Apache是全球使用最多的Web Server之一，近期Apache的官網(wǎng)被黑客入侵了，素包子根據(jù)apache網(wǎng)站的描述，分析了下黑客的思路。大概包含5個(gè)過(guò)程，雖然道路曲折，但黑客快速通關(guān)，一步一步的接近目標(biāo)，有很多可圈可點(diǎn)的地方，還是相當(dāng)精彩的?？上ё詈髉eople.apache.org沒(méi)搞下來(lái)，否則可以寫(xiě)小說(shuō)拍電影了，不過(guò)男女主角不能是aXi和aJiao。

1、通過(guò)跨站漏洞社工了幾個(gè)管理員，獲得JIRA（一個(gè)項(xiàng)目管理程序）后臺(tái)管理權(quán)限，并修改相關(guān)設(shè)置，上傳jsp木馬。

2、在后臺(tái)看到其他用戶的帳號(hào)，通過(guò)登陸入口暴力跑密碼，破解了幾百個(gè)帳號(hào)。

官方說(shuō)是“At the same time as the XSS attack”，我不這么認(rèn)為，我認(rèn)為是獲取后臺(tái)之后，能看到帳號(hào)了，才可以高效率的破解密碼。如果不通過(guò)后臺(tái)就可以破解幾百個(gè)帳號(hào)，那這個(gè)事情早就發(fā)生了。

3、部署了一個(gè)JAR，可以記錄登陸帳號(hào)及密碼，然后用JIRA的系統(tǒng)發(fā)郵件給apache的管理人員說(shuō)：“JIRA出現(xiàn)故障了，請(qǐng)你使用郵件里的臨時(shí)密碼登陸，并修改密碼”，相關(guān)人員登陸了，并把密碼修改成自己常用的密碼，當(dāng)然，這些密碼都被記錄下來(lái)了 ：）

4、正如黑客所算計(jì)的，上述被記錄的密碼中，有密碼可以登陸brutus.apache.org，更讓黑客開(kāi)心和省心的是，這個(gè)可以登陸的帳號(hào)竟然具備完全的sodu權(quán)限（不知道包子是不是想打sudo？），提權(quán)都不用提了，直接就是root，真是爽的一塌糊涂啊。而這個(gè)被root的brutus.apache.org上面跑著JIRA、Confluence和Bugzilla。

5、brutus.apache.org上的部分用戶保存了subversion的密碼，黑客用這些密碼登陸了people.apache.org，但是并沒(méi)獲得其他權(quán)限。這個(gè)people.apache.org可是apache的主服務(wù)器之一，如果root了這個(gè)機(jī)器，那基本可以獲得所有apache主要人員的密碼了?？上?，黑客們功虧一簣。

整個(gè)故事到此結(jié)束，下面說(shuō)說(shuō)Apache是如何發(fā)現(xiàn)自己被入侵的。

根據(jù)apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”，我猜測(cè)apache是因?yàn)楹诳椭卦O(shè)了用戶密碼這個(gè)行為才發(fā)現(xiàn)被入侵的。

如果說(shuō)的是黑客重設(shè)的是JIRA的密碼，那么就是因?yàn)楹诳妥鰬驔](méi)做足全套導(dǎo)致的，可能apache管理人員上去看之后，發(fā)現(xiàn)沒(méi)啥問(wèn)題，被忽悠了。

如果說(shuō)的是黑客重設(shè)其他密碼，我想不到整個(gè)過(guò)程中還需要重設(shè)什么其他的密碼。

我還是對(duì)apache的安全措施非常好奇，到底是如何發(fā)現(xiàn)的？到底是相關(guān)人員安全敏感度高呢，還是黑客留下了一些痕跡被安全檢查措施發(fā)現(xiàn)了。如果是后者的話，檢查周期又是多長(zhǎng)呢？24小時(shí)？

經(jīng)驗(yàn)教訓(xùn)：

回頭再看看黑客的整個(gè)攻擊過(guò)程，素包子相信在細(xì)節(jié)上會(huì)有很多可以吸取教訓(xùn)的地方。從長(zhǎng)遠(yuǎn)來(lái)看，可以加強(qiáng)安全意識(shí)培訓(xùn)、實(shí)施SDL安全開(kāi)發(fā)生命周期、日志集中分析、主機(jī)入侵檢測(cè)系統(tǒng)等等，這些都是需要企業(yè)的安全部門長(zhǎng)期投入去做的事情；相對(duì)短平快的方法是要求重要的人員、重要的應(yīng)用、重要的系統(tǒng)使用雙因素動(dòng)態(tài)密碼認(rèn)證。

51CTO王文文：萬(wàn)千開(kāi)源愛(ài)好者追捧的Apache，官網(wǎng)又一次被搞了。我記得2009年那會(huì)剛被黑過(guò)，2010年春天再次上演。有意思的是，似乎每次都被黑客拿到apache.org的最高權(quán)限，我記得09年前有一次是被社工旁路搞進(jìn)去了，不過(guò)那次黑客沒(méi)做破壞，友情提示后就公開(kāi)了入侵過(guò)程。這回的被黑事件也挺雷人，居然能直接調(diào)用root權(quán)限？?。h My Lady GaGa！就算是免費(fèi)的開(kāi)源產(chǎn)品，也要有點(diǎn)敬業(yè)精神吧。另外，Apache的運(yùn)維兄弟們，是不是得去鞏固一下安全課程了？

【編輯推薦】

1. “拯救網(wǎng)站運(yùn)維經(jīng)理趙明”有獎(jiǎng)方案征集啟事
2. 對(duì)360、QQ醫(yī)生、金山衛(wèi)士的功能精確度測(cè)試
3. 企業(yè)應(yīng)如何防范內(nèi)存抓取惡意軟件
4. 微軟IE被曝“邏輯缺陷”漏洞