MySQL.com和Sun.com到底是如何被黑的?
原創【51CTO 3月30日外電頭條】28日早上,甲骨文的許多人面紅耳赤,原因是甲骨文旗下的兩個網站:MySQL.com和Sun.com在上周末被經驗極其老道的亦正亦邪的羅馬尼亞黑客TinKode和搭檔Ne0h攻破了。(可參閱《MySQL.com被SQL注入攻擊 用戶密碼數據被公布》)這兩個網站是一種來源尚未明確的SQL盲注攻擊手法的受害者--你以為,MySQL的開發人員和管理員們完全知道如何防范這種類型的攻擊。很顯然,你想錯了。
熱文推薦:對搜狐、網易和TOM三大門戶網站的SQL注入漏洞檢測
下面是具體的經過:星期天一大早,Jackh4xor安全組織向Full Disclosure(全面披露)郵件列表發去一封郵件,解釋MySQL.com"很容易遭到SQL盲注攻擊漏洞的襲擊。"該郵件將MySQL.com客戶瀏覽頁面列為是目標網站。有人從MySQL.com網站竊取了一批數量驚人的數據庫、表和字段,還有一小部分的用戶名和密碼,它們有的采用加密形式,有的沒有加密。
此后不久,聲稱來自羅馬尼亞Slacker.Ro的TinKode和Ne0h的一份冗長的列表出現在了Pastebin網站上。TinKode(或者更準確地說,是打著TinKode名號的那個人)曾先后闖入了美國陸軍網站、Eset、美國宇航局、英國國防部、路透社及其他知名機構的網站。TinKode還稱Jackh4x0r是"我們的朋友";他聲稱,他和Ne0h在今年1月發現了這個安全漏洞。
TinKode的列表包括幾個關鍵的用戶名,如"sys"和"sysadmin",還包括它們被破解的相應密碼--最可能是使用彩虹表(rainbow table),從加密的密碼中提取出來的。Sys(系統)的密碼是"phorum5";sysadmin(系統管理員)的密碼是"qa."。顯然,一些網站管理員不想為使用復雜的密碼而操心。
MySQL.com網站包括幾個WordPress博客(WordPress在MySQL上運行),TinKode和Ne0h都極其友善,把其中許多博客的ID和密碼告訴給了全世界。前任MySQL項目管理主管(他在2009年以后就沒有更新過其博客)的用戶名為"admin",密碼是"6661"。前任社區關系副總裁(他在2010年1月以后就沒有寫過博文)同樣采用了"admin"的用戶名,相應的密碼是"grankulla"。我覺得,公司頭頭們都不愿使用復雜的密碼。 (編者注:話說網站密碼的記憶的確是個大問題,如果不愿自己記密碼,借助一些工具也不錯。參考文章《1Password密碼管理器使用指南》、《自己都不記得的密碼 才是惟一安全的密碼》)
值得一提的是,MySQL并不是因密碼被竊取或被猜出而中黑手的。TinKode和Ne0h采用SQL盲注攻擊手法,就攻破了該網站,他們針對的目標是接口,而不是數據庫。TinKode還聲稱控制了MySQL.fr、MySQL.it、jp.MySQL.com和MySQL.de這四個網站。
TinKode對于黑掉Sun.com過程的描述似乎平淡無奇,只借助一份竊取來的表和字段,還有少數幾個電子郵件地址,但根本沒用到密碼。至于他們是沒有找到密碼、根本就是不要密碼,還是說將密碼藏著掖著準備搞更邪惡的事,并不清楚。Sun.com是不是因MySQL.com遭到的同一種注入攻擊手法而被攻破也不清楚。
誰監管監管者?這年頭,還真不好說。
文章來源:http://www.infoworld.com/t/hacking/analysis-how-mysqlcom-and-suncom-got-hacked-909
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
