广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2464 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
灿坤资料外泄:IIS 6漏洞加FCKeditor惹祸
灿坤资料外泄:IIS 6漏洞加FCKeditor惹祸
作者:张维君 -06/28/2010
http://www.informationsecurity.com.tw/a...ail.aspx?aid=5790

知名3C连锁卖场灿坤传出资料外泄,5月以来网友纷纷在论坛留言接获诈骗电话,对方清楚知道消费交易细节,有受害者因此受骗上当用ATM转走数万元,甚至上百万元不等。警方表示,这波遭受攻击的企业共10多家,灿坤只是其中之一。

自5月以来,网友在mobile 01论坛接连反映接到诈骗电话,疑似3C连锁卖场灿坤资料外泄。灿坤日前在接受媒体采访时表示已报警处理,坦言系统遭骇客入侵。除灿坤之外,受骇企业包含零售通路业者,不愿具名的某受骇企业表示,经过调查,此次骇客利用微软作业系统的漏洞、网页文字编辑器共享软体FCKeditor,上传一支后门程式,随后不断扫描内部网路架构,并狡猾地把所有痕迹抹除,造成事后调查的困难。事发后除了移除FCKeditor外,布署网页应用防火墙(WAF),并全面翻修检查SQL Injection漏洞,改写应用程式。

负责调查的侦九队表示,由这几起受骇企业的共同点来看,某些受骇企业虽然有布署网页应用防火墙(WAF),但是布署的位置可能有问题,才导致系统仍然沦陷,建议企业应改变网站架构,并且让使用者浏览时统一导向首页。由于企业多半会将WAF布署在防火墙之后、网站伺服器之前,但从过去的例子来看,许多网站受骇时间是在周五人员下班之后,骇客利用大量SQL injection封包使WAF CPU超载,以便直接绕过WAF,建议企业可利用白名单方式过滤非正常网页路径及参数。此外,另一个值得注意的是,业者在与供应链厂商进行资料交换时,不能光是单方传递资料,双方应分别建置交易金钥,并将其视为内部环境来稽核安全等级。

刑事局警务正常金兰指出,灿坤的165诈骗报案来电数在上周已大幅减少,尤其日前两岸诈骗集团落网后,165诈骗报案数已减少150多笔,但将来这些被外泄资料是否遭利用再生,值得注意。而近日165接获报案数较高的是U-life森森百货,消费者得多加留意。

专家建议 敦阳科技资安顾问吴东霖指出,此次攻击骇客利用FCKeditor的上传功能加IIS 6副档名解析弱点(目前为止未发布更新)大量入侵伺服器,建议先将FCKeditor的"filemanager"目录移除(将会失去FCKEDITOR 上传功能),并且确实隔离IIS GUEST USER权限,网站根目录建议建立至独立磁碟区,移除根目录之"Users"群组,以NTFS ACL针对IUSER将静态目录设定为不得写入,同时在IIS中将静态目录的执行权限设定为"无",静态目录(例):/css/ , /js/ , /image/ , /upload/等…不需要执行动态页面之目录。如静态目录需要上传权限,可将NTFS设定为写入, 但必须在IIS中设定该目录之执行权限为"无"。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾中华电信 | Posted:2010-06-29 09:14 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.021872 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言