事件过程

　　2012年10月19日上午，同事在日常巡检时发现一套对外服务的电子商务系统后台Oracle数据库中出现了一个名为zwell的用户，并且，该用户具有DBA权限。

　　按照管理规定，所有的Oracle数据库均有DDL触发器，查看触发器发现：

　　1CREATE ZWELL CREATE USER zwell IDENTIFIED BY ******* WD_WEB 2012/9/7 13:53:59 11028547 FALSE SYSTEM 5 WD_WEB 57 ptserver8 10.x.x.x tcp DATABASE

　　1WD_WEB 12200617 ROLE PRIVILEGE GRANT 2012/10/9 15:38:20 10.0.8.10 grant dba to zwell

　　此用户在2012/9/7 13:53:59，通过CREATE USER zwell IDENTIFIED BY ******* SQL语句创建，发出此SQL的服务器为WEB服务器集群第8台(ptserver8)，IP地址为WEB集群F5接口地址(10.x.x.x)。并且，在2012/10/9 15:38:20，通过grant dba to zwell SQL语句，将zwell用户提升为DBA权限。

　　此用户已建立了1个多月，例行检查只检查拥有DBA权限的用户，导致此用户被建立很长时间后才被发现。

　　通过对WEB服务器的apache日志进行检查，在2012/9/7 13:53:59秒前后有大量的SQL注入行为，发出SQL注入入侵的源IP(113.71.184.32)属于广东省佛山市电信(如图1所示)

图1

　　但由于apache日志记录时间顺序问题，导致当时并未找到SQL注入的对应日志。

　　10月19日下午，紧急对此电子商务网站进行应用漏洞扫描，发现高危漏洞。

　　10月19日夜间， 鉴于短时间内无法确认被入侵途径及目的，经多方商议，建议先进行如下处理：

　　1、应用系统数据库用户存在IMP_FULL_DATABASE权限，而此权限应为过度授权，拥有此权限则可创建用户。进行权限收回。

　　2、尽快修改数据库账户密码，以及相关操作系统密码。

　　3、将数据库版本由10.2.0.1升级至10.2.0.5。

　　4、对数据库内关键信息进行审计。

　　10月20日早晨，对apache日志进行仔细检查后，确认此次入侵为SQL方式入侵，入侵入口为/service/service.do盲注方式，发出SQL注入入侵的源IP(119.57.81.78)属于北京市东四IDC机房。

　　2012年10月20日下午，再次检查发出创建用户SQL的ptserver8服务器的apache日志，发现了与创建用户对应的日志信息(如图2所示)。

图2

图3

　　创建用户操作也是通过/service/service.do进行SQL注入，至此，整个入侵流程均已查清。

　　事件分析

　　在此次安全事件中，黑客使用WEB页面的盲注漏洞，采用SQL注入的方式创建了zwell用户，并且利用了Oracle 10.2.0.1的提权漏洞，赋予zwell用户DBA权限。

　　经验教训

　　1、WEB应用应进行完善的代码检查，避免SQL注入漏洞

　　有很多方法可以避免SQL注入漏洞，比如，最常见的，使用绑定变量，但由于此应用程序为外包开发方式，供应商之前已开发了一套基础版本，此版本为基础版本的升级版本，因此，基础版本存在的问题也一并带入了生产环境，导致此漏洞的存在。

　　2、未进行完善的代码安全检查

　　目前有很多工具可以对应用进行安全检查，类似的SQL注入型漏洞一般都可以检查出来，但由于仓促上线，经验也不够丰富，因此，导致应用带着漏洞上线。

　　3、数据库版本未升级

　　这是一个典型的问题。数据库版本过低导致存在提权漏洞，如果数据库打了补丁，至少不会导致zwell用户被提升权限。

　　4、日常检查不够全面

　　只对拥有DBA权限的用户进行检查，导致被攻击后很长时间才发现攻击行为。

　　5、保留日志

　　对于WEB应用，日志是很有必要进行保留的，如果日志没有被改动，基本都可以从日志中重现整个安全事件的完整过程。

　　6、即使能够查到来源IP，此IP往往也是肉机IP，比如，在此次事件中，两次行为应是同一人完成，但创建用户的来源IP为广东省佛山市电信，提权IP为北京市东四IDC机房。

　　启明星辰公司数据库审计专家点评

　　数据库的风险主要来源于两个方面，一个是外部攻击，另一个是内部人员(有权限人员)的违规操作(故意或者无意)，本文案例就是外部人员攻击的一个典型过程。具体步骤是：通过应用系统漏洞进行攻击，建立账户，再利用本地漏洞提权，然后利用高权限用户进行系列违法操作。

　　从上面的案例可以看到，要保证数据库安全，除了数据库系统自身安全之外，应用系统的安全也需要一并考虑。不仅要对数据库系统进行安全加固和严格的权限控制，对于应用系统也要进行代码漏洞检查、入侵防护，建议在安全建设时，除了要进行数据库的权限控制、数据加密、安全审计之外，对于应用服务器的代码检查、入侵防御等措施也要考虑，可适当部署一些常用的安全产品，包括：数据库加密、数据库审计、WEB应用防火墙、入侵检测等。