(Linux Pilot Vol.61) 網頁被「騎劫」後的正確處理方法

2007年8月23日,清早的電話帶著恐慌的響起,很有點大事不妙的味道,是一位系統管理員朋友的來電,他們的整個公司網頁被「騎劫」了,走投無路下要求救。
(見圖一,這是同一黑客的傑作,和我朋友被騎劫的網頁的文字內容差不多,我朋友公司被騎劫的網頁就不公開了。)

這位朋友的公司有代理資訊保安和防火牆產品,這次算是「老貓燒鬚」。 網頁被竄改對一個企業來說是重大事件,對形象和商譽都有影響,如果公司是搞網絡保安的,那就更不用出來混了。 我和他們公司沒有業務往來,意味這次會是「白做」,可能會是我「濫好人」罷,總不能見死不救。 回心一想,「濫好人」就好到底罷,這種事件的正確處理方法,可能對其他朋友也有點作用,不如寫出來和大家分享一下罷。

必要立即執行的程序

遇到這類事件,有幾個必要程序要立即執行,包括:

  1. 記錄發現的時間,印出被竄改後的網頁內容,備份被竄改後的檔案和日誌檔,目的是收集犯罪証據。
  2. 更改所有相關連的系統密碼,這是臨時的保安對策。
  3. 檢查DNS記錄,查證域名指向的IP位址,和域名持有人名稱和聯絡記錄的正確性,若有問題要立即修正。
  4. 檢查網頁伺服器內的檔案,找出被竄改的部份,重新由早前的備份中把正確的檔案載回。
  5. 檢查網頁伺服器的系統檔案,最好重設所有設定或重裝系統和更新系統,以確保伺服器的安全性。
  6. 檢討整個對外系統的安全性,尤其是保安火牆的設定,以確保問題不再發生。
  7. 就搜集到的証據,試圖和有關部門聯絡,把犯案者找出來。


頭6項都是必要工序,第7項就比較麻煩,但為絕後患,都是了解一下對手好。 若事件只因為自己的系統安全性做得不好,那倒小事; 但若是被人針對,那便很有追查的必要!

黑客攻擊解構

由畫面的資料看,這個自稱「DarkxboYZ」,來自土耳其的駭客,目的是要對以色列作出抗議,這幾句文意不通的英文,大意可翻譯為:「以色列,不可殺害兒童!嘿穆斯林! 你在哪裡? 以色列是所有穆斯林的敵人。只要我們存在世界上,以色列你將消失!」

Google 一下,「DarkxboYZ」這駭客在網上的足印有很多,「中招」的網頁多是以“.asp”為檔案尾碼的網站,連沙特阿拉伯政府的網站(www.rcjy.gov.sa)也榜上有名。 看來似是針對微軟IIS網頁伺服器漏洞的針對性攻擊。 老實說,那倒比較放心,暫時可推定駭客只是按IP位址掃瞄,「有孔即入」的,竄改了這網站,只要做好補救的工作,問題即可解決。

亡羊補牢

而當一套伺服器被入侵後,尤其是微軟之類的封閉原碼產品,一般我們都會建議客戶,轉移網站到另一臺伺服器,再清洗及重裝整臺被入侵的機器,才把它再投入生產。 這是因為我們無從証明,伺服器會否在某處被植入木馬或其他惡性程式碼,清洗及重裝,遠比單純的掃毒和備份可靠和簡單,要不然可能因此而要負起「參與散播病毒/木馬」的罪名就更壞事了。

被竄改網站的公司看似和以色列無關,在有進一步資料前,暫可推定為無針對性。 這樣,問題應該是系統的安全設計出了問題。 (唉,這公司還是做資訊保安產品的……)

Linux用戶的反思

看到這裏,有用Linux的朋友的朋友可能會冷笑,那是微軟產品的問題嘛,和Linux有關係嗎?

答案是「有」,兔死狐悲嘛,Linux也不是天下無敵的。 Ubuntu的伺服器 便最近爆出了大型的保安問題1。 其實很多人隨便用Fedora/RedHat等建立一臺電腦,以為有Apache/PHP/MySQL便可以當成網頁伺服器,這是很不安全的一套系統,保安程度和上述的系統只是50步笑100步。 除了要為伺服器持續更新套件確保安全外,最少也要把Linux內建的iptable保安火牆加上適當的規則,關閉一切不適當的服務程序,如telnet,samba,ftp……等,更要把各程序的日誌檔(System Logs)設定好,這才勉強算合格。 最好當然是使用有保安設計的專業Linux版本,那便可以比較安全了。

更多的黑客入侵實錄

上文提到的IP位址掃瞄,其實只是小兒科,我公司管理的伺服器群裏,由於設有「LogWatch」這套件,會每日自動分析主要的系統日誌檔,然後把報告傳給網管,最日又有「新記錄」,值得和大家分享。

一般而言,SSH介面因為比較安全,已取代了telnet,成為伺服器管理員的主力管理工具。 駭客便使用暴力破解的方式,在SSH介面不停以不同身份和密碼,試圖侵入系統。 圖中列出的是我們記錄裏最嚴重的入侵記錄,駭客以數個不同的國內IP(主要是四川和上海的IP),在24小時內,共試了107,056個組合,我們最後需要連SSH也要關閉了,他們才死心。

網絡世界有無限的可能性,「可能性」當然也包括危險性。 找個「像樣」點的系統顧問(像小弟……),為你寶貴的商譽做一點投資是很值得的。 至少,我會給你建立一套企業級的Linux伺服器。 試著和封閉原碼,保安系統漏洞無日無之,黑盒內的「惡夢之窗」說再見罷!


1. Ubuntu servers hacked to attack others (http://blogs.zdnet.com/security/?p=453&tag=nl.e540)

 

作者: 馮德聰 (Datayard Systems Ltd. 科技總監)

原載 2007年9月Linux Pilot Vol.61

 

 


Direct URL : http://paulfung.com?contentid=51

分享


       發佈日期: Wednesday September 26, 2007 HKT


Copyright 2006-2011® Paul T.C.Fung at MindFarm.com
System Powered by DataYard.com