願景電信 已被入侵之事件 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2017-00110
  • Vendor: 願景電信事業股份有限公司
  • Title: 願景電信 已被入侵之事件
  • Introduction: 該伺服器已被入侵且被用來當跳板機掃瞄我國網站

處理狀態

目前狀態

公開
Last Update : 2017/04/08
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2017/02/06 16:38:35 : 新提交 (由 [email protected] 更新此狀態)
  • 2017/02/06 16:45:47 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/06 17:17:57 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/06 17:17:59 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/15 01:25:32 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/15 01:25:36 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/04/08 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2017-00110
  • 通報者:chris ([email protected])
  • 風險:嚴重
  • 類型:疑似遭入侵 (Probably Hacked)

參考資料

伺服器遭到入侵,例如頁面遭植入惡意程式、後門頁面等。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://mrtg.tw/

敘述

整體建議:

  1. Apache Tomcat 於上線前應強化其資安設定
    1.1 刪除用不到的管理介面如: admin、manager 等目錄
    1.2 修改可能存在的預設登入帳號以及密碼如: tomcat
  2. 使用軟、硬體防火牆放行必要且對外提供服務的埠號
    2.1 至少得阻擋 135, 139, 445, 1433, 3389 等高風險服務的存取
    2.2 以白名單的形式允許外部存取 80, 443 等服務
  3. 限縮第三方軟體的執行權限, 避免以 SYSTEM 權限進行啟動
  4. 使用高強度且不重複的密碼, 避免使用 [email protected] 等鍵盤密碼
  5. 這台伺服器就建議直接關機下線, 把它完整 format 掉後重灌吧 :-D

1 高危服務

網頁伺服器卻對外開通 1723 (PPTP VPN) 以及 8834 (Nessus) 等服務
從個人經驗來判斷應是某大國的同好, 在侵入伺服器以後所額外安裝的程式

2 網頁後門

以網站檔案、目錄列舉的軟體得知 /is 為攻擊者成功佈署後的一句話木馬
再使用常見的後門密碼, 即可取得該伺服器的最高權限, REF: http://ppt.cc/BhLdQ

3 權限提升

伺服器是 Windows 的作業系統, 而且 Tomcat 是用 SYSTEM 權限啟動的
預設的 JSP 等腳本權限就會繼承 SYSTEM, 這邊被傳木馬就等於整台被攻陷了

擷圖

留言討論

;