廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2472 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
燦坤資料外洩:IIS 6漏洞加FCKeditor惹禍
燦坤資料外洩:IIS 6漏洞加FCKeditor惹禍
作者:張維君 -06/28/2010
http://www.informationsecurity.com.tw/a...ail.aspx?aid=5790

知名3C連鎖賣場燦坤傳出資料外洩,5月以來網友紛紛在論壇留言接獲詐騙電話,對方清楚知道消費交易細節,有受害者因此受騙上當用ATM轉走數萬元,甚至上百萬元不等。警方表示,這波遭受攻擊的企業共10多家,燦坤只是其中之一。

自5月以來,網友在mobile 01論壇接連反映接到詐騙電話,疑似3C連鎖賣場燦坤資料外洩。燦坤日前在接受媒體採訪時表示已報警處理,坦言系統遭駭客入侵。除燦坤之外,受駭企業包含零售通路業者,不願具名的某受駭企業表示,經過調查,此次駭客利用微軟作業系統的漏洞、網頁文字編輯器共享軟體FCKeditor,上傳一支後門程式,隨後不斷掃描內部網路架構,並狡猾地把所有痕跡抹除,造成事後調查的困難。事發後除了移除FCKeditor外,佈署網頁應用防火牆(WAF),並全面翻修檢查SQL Injection漏洞,改寫應用程式。

負責調查的偵九隊表示,由這幾起受駭企業的共同點來看,某些受駭企業雖然有佈署網頁應用防火牆(WAF),但是佈署的位置可能有問題,才導致系統仍然淪陷,建議企業應改變網站架構,並且讓使用者瀏覽時統一導向首頁。由於企業多半會將WAF佈署在防火牆之後、網站伺服器之前,但從過去的例子來看,許多網站受駭時間是在週五人員下班之後,駭客利用大量SQL injection封包使WAF CPU超載,以便直接繞過WAF,建議企業可利用白名單方式過濾非正常網頁路徑及參數。此外,另一個值得注意的是,業者在與供應鏈廠商進行資料交換時,不能光是單方傳遞資料,雙方應分別建置交易金鑰,並將其視為內部環境來稽核安全等級。

刑事局警務正常金蘭指出,燦坤的165詐騙報案來電數在上週已大幅減少,尤其日前兩岸詐騙集團落網後,165詐騙報案數已減少150多筆,但將來這些被外洩資料是否遭利用再生,值得注意。而近日165接獲報案數較高的是U-life森森百貨,消費者得多加留意。

專家建議 敦陽科技資安顧問吳東霖指出,此次攻擊駭客利用FCKeditor的上傳功能加IIS 6副檔名解析弱點(目前為止未發布更新)大量入侵伺服器,建議先將FCKeditor的"filemanager"目錄移除(將會失去FCKEDITOR 上傳功能),並且確實隔離IIS GUEST USER權限,網站根目錄建議建立至獨立磁碟區,移除根目錄之"Users"群組,以NTFS ACL針對IUSER將靜態目錄設定為不得寫入,同時在IIS中將靜態目錄的執行權限設定為"無",靜態目錄(例):/css/ , /js/ , /image/ , /upload/等…不需要執行動態頁面之目錄。如靜態目錄需要上傳權限,可將NTFS設定為寫入, 但必須在IIS中設定該目錄之執行權限為"無"。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣中華電信 | Posted:2010-06-29 09:14 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.021462 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言