技术论坛 网站管理者不可不知:AppServ套件成为骇客入侵後门 作者：李美雯 / 计算机及资讯网路中心网路组程式设计师 -------------------------------------------------------------------------------- 使用AppServ可以在Windows作业系统中轻松安装与架设网站伺服器，AppServ包含Apache 、PHP、Mysql与phpMyAdmin等网站环境元件，深受一般人的欢迎。因为AppServ已经5年未 更新，骇客利用其phpMyAdmin的漏洞植入木马後门程式，因而触发多起资安事件。本中心 特此深入分析AppServ套件漏洞与木马後门的运作原理，以提供网站管理者有效解决方案 。 前言 102年6月份，计资中心接获本校45台主机Sdbot资安事件，这45台异常主机非常特别，同 时触发内对外的IRC异常连线及外对内的Sdbot异常连线。虽然在通报後主机管理者有处理 异常主机，但有些主机却因处理不完善，而再次触发同样的资安事件。透过网路流量分析 系统也发现遭通报的异常主机对外发出大量的UDP Flooding攻击。为了确实回复异常主机 以有效阻止异常主机对外攻击，我们决定深入分析Sdbot木马程式的运作原理，提供本校 网站管理者最佳解决方案。 AppServ漏洞与Sdbot运作原理 在随机分析3台被通报为异常主机的网路封包後，我们发现这些异常主机的phpMyAdmin页 面存在着被外部主机存取的纪录，初步得知这些异常主机的问题与phpMyAdmin有关。而 phpMyAdmin可让管理者透过Web介面管理後端Mysql资料库，提供资料库之汇出、汇入、删 除与修改等功能，使用该套件可增加管理後台资料库的便利性。至於为何以及如何被恶意 程式操控，则需要更进一步的分析。 经过向被通报的异常主机管理者查询後确认这些主机都有一个共通性，均安装了AppServ 2.5.10套件。AppServ套件在安装时自动帮使用者将Apache、PHP、Mysql与PhpMyAdmin四 个套件安装并设定好，就因为这样的方便性，许多学生架设网站时喜好采用这个整合套件 ，图一为安装好AppServ後的预设首页。 图一 AppServ安装完成後的预设页面 我们分析本校异常主机的封包後逐步还原整个资安事件的运作原理。首先，攻击者利用 phpMyAdmin中"setup.php"的漏洞，将恶意的PHP code(程式码)植入受害主机，并透过 setup.php页面上的管理选项参数(如图二显示之按钮选项)，伪造与Server端沟通的Token ，将恶意程式码写入主机，如图三所示。同时利用此页面将PHP设定档重置(reload)，在 重置的过程中执行被植入的恶意程式码。导致受害主机自动连线至外部主机下载并执行 Sdbot木马程式。受害主机遭受感染後，随即透过IRC(Internet Relay Chat)聊天室向 Bot C&C Server(Control & Command Server)报到并等候攻击指令，成为Botnet(殭屍网 路)的一员。通常Bot的活动包含，从Internet下载恶意软体，从受害主机窃取机敏资料， 入侵其他系统，或者发动DDoS (Distributed Denial-of-Service)攻击其他系统等。 图二 setup.php网页管理参数设定介面 图三 网路封包分析显示透过setup.php页面植入恶意程式码 　 从本校被通报的异常主机之网路封包分析中发现，异常主机接收到攻击指令後，开始对攻 击目标IP发出大量的UDP Flood攻击，如图四所示。攻击命令包含UDP洪水攻击开始 (UDPFlood Started)、攻击目标主机IP位址、攻击封包数量及攻击结束(UDPFlood Finished)等。大量的UDP Flood攻击不仅影响异常主机之区域网路传输速度，本机提供之 服务也无法正常运作。 图四 网路封包分析显示异常主机接收的攻击指令 　 建议措施 由於Sdbot的特性，主机感染後仅会将Sdbot暂存於记忆体中，因此透过重新开机便可将 Sdbot自主机中清除。除此之外，还需删除有漏洞的setup.php，以免漏洞再次被利用。因 此我们提供两种建议，一种是紧急措施，施作後可以在短时间内让网站恢复正常运作，另 一种则是长治久安的措施。因为AppServ套件长达五年未提供更新程式，或许还有其它漏 洞，未来仍有漏洞被利用的风险，重新安装最新版本的网站应用程式才是最佳解决方案。 紧急建议措施： 删除C:\AppServ\www\phpMyAdmin\scripts\setup.php（此为预设路径，需确认主机 setup.php的路径） 重新启动主机（务必清空主机记忆体中的攻击程式） 有效建议措施： 财 建议网站管理者将重要资料备份後，移除AppServ套件，并且重新安装最新版的Apache 、PHP、Mysql、PhpMyAdmin。 -- plurk https://www.plurk.com/dasea2030 face book 0911457604,0934169099 google+ https://plus.google.com/u/0/ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.57.208.48 ※ 编辑: dasea2008 (175.183.41.146 台湾), 05/13/2022 06:12:13 ※ 编辑: dasea2008 (210.66.169.48 台湾), 05/28/2022 19:30:23