SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Подробности В то время мало что было известно как о самом изъяне, так и о связанной с ним опасности, угрожающей Web -серверам IIS . Однако более глубокий анализ ранее реа­ лизованных атак заставил экспертов по безопасности всерьез заговорить о растущей угрозе. Уже было известно о том, что это некоторая разновидность червя, но для сло­ жения всей головоломки еще не было собрано достаточно информации. Было извест­ но лишь следующее. • Сначала с помощью переполнения буфера червь получал контроль над Web - сервером. Червь начинал процесс инфицирования с создания списка случайно сгенериро­ ванных IP -адресов. Ошибка в реализации этого кода привела к тому, что на са­ мом деле эти адреса не были случайными. Разработчик кода использовал жестко за­данное начальное число, которое передавалось генератору случайных чисел. В ре­ зультате каждый зараженный вирусом-червем сервер генерировал один и тот же список IP -адресов. Поэтому одни и те же системы инфицировались многократно. После инфицирования системы червь выполнял целый ряд действий. В зараженной системе настраивалось специфичное для червя рабочее окружение. • Для самораспространения червь создавал МО отдельных потоков. Первые 99 потоков использовались для инфицирования других Web -серверов. • В контексте 100-го процесса проверялось, установлена ли на сервере-жертве английская версия системы Windows NT /2000. Если такая проверка завершалась успешно, червь принимался за модификацию содержимого Web -сервера. Со­ держимое индексной страницы локального Web -сервера удалялось, а вместо него вставлялся текст Welcome to http :// www . worm . cojB !, Hacked By Chinese !. Ha сервере модифицированная Web -страница оставалась активной в течение деся­ ти часов, а затем исчезала. Приведенное выше сообщение снова появлялось лишь при повторном заражении. Атака на внутренний сервер IIS была быстрой и точной. Один-единственный URL -запрос позволял удаленно выполнять команды на сервере IIS по адресу 10.б.б.5, используя уязвимость кодировки Unicode сервера IIS . http: //10.4.3.2/content/../«cript»/..»cQUf . ./vinnt/systein32/cnd.exe?/c+set На рис. 6.6 показано окно броузера после выполнения этого запроса. Вам понятно, в чем состояла эта атака? Сервер Netscape был настроен преобразо­ вывать любые URL -адреса, начинающиеся с / content /, в http ://10.6.6.5/ content /. Таким образом, получив первоначальный запрос, он преобразовал его в http ://10.6.6.5/ content /../ scripts /..» c 0% aJ ../ wirmt / syeteB 32/ CBd . exe 7/ ctset Затем этот URL -адрес передавался по внутренней сети как HTTP -запрос к серверу IIS по адресу 10.6.6.5. Получив этот запрос, сервер IIS из-за наличия символов ".." между фрагментами / content / и / scripts / преобразовал его в обычную атаку, связанную с уязвимостью кодировки Unicode : http ://10.6.6.5/ scripts /.. lc 0 taf ../ winnt / systea 32/ and . exe ?/ c » set В результате броузер отображал список команд, которые были запущены на серве­ ре Windows 2000 по адресу 10.6.6.5, т.е. использование общего URL -адреса спо­ собствовало взлому сервера приложения во внутренней сети, несмотря на то что он был защищен брандмауэром и внешним Web -сервером.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |