHP
Full path: C:\xampp\htdocs\files\ga.PHP
Owner: 0:0
Permission: 666
Last accessed: Tue Mar 22 16:13:49 2016
Last modified: Tue Mar 22 16:13:49 2016
Filesize: 1.0 KB

Suspicious function used: ['`e\x0f\x8a"\xf0\xab\t`\xd0\xcc\xb0\xb1\xaa\x12\xc8\x10\xe6HZ5\xf0\xa1\xd4\xb6\xa6\xc2\x100\xe9kq\xfa\x9d\x18O\xcb"G\x7f\r~\xba\x89\x1b\x91\\R\x88Ht\x14\xe2\xe3\x7f\xe6\x19h[4\xa9\x19E\xa0\xd7\xc0\x13\xecKH\xe5\x81\xa2\x16\x8bt\x12\xde\xac\xc0\x9e\x9c\xdc\xfdvQDA\xa9+r\x88R\xf9\xeb\xedq\xbf{`\x95Ja\xc2x\x9d|b\x05\xdc!\xfb\xa2a\xba\x8fS8B\xd2\x93i\xfd\xa1B+\x95\xa4\x9f\x15\x1bwHC\x85\\\x88\x87\x1c\x86\xe3u\x99gR\xe3\xd0\x92x\x96$j\x1c\x14\xb2\x10\x10-\xc4\x89
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên