Valve Software 於十月二日由 Managing Director – Gabe Newell 在 http://www.halflife2.net/發表官方聲明，內容大約是他在九月十一日發現有人存取他的郵件帳號，再那之後他的電子郵件出現異常的狀態，無法開啟附件，(此時他應該已經中了 IE exploit，相關資訊遭到竊取)。直到九月十九日，程式碼目錄遭到拷貝流出。他們懷疑是 Outlook 的預覽功能作怪，導致他們的系統遭到安裝了客製化的 Remote Anywhere，所以某些系統已經證實已經遭到控制。而他也重提，過去一年來該公司的網站受於阻斷式攻擊的困擾，但他不確認這是否有關。在聲明稿中，他強調希望遊戲社群的朋友站在他那方，繼續支持他們，而如果有相關線索將資訊郵寄給 [email protected]。

這顯然是相當愚蠢的行為，或許誰該去阻止他繼續宣揚那位入侵者的戰績，那種可憐兮兮的行為並不會獲得任何有意義的援助。然而，在聲明稿下方又附註了這麼一段

“Important: Just to be clear, it’s ok to talk about the leak and the possible implications, however we’ll nuke you and your family if you even make the most slight clever hint of where to download it or even screenshots of it.”

如果你在網路上耍小聰明、洩漏了任何程式碼、或是下載的位置，他會 「nuke」 你與你的家人，與鬼客挑釁真是死不長眼。在那封公開聲明之後一兩個小時內，那些檔案就出現在BitTorrent 網絡，現在可好，你可以從 http://slashdot.org、BitTorrent 網絡、你在 IRC 上的朋友、以及各式各樣合法、非法的遊戲網站下載那個 32MB 裡面包含了程式碼的 RAR 檔案。沒有人可以阻止如此龐大的網絡力量，很快的，任何感興趣的人硬碟中都會有一份程式碼拷貝。他的處理方式讓事件演變最為糟糕的結局。駭客入侵會嚴重影響一家上市企業的財務表現、電子商務公司的業績、軟體產品的銷售，如果你是危機處理者，應該好好思索推敲，但時間的掌握也是非常緊迫的客觀條件之一。當人們不想傷害你的時候，不要逼迫他。

這件事情更嚴重的就是，入侵者只消在源碼中埋入木馬程式，事情將演變為更為重大的資安事情，想想全世界有多少人的硬碟中，安裝有那份遊戲，如果這個遊戲在連上網路主機時進行連線遊戲時，收到特定封包，而主動對某網站進行阻斷式攻擊或是自動刪毀硬碟資料，那麼破壞性遠比那些程式碼在網路公開流動來得嚴重。Valve Software 當務之及應當是儘速進行程式碼的稽核，檢察版本控制軟體中是否有被額外塞入的木馬程式。因為其實你無法判斷這些入侵者在多久以前便進入你的網路、而你也無法確認他們無法再行進入。事情已經發生，危機處理的重點在於統計損失、並盡可能避免損失繼續擴大或再次發生 — 在事情還有轉圜餘地時。

It’s happened already! *Get over it*

這次來自 http://pstream.front.ru/，差點給 shell in。時間是 2003/09/27。

這次他透過我的相簿系統侵入，我使用的是舊版的 Gallery 系統，其中有一個可以讓 Windows XP 使用者方便上傳圖檔的功能。但是那隻程式有些問題，他在一開始的時候會先包含並執行起始程序($GALLERY_BASEDIR/init.php)，但是他卻不去驗證 $GALLERY_BASEDIR 的位址，依照舊版 PHP 自動將變數宣告為全域變數的習慣下，你可以透過 Get/Post/Cookie 把假的$GALLERY_BASEDIR 而 Gallery 就會很高興的把那個檔案抓回來並執行他。而我當然老早就發現這問題，並把大家討論的修正補上，可是愚蠢如我卻錯把驗證程序擺在漏洞執行程式之後。所以就給人有機可乘。

對方用了這樣的網址來入侵。

所以我的程式會抓回 http://pstream.front.ru/init.php 並執行之。這個 PHP 程式裡面用 Base64 編碼並含入了另外一隻 perl script 作為木馬，PHP 程式會自動將檔案解出在 /var/tmp/.nscdrecover，並把這個 perl script 指定給 crontab 去定期執行，以確保後門常啟。這個後門倒是頗有創意，程式執行後，會把自己的名字改為 “/usr/sbin/nscd” (name service cache daemon)，某些舊版的 Unix/Linux 系統開機後都會執行這個指令，當你用 ps -awux 時，他們看起來都差不多，除了程式執行者與檔名有點差異外，它會以 UDP 協定 bind 在 port 47821，並聆聽指令，所有的指令都經過兩道簡單的加密。第一道是當指令透過 UDP 協定傳達到木馬時，必須先進行 xor 80 的運算，另外一道則是每個指令還要經過密碼驗證。加密過的密碼是 SOdS8vdw0SB0U，我把密碼告訴開膛手，John 在五天又九個小時四十六分四十秒後告訴我密碼是 b0t1sux。你可以用 nc -vu 127.0.0.1 47821 然後輸入以下字串，便可以將木馬置之死地。

2`$a#%(p495p2`$a#%(Z

木馬的主要功能是 die、redir、shell、fast、slow、ddns、port 等。主要的功能是 DoS，fast/slow 分別是兩個浪費頻寬的程序，ddns 則是攻擊網域名稱伺服器專用。以及可開啟 shell 在某個特定的 port。可惜的是，我的系統上面有網路防火牆以及本機的封包過濾。因此攻擊者根本無法將指令穿越兩道關卡送入木馬程式，也無法開啟特定的埠，功虧一簣。

最大的系統漏洞永遠在最微小的細節上，但是嚴謹的資訊安全政策可以保護你自己。如果你用舊版的 Gallery，請查看你的系統是否有我所述以上徵兆。有時候人要勇於承認自己的無知與缺點才能在失敗之後重新站起來。

開放網站程式安全計畫 (OWASP: Open Web Application Security Project) 揭示了 VulnXML Database 計畫，VulnXML 是設計用來紀錄系統弱點的 XML 格式，它包含了所有網站掃描引擎必要的資訊，掃描引擎可以透過送出 HTTP、SOAP 或 WebDAV 要求並分析伺服器所回覆的回應來偵測網站是否具有漏洞。至於 OWASP 用來讀取 VulnXML 進行掃描的工具正設計中。但 Immunity 公司的 SPIKE Proxy 已經提供一個以 Python 撰寫的 VulnXML 引擎。 Continue reading →