近期习科论坛中有会员公开了韩国最大运营商Cafe24虚拟主机vpopmail的安全隐患问题。该问题暴露了Cafe24主机中MySQL系统数据库可被下载的问题,且被下载的数据库中vpopmail账户密文可被破解。

根据习科目前了解的几个针对韩国的黑产队伍已经开始了大规模的入侵下载企业邮箱数据库行为。

 

 

因Cafe24壕不在乎无视目前主机中出现的问题,根据习科论坛中披露的更多的技术细节,在本文中我们将披露部分的详细细节。

韩国最大的运营商Cafe24,最大自然是有无数的韩国网站托管。Cafe24为方便这些虚拟主机的管理,将虚拟主机用户的企业邮局放置在Web站点同服务器上。

而MySQL数据库目录的上级相邻目录中,默认存在MySQL的早期安装文件备份及数据库导入文件"var.gz",该文件权限设置不足,可被低权限的Web用户下载。

下载该文件后,查看mysql文件夹中的user.MYD文件,root的密码默认已经更改,但是测试后发现vpopmail的用户密码默认是不修改的,该用户可以访问MySQL的vpopmail数据库,并获得该服务器所有虚拟主机用户的企业邮服账户权限。

那么问题来了,vpopmail账户的默认密码是什么呢?

Cafe24默认Linux装机系统中MySQL的vpopmail用户密码是zosskxm999。随便找个cafe24主机你试试。。

这就是黑产团队开始大规模脱数据的原因和手段了。

目前在使用Cafe24的主机的用户请注意检查自己的是不是中招了。因为密码是加密过的,临时修补措施是把密码复杂吧。

//silic.wiki