该漏洞由习科VIP内部核心交流技术测评人员放出,提交至淘宝官方后,群截止本文发布,习科已经确认淘宝目前已经停止了该子域名的解析。

我们只是还原了早期黑客入侵的过程,目前尚不能确定是否会继续波及到雅虎、腾讯等引用该第三方框架的其他大型门户网站。

 

 

 此次的过程还原,我们发现历史是惊人的相似,曾经类似的门户有51CTO,通过技术含量并不高的手段入侵,发现上面有很多黑客都心照不宣的往下搬数据,地下圈子倒卖,而51CTO的态度是。。别特么的明目张胆的卖就好了。。就好了。。。好了。。。了。。。

不知道这次紫微星座会怎么处理这件事。


I, 淘宝分站引用第三方框架

淘宝网星座频道子域名(astro.taobao.com)曾引用湖南紫微科技有限公司的“科技紫微星座网”的内容,作为自己的第三方框架。

科技紫微星座网站是域名是go108.com.cn,目前淘宝已关闭该域名的解析,想看框架结构的可以通过百度或者Google快照查看。 

 

 

 由于紫微星座网存在安全隐患,通过拿到紫微星座网的权限就是拿到了淘宝引用第三方框架的权限,即等于可操控淘宝分站。

 

 II, 老版本漏洞未修补

Astro站点上多数为静态页面,看一下同服务器上有什么其他站点,如图。

 

 

 其中bbs站点打开后,发现是Discuz! 7.2版本,该版本存在注入漏洞,如果打补丁,后果可想而知。然而管理员就真的没打补丁。。

bbs.go108.com.cn/faq.php?acti
得到结果:
error: Duplicate entry 'admin:faa010a5ee068db62e6b8c10339e6424:1' for key 'group_key...
于是我们也就成功的登陆了后台:


 

 

***关于Discuz! 7.2注入漏洞的相关信息可在习科论坛(BlackBap.Org)进行搜索。

 

III, 服务器安全隐患多

Discuz!7.2后台插模板可以轻松的取到webshell

 

 

 拿到权限后,我们即发现早在去年12月1日该站就被黑客入侵。

猜一猜webshell名称为yuan2011.php和12309.php是哪个黑阔的马儿呢?

查看服务器Apache的网站配置/usr/local/apache2/conf/extra/httpd-vhosts.conf

<VirtualHost *:80>
    DocumentRoot "/home/ry6afw2h/www/comsenz"
    ServerName bbs.go108.com.cn
    DirectoryIndex index.php index.html
    #ErrorLog "logs/bbs-error_log"
    #CustomLog "logs/bbs-access_log" combined
</VirtualHost>
...
<VirtualHost *:80>
DocumentRoot "/home/ry6afw2h/www/taobao/"
ServerName taobao.go108.com.cn
DirectoryIndex index.php
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>

并不是所有的站点都开启了日志记录。被入侵的论坛就没有开启,按照这种尿性,黑客上来连痕迹都不用清理。

管理员记录淘宝分站的访问记录,目测黑产哥会很喜欢。

 

IV, 简评

习科核心技术群里的会员主要是还原黑客的入侵和漏洞测试,后期提权、脱数据库等行为,显然是可以做到的,但我们就此打住。

该服务器上的域名,被雅虎、淘宝、腾讯等多家大型门户网站引用做框架,管理员对服务器权限没有太多限制,黑客一旦发现漏洞,可获取的权限和服务器管理员没什么区别。

其实过程非常简单,但是这么大型的门户就此沦陷了。

曾经在51CTO就发生过这类的事情,旁注如出一辙,我想这无数的案例堆出来的真理,恐怕不是黑客太狡猾,是XX太不作为吧。
//silic.wiki