軟體開發(軟件開發)

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

室內設計、裝潢、窗簾報價估算軟體

網智數位主要提供套裝及客製化的軟體系統解決方案,針對室內設計師、木工、裝潢業產業,量身訂做客製化的軟體,達成客製化、智慧化及網路化的商用軟體。

商用軟體-客製化設計

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

IOT 物聯網-系統開發

根據客戶實際狀況,結合雲端與載具進行客製化物聯網IOT導入與軟體開發

雲端VPS虛擬主機租用

我們的雲端VPS虛擬主機是採用雲端(虛擬化)技術所開發之全新雲端伺服器服務,可以選擇多種作業系統(Windows、Linux等),客戶可載入自訂的應用環境,執行自己所要提供的網路服務,我們的雲端服務可為您的網站提供最完美的解決方案。

ERP軟體客製化導入

ERP軟體客製化導入,室內設計、營造業、裝潢、木作工程、系統櫃工程、會計系統,全面提升公司管理營運效率。

搜尋引擎最佳化SEO

搜尋引擎最佳化(SEO)不僅能提高網站在搜尋結果的排名,更能帶來大量對我們產品或服務真正有需求的訪客。SEO 最棒的特質之一就是不像廣告一樣亂槍打鳥而導致用戶的反感,反而更能提升點閱率跟成交率喔。

服務宗旨

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

我們的成立宗旨就是要以最猛的IT技術讓這個世界更Smart,在我們貫徹我們裡想的同時,我們希望可以把我們所開發的系統帶給台灣的中小企業,除了要推薦好的東西之外,我們也希望做點改變,所以我們的第一目標就是要使用最好用的系統再加上您寶貴的創意,不僅僅可以節省你大量的荷包,還可以有一個像樣的網站。我們可以幫你做的有

企業管理
  • 策略管理
  • 目標管理
  • 行銷管理
  • 財會管理
  • ERP導入
  • 企業流程自訂
資訊管理
  • 網站架設
  • 虛擬化/雲端架設
  • 主機代管
  • 私有雲建制與導入
軟體開發
  • UML設計
  • 版本控管
  • 企業軟體開發
  • APP開發
  • 網頁設計
資訊安全
  • 網頁弱點掃描
  • 主機弱點掃描
  • 木馬檢測
  • 資安鑑識
  • 設計網路架構
  • 資安監控
行銷
  • 關鍵字SEO
  • 社群網路行銷
  • 部落格行銷
  • FaceBook 粉絲團
其他
  • 協助企業申請Google Email
好玩工具開發

講出你的創意吧!沒有甚麼是資訊辦不到的

顯示具有 弱點通告 標籤的文章。 顯示所有文章
顯示具有 弱點通告 標籤的文章。 顯示所有文章

2016年8月4日 星期四

伺服器被攻擊後的處理措施

     安全總是相對的,再安全的服務器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。




一、處理服務器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在服務器遭受攻擊後的一般處理思路。
1.必須馬上切斷網絡
所有的攻擊都來自於網絡,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開服務器的網絡連接,這樣除了能切斷攻擊源之外,也能保護服務器所在網絡的其他主機。
2.開始試著查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些端口,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.進行分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4.一定必須備份用戶數據
在服務器遭受攻擊後,需要立刻備份服務器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在服務器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在服務器上運行。
7.恢復數據和連接網絡
將備份的數據重新復製到新安裝的服務器上,然後開啟服務,最後將服務器開啟網絡連接,對外提供服務。
二、檢查並鎖定可疑用戶
當發現服務器遭受攻擊後,首先要切斷網絡連接,但是在有些情況下,比如無法馬上切斷網絡連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。
1.登錄系統查看可疑用戶
通過root用戶登錄,然後執行“w”命令即可列出所有登錄過系統的用戶,如下圖所示。

wKioL1ei-aqgJ0VUAAB84CpIZOQ223

通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行“w”命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄權限的),於是首先鎖定此用戶,執行如下操作:
[root@server ~]# passwd -l nobody
鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面“w”命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:
[root@server ~]# ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/ log/wtmp以清除自己行踪,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件可以記錄軟件的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執行如下命令:
1 2 [root@server ~]# pidof sshd 13276 12942 4284
然後進入內存目錄,查看對應PID目錄下exe文件的信息:
1 2 [root@server ~]# ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息,此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如,可以通過指定端口或者tcp、udp協議找到進程PID,進而找到相關進程:
1 2 3 4 5 6 7 8 9 [root@server ~]# fuser -n tcp 111 111/tcp: 1579 [root@server ~]# fuser -n tcp 25 25/tcp: 2037 [root@server ~]# ps -ef|grep 2037 root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u postfix 9612 2037 0 20: 34 ? 00:00:00 pickup -l -t fifo -u root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037
在有些時候,攻擊者的程序隱藏很深,例如rootkits後門程序,在這種情況下ps、top、netstat等命令也可能已經被替換,如果再通過系統自身的命令去檢查可疑進程就變得毫不可信,此時,就需要藉助於第三方工具來檢查系統可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發現系統被替換或篡改的程序。
五、檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵服務器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證,操作如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 [root@server ~]# rpm -Va ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5....T c /etc/sysctl.conf S.5....T /etc/sgml/docbook-simple.cat S.5....T c /etc/login.defs S.5..... c /etc/openldap/ldap.conf S.5....T c /etc/sudoers ..5....T c /usr/lib64 /security/classpath.security ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5..... c /etc/ldap.conf S.5....T c /etc/ssh/sshd_config
對於輸出中每個標記的含義介紹如下:
S 表示文件長度發生了變化
M 表示文件的訪問權限或文件類型發生了變化
5 表示MD5校驗和發生了變化
D 表示設備節點的屬性發生了變化
L 表示文件的符號鏈接發生了變化
U 表示文件/子目錄/設備節點的owner發生了變化
G 表示文件/子目錄/設備節點的group發生了變化
T 表示文件最後一次的修改時間發生了變化
如果在輸出結果中有“M”標記出現,那麼對應的文件可能已經遭到篡改或替換,此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。
不過這個命令有個局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對於通過非rpm包方式安裝的文件就無能為力了。同時,如果rpm工具也遭到替換,就不能通過這個方法了,此時可以從正常的系統上複製一個rpm工具進行檢測。
對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成,關於chkrootkit、RKHunter工具的使用,下次將展開介紹。

 

網智數位-軟體開發(軟件開發)
針對各特殊產業都可以量身定做符合貴公司的需求,別人無法克服的就是我們的挑戰
業務合作、軟體委外開發
業務窗口:allen@netqna.com
聯繫電話:0920-883-870
skype: netqna
line:netqna
微信:netqna
黃先生 Allen

2014年6月11日 星期三

OpenSSL 再爆嚴重漏洞CCS 注入


前一陣子OpenSSL(4/8)發佈緊急安全修補公告,公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。這個漏洞鬧得沸沸揚揚的,因為這個漏洞很多系統管理者都措手不及,但是最近OpenSSL 又被發現弱點了,這一次共有兩個弱點CCS Injection (CVE-2014-0224)DTLS DOS 攻擊(CVE-2014-0195)

延伸閱讀:

(1) CVE-2014-0224

利用中間人攻擊進行CCS Injection攻擊竊取,成立的條件是Server端與Client端的OpenSSL都要是有弱點的版本,由中間人在Hello之後立即送出ChangeCipherSpec 訊息,使伺服器先去做 ChangeCipherSpec 的動作,跳過原本應該先進行憑證交換與驗證程序,造成內文資料可被竊取成功,如下圖:

 
OpenSSL存在MITM中間人攻擊弱點,根據外部組織公告,惡意人士可先行掌握已有弱點的OpenSSL版本存在於伺服器及用戶端,透過中間人攻擊手段及ChangeCipherSpec 驗證順序漏洞,進而取得伺服器端與客戶端之加密內容資訊。

目前已知會受到影響的版本為OpenSSL 0.9.8、1.0.0及1.0.1~1.0.2 beta1版本,建議管理者應儘速上網更新,以降低受駭風險。

影響系統版本:
  • OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新 0.9.8za 版本
  • OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新 1.0.0m 版本
  • OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新 1.0.1h 版本
細節描述:

攻擊者可先搜索具有OpenSSL弱點之網站主機與有OpenSSL弱點之用戶端,利用ChangeCipherSpec 驗證順序漏洞及中間人攻擊手法,導致資料竊取而無需經過驗證憑證內容。

建議管理者應儘速確認主機是否使用影響範圍內的OpenSSL版本,並請盡速評估是否更新至OpenSSL 0.98za或1.0.0m 或1.0.1h版本

解決方式:
  1. OpenSSL更新到OpenSSL 0.98za或1.0.0m 或1.0.1h版本
  2. 用戶端瀏覽器版本更新到最新版本,系統端更新前,敬請進行完整評估與測試
參考資料:


(2) CVE-2014-0195

OpenSSL處理DTLS(Datagram_Transport_Layer_Security)訊息時,未對DTLS的Client Hello訊息內容與Fragment接續進行檢查(DTLS Hello內容最大可達2的24次方),導致有心人士可利用將其長度進行擴大造成緩衝區溢位,成功癱瘓主機或取得伺服器管理權限。如下圖:
根據外部組織公佈OpenSSL存在DTLS弱點,惡意人士可利用UDP封包對有弱點的OpenSSL版本伺服器進行惡意攻擊,透過DTLS Hello訊息長度未驗證之漏洞,進而進行大量UDP封包送出達到癱瘓伺服器服務,或在訊息內塞入惡意攻擊執行緒,造成主機接收訊息後執行任意碼而取得伺服器管理者權限。

目前已知會受到影響的版本為OpenSSL 0.9.8、1.0.0及1.0.1版本,建議管理者應儘速上網更新,以降低受駭風險。

影響系統版本:
  • OpenSSL 0.9.8 SSL/TLS users (client and/or server) 請更新 0.9.8za 版本
  • OpenSSL 1.0.0 SSL/TLS users (client and/or server) 請更新 1.0.0m 版本
  • OpenSSL 1.0.1 SSL/TLS users (client and/or server) 請更新 1.0.1h 版本
細節描述:

攻擊者可先搜索具有OpenSSL弱點之網站主機,利用DTLS訊息長度漏洞,可擴大Hello訊息之長度(最大可到2的24次方長度),或在Hello訊息中塞入惡意執行碼,導致癱瘓伺服器主機服務,或取得伺服器主機管理權限。

建議管理者應儘速確認主機是否使用影響範圍內的OpenSSL版本,並請盡速評估是否更新至OpenSSL 0.98za或1.0.0m 或1.0.1h版本。

解決方式:
  1. OpenSSL更新到OpenSSL 0.98za或1.0.0m 或1.0.1h版本。
  2. 檢查DTLS Hello訊息長度與DTLS Fragment_ID是否連續。
參考資料:

2014年5月2日 星期五

7項措施因應弱點CVE-2014-1776,IE瀏覽器零時差攻擊

微軟瀏覽器 Internet Explorer 被發現存在零時差弱點,在存取已刪除或錯置的記憶體內容時,可破壞(或修改)記憶體內容以置入攻擊者之惡意程式碼。攻擊者可利用此弱點製作惡意網頁,當使用者使用存有弱點的瀏覽器瀏覽該惡意網頁,會使攻擊者有可能以使用者的權限執行任意程式碼。目前已經發現駭客使用此一弱點發動網路攻擊的案例。提醒Internet Explorer瀏覽器使用者,應多加留意透過不明信件的連結,與瀏覽不明網站被攻擊的可能性。 

攻擊手法

那麼,什麼是「Zero Day」呢?它是一個遠端程式碼執行漏洞。白話就是:攻擊得手後,駭客能讓目標電腦執行(特定)軟體。Microsoft 的警告描述:「該漏洞會使記憶體崩潰,並讓攻擊者能在使用者當前使用的 IE 瀏覽器中執行任意程式碼。」

該漏洞源自 Flash——透過一些著名的技術手段(技術細節請參看此處),再進一步利用而侵入電腦記憶體。

在某些情境下,攻擊者會建立一個特定網站來幫助「Zero Day」入侵,該網站會誘使 IE 使用者點擊該網站的連結。因此,如果你使用 IE 瀏覽器,在收到某些附帶網頁連結的可疑的電子郵件時,就要加倍小心了。

影響範圍:

Internet Explorer 6、 7、 8 、 9、 10 、 11 。

建議措施

微軟周四(5/1)發佈重大系統安全更新KB2964358,可修補於IE 6~IE11版本發生的零時差漏洞,而對已經結束技術支援的Windows XP,微軟也釋出善意表示,基於該漏洞離XP終止支援時間點極為接近,微軟也決定破例額外為XP發布更新修復。不過微軟也提醒還在使用XP的用戶,應盡快移轉至新版Windows 7或 8.1,並將瀏覽器升級至最新IE 11版本。

此外微軟也公告,此更新將於美國當地時間5月1日早上10點釋出,用戶可透過自動更新安裝,但少部份採用手動更新的用戶,微軟也強烈建議,在安全更新發布後盡可能加快手動更新。

如企業內部無法即時更新建議使用以下措施,可以減緩被此一弱點攻擊的可能性:
  1. 安裝與使用微軟的Enhanced Mitigation Experience Toolkit(EMET) 4.1 以上的版本,舊版本的EMET無法有效阻擋此一弱點的攻擊。
  2. 將IE的安全性等級設定為"高",進而限制ActiveX控制項與Active Scripting指令碼的執行。
  3. 啟用IE受保護模式(IE 10以上內建)
    開啟IE,點選"工具"(或按alt+x)→"網際網路選項"→"安全性",勾選"啟用受保護模式"來減緩弱點的攻擊風險。
  4. 關閉Adobe Flash plugin
    開啟IE,點選"工具"(或按alt+x)→"管理附加元件"→"Shockwave Flash Object"→"停用"→"關閉"。
  5. 關閉Active Scripting
    開啟IE,點選"工具"(或按alt+x)→"網際網路選項"→"安全性"→"網際網路"、"近端內部網路"、"信任的網站"、"限制的網站"→"自訂等級"→"Active Scripting"選擇"提示"或"停用"→"確定"。
  6. 取消VGX.DLL的註冊
    點選"開始",執行指令 "regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll",取消VGX.DLL的註冊。在官方修補程式釋出並安裝後,執行指令 "regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll",恢復VGX.DLL的註冊。
  7. 勿任意點選e-mail中的網址。
延伸閱讀:
[資訊安全]如何有效防範社交工程Social Engineering

2014年4月30日 星期三

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ,請評估暫時改用其他瀏覽器!

說明

弱點:CVE-2014-1776 Microsoft Internet Explorer 含有允許遠端執行程式碼的Zero-Day 弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Internet Explorer 6~11 版本,網智數位建議請使用者評估暫時改用其他瀏覽器。

微軟官方對此漏洞的解釋 

該漏洞是一個遠端執行代碼的漏洞。該漏洞發生在在Internet Explorer讀取已被刪除或沒有被正確地分配在記憶體中的物件時。這漏洞可能是利用 Memory corruption的方式讓攻擊者可能可以對目前使用Internet Explorer的使用者電腦執行任意代碼。惡意人士可利用此弱點使用水坑型攻擊(Watering Hole Attack) 手法,針對目標瀏覽器使用群(Internet Explorer 6 ~ 11)可能會瀏覽的網站植入Flash 網頁,當目標群以Internet Explorer 瀏覽器瀏覽時則可攻擊成功。該攻擊利用Internet Explorer 無法處理使用釋放後記憶體錯誤(use-after-free) 的漏洞使惡意人士取得使用者權限並得以遠端執行程式碼。

微軟官方目前還在研究調查此漏洞,並建議使用者開啟防火牆和安裝安全軟體,也會在之後推出新的安全性更新,但須注意的是!
Windows XP 並不會在此次更新內,使用 XP 的用戶應該考慮升級您的作業系統或是改用Google Chrome或火狐Firefox瀏覽器。

影響範圍

除了 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 外的所有 Windows 系統上的 IE6~IE11 全系列中獎 !

建議措施

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 利用額外的保護來防堵此漏洞攻擊,並請關閉Flash plugin,以避免遭受此弱點攻擊成功。
什麼是 Enhanced Mitigation Experience Toolkit?
Enhanced Mitigation Experience Toolkit (EMET) 是一種公用程式,可協助預防軟體中的弱點被利用。EMET 使用安全防護技術達成此目標。這些技術就像是特殊的防護與障礙,有心人士必須通過這些防護與障礙才能利用軟體弱點。這些安全防護技術不保證弱點不被利用。然而,運用這些技術能讓漏洞更難以遭受入侵。
EMET 4.0 及較新版本也提供可設定的 SSL/TLS 憑證釘選功能,稱為憑證信任。此功能的用途為偵測利用公開金鑰基礎結構 (PKI) 的攔截式攻擊。

注意! EMET 3.0 並不能防範此漏洞

更改瀏覽器

使用者若瀏覽企業內部網站則仍可使用IE 瀏覽器,連至外部網站時建議暫時改用其他瀏覽器,以避免遭受惡意攻擊。

提高警覺

請勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。

2014年4月10日 星期四

[資訊安全]OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞

OpenSSL(4/8)發佈緊急安全修補公告,公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。OpenSSL是一個開放源碼網路傳輸加密函式庫,使用相當廣泛,連全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。Heartbleed臭蟲已存在2年以上,受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業系統受到影響。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。這項漏洞是由安全公司Codenomicon及Google安全部門的Neel Mehta發現。

由於這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為Heartbleed(心在淌血) 臭蟲(Heartbleed bug)。而他確實也如同心臟噴出血般嚴重,攻擊者可先搜索具有OpenSSL弱點之網站主機,利用HeartBeat命令傳送記憶體的Payload傳送到受害主機,導致 memory 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。這個漏洞並不是SSL/TLS協定的問題,而是OpenSSL函式庫的程式錯誤。

  • 軟體名稱:OpenSSL
  • 影響範圍:1.0.1 至 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1
  • 修復版本:1.0.1g / 1.0.2-beta2
  • 影響系統版本:各作業系統只要有安裝OpenSSL影響範圍版本均受影響
  • 影響服務:HTTPSMTPSIMAPSPOP3S 等使用 OpenSSL 之服務

如何自我檢測?

要如何測試自己的網站有沒有這樣的漏洞呢?可以利用以下的網站或工具直接查詢。

應對措施

  1. 確認自己的 OpenSSL 版本是否在受害範圍
  2. 使用檢測工具檢測是否含有漏洞
  3. 更新 OpenSSL 至 1.0.1g 或 1.0.2-beta2
  4. 重開所有與 OpenSSL 函式庫相關之服務
  5. 重新產生 SSL Private Key (因為 Private Key 可能藉由漏洞外洩)
  6. 將網站舊憑證撤銷
  7. 清除所有目前網頁伺服器上的 Session (因為可能遭到竊取)
  8. 必要時更換網站內使用者密碼,或是密切追蹤網站是否有帳號盜用的情況發生
  9. 網站功能請關閉HeartBeat功能 (-DOPENSSL_NO_HEARTBEATS.) ,以避免被攻擊成功。
建議使用者應儘速確認主機是否使用影響範圍內的OpenSSL版本,並請盡速評估是否更新至OpenSSL 1.0.1g或1.0.2beta2版本,或先關閉HeartBeat查詢,以避免遭受此攻擊。