开发者社区> 觉宇> 正文

重要预警 | 阿里云捕获一例针对国内群呼系统的0day攻击

简介: 摘要 近日,阿里云安全团队基于态势感知 0day 监测系统,检测到来自立陶宛的攻击者的攻击行为。 据情报信息,该攻击者已批量攻击成功,并且,其使用的 Exploit 在互联网范围内未公开。阿里云安全技术团队接到告警后,第一时间协同漏洞研究、安全产品和应急团队,进行分析和处置。
+关注继续查看

摘要


近日,阿里云安全团队基于态势感知 0day 监测系统,检测到来自立陶宛的攻击者的攻击行为。


据情报信息,该攻击者已批量攻击成功,并且,其使用的 Exploit 在互联网范围内未公开。阿里云安全技术团队接到告警后,第一时间协同漏洞研究、安全产品和应急团队,进行分析和处置。


分析后发现,该攻击针对于国内某运营商合作群呼系统 — 暂称为Next群呼系统。


攻击者目前仅做小范围试探,并未进一步进行黑产变现;但根据攻击行为预判:因攻击者已经将受影响的目标已经存入数据库,待时机成熟时,不排除攻击者讲使用黑产技术,进行批量的变现的可能。目前,阿里云云盾WAF默认支持防御。


攻击行为分析


阿里云安全团队发现,原始的攻击报文会尝试读取用户的/etc/passwd,附带一个奇怪的特征在 POST 数据段“|||0\u05ab|\\”,推测可能是黑客用来标识自己的扫描流量。


攻击成功后,/etc/passwd将被回显:


HTTP/1.1 200 OK
Date: Sat, 10 Feb 2018 13:09:40 GMT
Server: Apache/2.2.14 (CentOS)
X-Powered-By: PHP/5.3.5
Content-Disposition: attachment; filename="passwd"
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 1103
Content-Type: application/x-gzip

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
saslauth:x:499:76:Saslauthd user:/var/empty/saslauth
...


该攻击者从2018-02-10 14:54:23开始,对该漏洞进行批量攻击,截止到目前扫描仍未停止,已有相当数量的“裸奔”(没有任何安全措施防护)的服务器中招。


5d3b95a717af89aa8b2d5f5a00b154c3e3f722ad


从攻击行为来看,目前该黑客只是做了漏洞的探测,并没有对漏洞进一步的利用,很可能是还未找到有效的变现手法。


阿里云团队也预测和提醒,不排除黑客已经将受影响的目标存入数据库,待时机成熟时,使用黑产技术进行批量的变现 — 因而提前做好防范十分重要。



97dfcf66e114591976e24425a588087dcbe61a52


从攻击趋势来看,黑客持续且稳定的进行漏洞扫描,逐渐扩大自己的战果,不排除攻击者增加多台服务器同时进行扫描。


漏洞详情


该 CMS (建站系统)属于某运营商合作群呼系统(因没有具体名字,暂称为Next群呼系统),在国内有一定数量的企业在使用。


阿里云安全团队对 CMS 进行了简单评估,定位根目录下downtar.php文件:


<?php
	function get_browser_type()
	{
	    $USER_BROWSER_AGENT="";
	
	    if (ereg('OPERA(/| )([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='OPERA';
	    }
	    else if (ereg('MSIE ([0-9].[0-9]{1,2})',strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='IE';
	    }
	    else if (ereg('OMNIWEB/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='OMNIWEB';
	    }
	    else if (ereg('MOZILLA/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='MOZILLA';
	    }
	    else if (ereg('KONQUEROR/([0-9].[0-9]{1,2})', strtoupper($_SERVER["HTTP_USER_AGENT"]), $log_version))
	    {
	        $USER_BROWSER_AGENT='KONQUEROR';
	    }
	    else
	    {
	        $USER_BROWSER_AGENT='OTHER';
	    }
	
	    return $USER_BROWSER_AGENT;
	}$fullpath = isset($_REQUEST['fullpath']) ? trim(urldecode($_REQUEST['fullpath'])) : '';$now = gmdate('D, d M Y H:i:s') . ' GMT';$USER_BROWSER_AGENT= get_browser_type();$basename = basename($fullpath);header("Content-Type: application/x-gzip");header('Expires: ' . $now);if($USER_BROWSER_AGENT == 'IE'){
    header("Content-Disposition: attachment; filename=\"$basename\"");
    header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
    header('Pragma: public');}else{
    header("Content-Disposition: attachment; filename=\"$basename\"");
    header('Pragma: no-cache');}readfile($fullpath);?>


源码中将$_REQUEST参数直接传入readfile函数,导致任意文件读取。


安全建议


为了避免黑客进行批量利用造成更大影响,阿里云安全建议相关企业,及时进行自测:


(1)如果存在漏洞,可以快速热修复:直接将 downtar.php 的 50 行 readfile 函数进行注释。


(2)可使用阿里云云盾Web应用防火墙,默认防护此类攻击。


后记


阿里云安全团队目前尚未研究该措施对于该 CMS 正常使用的影响,在进一步的研究修补方案的同时,我们也会将漏洞同步给 CMS 的开发商,请受影响的用户及时关注后续的通知。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
市政务系统迁移上阿里云,通用型高效解决方案
本文主要分享HyperMotion第三方云迁移工具,帮助某市政务系统迁移归集上云的通用型高效解决方案。该方案可解决政务系统过于老旧无法重装改造、硬件系统过时与大部分工具无法适配、政务系统部署复杂、数量庞大、跨地域分布人员协调难度大等问题。
20 0
阿里云ECS服务器安装Redis教程by Alibaba Cloud Linux系统
阿里云ECS服务器安装Redis教程by Alibaba Cloud Linux系统,Alibaba Cloud Linux 2针对Redis应用进行了专项调优,相比社区版操作系统,Redis应用整体性能提升20%以上。Alibaba Cloud Linux 2内置Redis 6.0.5和Redis 3.2.12的yum源,执行sudo yum install命令即可部署Redis 6.0.5和Redis 3.2.12。
47 0
重磅|阿里云支持上交所新交易监管系统上线运行
阿里云提供技术支持的上海证券交易所新交易监管系统已正式上线运行
346 0
更安全更稳定,阿里云斩获多项云系统稳定安全运行优秀案例
近日,阿里云凭借在稳定性领域的全栈投入,获评中国信通院混沌工程实验室 2022 年度杰出贡献企业,并斩获“云系统稳定安全运行优秀案例”活动中多领域优秀案例。阿里云持续推动企业 IT 系统建设,保障千行百业安全稳定的实现数字化转型与创新。
82 0
《构建智能化的视频系统 阿里云CDN的进化》电子版地址
构建智能化的视频系统 阿里云CDN的进化
42 0
阿里云MongoDB助力纵腾集团提升IT系统效率及开发优化
业务工单系统使用阿里云版MongoDB后,解决了查询效率低的问题,极大地提升了业务效率和用户体验,获得了显著的效果。
205 0
阿里云Linux(Centos和Ubuntu)系统下安装Tomcat并配置
阿里云Linux(Centos和Ubuntu)系统下安装Tomcat并配置
185 0
阿里云Linux系统(Centos和Ubuntu)下安装jdk并配置环境变量
阿里云Linux系统(Centos和Ubuntu)下安装jdk并配置环境变量
176 0
《阿里云IoT —从系统打造到生态构建 林伟》电子版地址
阿里云IoT —从系统打造到生态构建 林伟
46 0
基于阿里云机器学习平台PAI搭建投放系统
移动互联网APP产品在面对新用户获取环节,普遍选择市场推广模式。在推广过程中,为了保证用户在app下载、app安装、app激活到app活跃的高转化率,需要实时监控各推广的质量。较为理想状态是投入产出比为:大于等于1。
168 0
阿里云资源包额度预警设置操作指导
资源包为预付费的抵扣包,是指您根据业务量级预估一次性付费购买相应规格的商品资源包。自购买日起,一年内有效,有效期内产生的计费调用量优先使用资源包抵扣额度,超出有效期未抵扣的资源包额度自动失效。资源包过期或额度耗尽时,服务将会自动切换为后付费进行按量计费。为了避免当资源包耗尽时,面临服务不可用风险。设置资源包额度预警后,则当资源包剩余一定额度时,会通过短信、邮箱方式向您推送通知。阿里云虽然提供了资源包额度预警设置,但是由于对阿里云控制台的不熟悉,往往不知如果进行额度预警的调整及设置。本文简单介绍设置资源包额度预警操作步骤,以供参考。
395 0
有效预警6要素:亿级调用量的阿里云弹性计算SRE实践
关注保持良好的预警处理,持续解决系统隐患,促进系统稳定健康发展。
9581 0
直播预告丨阿里云佐井:关注预警6要素,帮助用户实现精准监控和告警
通过监控预警,把问题扼杀在摇篮里,减少故障带来的业务损失。
299546 0
15秒预警 阿里云“消控宝” 打通消防“生命通道”
消防法规定,任何单位、个人不得占用、堵塞、封闭疏散通道、安全出口、消防通道;单位违反规定可处5000元以上5万元以下罚款。一旦发生火灾,消防车救援通道被堵,造成巨大的财务损失,人身安全也将受到威胁,消防管理责任人将承担沉重的法律责任。低成本、智能化的方式监管、解决消防通道占用问题是刚需!
173 0
+关注
觉宇
文章
问答
视频
相关电子书
更多
阿里云认证的解析与实战-数据仓库ACP认证
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
相关实验场景
更多