网络设施
2008-05-30 14:10    文章来源:网界网

抗震救灾“第二战场”的激情爱心接力

作者:网界网 赵晓涛

气愤的安全事件

对程刚来说,得到众多爱心企业的无私援助是一件令人高兴的事情。然而,从IPS上线以来,种种安全问题的暴露却令程刚高兴不起来。

其实早在地震以前,红基会就曾发生过黑客攻击事件,包括黑客入侵网站,甚至是将红基会的服务器植入僵尸程序。但是总的来看,那时候的攻击事件还是比较少的。

但在“5·12”地震以后,大量的爱心捐款不仅牵动了全国人民的心,也“牵动”了少数没有良知的黑客。此前在广州昆山已经发生过有黑客入

侵当地红十字会网站并修改捐款账号的事件。而在红基会此次上线IPS之后,也侦测到对于红基会网站的入侵与各种花样的攻击。这一度令在场的二十几位工程师气愤不已。

据贾泉海介绍,从5月17日下午开始,就已经出现了几个波次的攻击源,从IPS锁定的IP地址分析来看,攻击IP主要来自中国周边的国家和地区。而目前主要的攻击形式包括三种:SQL注入攻击、跨站脚本攻击、应用程序漏洞入侵。

据TippingPoint负责红基会远程诊断的安全专家李臻介绍,目前针对红基会的SQL注入攻击与跨站脚本攻击的非法牟利目的明显,黑客并非简单的去修改捐款账号,而是希望从中截获捐赠者的银行账号和密码,技术复杂度较以往有所增加。

传统上分析,进行这两类攻击都会去利用SQL数据库本身的弱点,采用“1=1”或者“T=T”的嗅探方式揣摩数据库的类型,然后配合相关攻击软件窃取数据库管理员密码,以便在网站上实施挂马。

对此贾泉海表示说,此次红基会出现的攻击事件,并非传统上针对商业网站的DDoS或者其他类混合攻击。换句话说,频繁的SQL注入与跨占脚本攻击,反映了目前一些黑客混混们的恶劣行径与趁火打劫的心态。

目前的挑战在于,对于基金会类网站,传统的IPS厂商此前并没有进行过专门的流量研究与分析,因此在过滤器的选择上需要摸索前进。不过好消息是,由于此次众厂商合理武装红基会的数据中心基础设施,极大地提升了数据中心的处理能力,而且微软公司也亲自上阵,从操作系统和SQL数据库根源进行安全保护,加上这次采用的IPS本身具备千兆支持能力,即便过滤器打开复杂一些,也不会出现性能瓶颈。

事实上,从5月17日至今,红基会已经根据IPS提供的LOG记录确定了一系列的入侵攻击源。据程刚介绍,红基会已经对入侵行为实施了记录取证,不排除在今后的某个阶段进行法律上的诉讼。

另外一方面,针对红基会现有应用漏洞的攻击也已经被安全专家所发现。据介绍,红基会此前曾经采用过一款开源的新闻信息发布系统。但很不幸,该系统存在严重的安全漏洞,并一度避过了IPS的检测。据悉,目前红基会已经停止了相关应用的使用,而IPS也进一步调整了过滤器的防御策略,力求全方位保护红基会的应用安全。

1  2  3  4  
责任编辑:闫冰

文章评论

发表评论
查看全部
评论加载中...请稍后

精彩专题