顯示廣告
隱藏 ✕
※ 本文為 jFb59MGX 轉寄自 ptt.cc 更新時間: 2014-01-08 10:35:05
看板 Gossiping
作者 striving (灰狼)
標題 [新聞] 遠通eTag網站被「真駭客」破解!
時間 Tue Jan  7 14:53:39 2014



1.媒體來源:

三立

2.完整新聞標題/內文:

遠通eTag網站被「真駭客」破解!伺服器密碼全部看光光


當一個伺服器的密碼被駭客看光光,會發生什麼事?恐怕不難想像。1月7日下午1時左右
,有人發現遠通電收的「FETC官網」被駭客破解,只要用簡單又直覺的指令就可以將伺服
器重要的機密檔案看光光。日前遠通電收系統也曾停擺一整天,最後遠通才表示「被駭客
入侵」,被許多民眾懷疑;而這一次,可以肯定真的是駭客入侵,有心人士甚至可以輕易
的讓伺服器完全停擺。



▲遠通電收這次真的被駭客攻擊了。(圖/翻攝自遠通電收)

「一般來說, server上的檔案(尤其是牽涉到權限的檔案)都是敏感資料,所以不能讓人
隨便存取,就算是提供服務的server也會檢查使用者傳進來的要求是否有不應該執行的指
令;但是遠通這網站只要用&path=../../../../......./etc/passwd這種簡單且直覺的指
令就可以看到這麼重要的passwd檔,很明顯完全沒有任何防護阿。」有匿名的民眾解釋,
在這種系統底下,要讓伺服器癱瘓輕而易舉。


記者詢問系統工程師,得知這其實是Linux系統上的群組以及User檔,遠通電收的網站被
如此破解,意味著「使用者的權限被看光光;簡單來講,是個天大的漏洞,程式人員太懶
了。」



▲駭客把這些數據資料都放到Pastebin上任人觀看。(圖/翻攝自Pastebin)

不過,雖然遠通電收的系統被駭客抓出「漏洞百出」,民眾還是不要嘗試入侵遠通電收相
關系統;一旦被追出來,肯定會吃上官司,切勿以身試法。

3.新聞連結:

http://www.setnews.net/News.aspx?PageGroupID=4&NewsID=9661
遠通eTag網站被「真駭客」破解!伺服器密碼全部看光光│三立新聞網 SETNEWS.NET
[圖]
當一個伺服器的密碼被駭客看光光,會發生什麼事?恐怕不難想像。1月7日下午1時左右,有人發現遠通電收的「FETC官網」被駭客破解,只要用簡單又直覺的指令就可以將伺服器重要的機密檔案看光光。日前遠通電收系統也曾停擺一整天,最後遠通才表示「被駭客入侵」,被許多民眾懷疑;而這一次,可以肯定真的是駭客入侵,有心人士甚至可以輕易的讓伺服器完全停擺。 ...
 

4.備註:

嗯!跟我想的差不多,嗯~嗯~

--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.128.195.252
mydreamcome:早上剛說完駭客,下午就被害了XDDDDDDDDDDDDDDDDDDDDDD1F 01/07 14:54
magi3Q:幹 我真的要去退爛etag了2F 01/07 14:54
popy8789:完了 三立要被遠傳抽廣告了 XD3F 01/07 14:54
thirteenflor:咚咚:本來只是說說塘塞一下 沒想到真的來了4F 01/07 14:54
BILLYTHEKID:好在沒裝5F 01/07 14:54
thirteenflor:駭客:幹! 你自己說的 我不來好像不好意思厚~~~6F 01/07 14:55
RedDog:放心 這只是壓力測試7F 01/07 14:55
signm:拿那麼多錢做垃圾系統8F 01/07 14:55
meredith001:騙肖 最好是有駭客9F 01/07 14:55
syura945:現在連過去會不會被當成駭客啊10F 01/07 14:55
gowaa:這麼爛的系統 還敢叫人民用...我看是賺不了錢了..11F 01/07 14:55
kira925:現在已經hotfix掉了12F 01/07 14:55
popy8789:遠東集團:不排除抽掉愛買 遠百 遠傳 遠紡在三立刊的廣告13F 01/07 14:56
ALENDA:這種牽涉國民重大隱私的交通設施當初居然敢BOT?!14F 01/07 14:56
TZUYIC:連伺服器都不會架,這種公司居然敢開門做生意。15F 01/07 14:56
pierreqq:沒裝還是有車籍資料... 別以為沒事16F 01/07 14:56
nyyjeter8:真的很爛 老子就是不爽裝 死肥子還不罰17F 01/07 14:56
kira925:不過犯這種入門第一課的錯 能信任遠通電收才有鬼18F 01/07 14:56
jerry20717:噓噓咚咚19F 01/07 14:56
TZUYIC:難道是沒錢繳罰單,所以連網管人員都請不起了。20F 01/07 14:57
tagso:好險沒裝  XD21F 01/07 14:57
amovie: 網站這種成熟到老掉牙的東西都做不好22F 01/07 14:57
k721102:這幾天別儲值 省得出事23F 01/07 14:57
pierreqq:把全國車籍資料交給遠通... kerker24F 01/07 14:57
hades14:輕易就讓客戶資料外洩,遠通不用負責嗎!!!!  高通局:不用25F 01/07 14:57
※ 編輯: striving        來自: 220.128.195.252      (01/07 14:58)
amovie:  被遠通同一時間南北方向同時扣款 很正常26F 01/07 14:58
syura945:seednet被遠傳收走以後也是零零落落 看來只出得起香蕉27F 01/07 14:58
RedDog:進卡有0.3秒漏洞28F 01/07 14:59
pierreqq:大概不久就能用車籍資料 查出金小刀跟馬小酒都去哪約會了29F 01/07 14:59
voodist:連防火牆都不用拆 駭客就這樣大喇喇的走進去30F 01/07 14:59
alan3100:小兒科等級的漏洞..31F 01/07 14:59
BF109Pilot:花那麼多錢 得到這種東西???32F 01/07 15:00
thirteenflor:咚咚資訊部處長:這網頁發包出去,要多便宜就多便宜33F 01/07 15:00
voodist:資安爛成這樣 有用的自求多福....34F 01/07 15:00
potionx:www 水準太低了,比政府機關還弱~35F 01/07 15:01
n29887771:山也BOT、海也BOT,什麼都給他BOT36F 01/07 15:01
mydreamcome:請台清交寫程式的鄉民都比他們強XDD37F 01/07 15:01
asiaking5566:國家不用代民求償嗎38F 01/07 15:01
e1q3z9c7:奸商就是該死39F 01/07 15:02
urdie:垃圾系統 還逼全民安裝40F 01/07 15:02
syura945:可以直接存取passwd   連權限都沒設定吧41F 01/07 15:02
hsiyafel:駭客:你叫我呀?42F 01/07 15:02
kira925:也不用什麼台清交 高中職學生照著書做都不會有這種錯43F 01/07 15:02
cul287:打倒官商勾結只能靠你們了 〞︶〝*45F 01/07 15:03
hsiyafel:學實價登錄是吧? 當時跳出驗證碼隨便輸都能過46F 01/07 15:03
smellsun:自找的,前陣子說被駭客入侵,現在就真的駭給你看47F 01/07 15:03
iceonly:XSS正夯48F 01/07 15:04
turbomons:政府的錢真好賺49F 01/07 15:05
bala73:連門沒裝鎖都不假裝一下 直接開門讓小偷進來了50F 01/07 15:06
NowQmmmmmmmm:遠通:我們需要一億來加強設備..政府要幫忙..51F 01/07 15:06
cvngoo:意思是本來沒駭客 結果惹到真駭客?52F 01/07 15:07
qwqwaas:政府就是愛請爛公司阿 官商勾結53F 01/07 15:07
dcoog7880:xdddd54F 01/07 15:07
titiys:XXX1超爛 丟個sql植入撈光光55F 01/07 15:08
birdy590:passwd 被看到不是什麼了不起的問題 裡面根本啥也沒有56F 01/07 15:08
NowQmmmmmmmm:這種網站等級比一般公司的還弱 根本架來好看的而已57F 01/07 15:08
kira925:之前就有人推論之前根本就沒駭客,純粹是遠通低估流量58F 01/07 15:08
al1l1:爛系統電子化比人工慢,還會亂扣59F 01/07 15:08
birdy590:比較大的問題是這種商業用途的網站竟然連 chroot 都沒做60F 01/07 15:08
kira925:被眾用路人DDOS幹爆 然後唬爛一個駭客給你聽61F 01/07 15:09
nk101: 這種加密 不用 駭客 也能入侵62F 01/07 15:09
NowQmmmmmmmm:怕的是取得資料庫存取權限 把個資跟儲值金額亂改XD63F 01/07 15:09
kira925:現在就被真駭客直接抓包:幹你媽的這網站根本裸奔64F 01/07 15:09
kira925:現在帳號都外流拉 接下來就是各種字典攻擊了
drg:就是不想花錢嘛 牽拖東 牽拖西 解果真的被破解了66F 01/07 15:11
birdy590:字典攻擊不需要 /etc/passwd, 而且沒有坐牢的 httpd67F 01/07 15:11
RedDog:http://ppt.cc/65ss68F 01/07 15:11
[圖]
 
ccpz:passwd有hash還好, 狠一點就把 tomcat連資料庫的密碼翻出來69F 01/07 15:11
vaio5566:網址參數好歹用個Base64隱藏一下吧70F 01/07 15:12
ccpz:搞不好他資料庫還放在public IP, 就可以去資料庫惡搞了71F 01/07 15:12
kira925:這哪有破解可言 基本上裸奔阿....72F 01/07 15:12
birdy590:本身就是更好的攻擊目標 有辦法的沒幾下就拿到 root 了73F 01/07 15:13
airlow:喔~原來如此74F 01/07 15:13
birdy590:/etc/passwd 連 hash 過的都沒有, 密碼欄都是 x75F 01/07 15:13
drg:讓大家看清真相 我們應該感謝這位入侵者76F 01/07 15:13
birdy590:真正的密碼在 /etc/shadow, httpd 不會有權可以讀77F 01/07 15:13
tcpic:遠通:超收與多重扣款 我們也是受害者78F 01/07 15:14
drg:全民的個資都在裡頭結果被輕鬆進出.......79F 01/07 15:15
edwarkingsir:讓我想到這個~http://ppt.cc/TnIs ~其實就是網頁爛80F 01/07 15:15
aburolu:這間公司真的是爛透了81F 01/07 15:16
edwarkingsir:不用駭客~只要學過一點點基礎就可了82F 01/07 15:16
pierreqq:根本不用30天成為駭客... 可能第一試就成功駭入了  @@83F 01/07 15:17
RedDog:接下來84F 01/07 15:17
sxoao:快退掉85F 01/07 15:20
cppwu:幹 command injection 都沒防, 超弱 ...86F 01/07 15:21
vvvi:直接把所有用戶的儲值金額全部加到上限吧87F 01/07 15:22
RedDog:東東沒感覺88F 01/07 15:24
chinhan1216:駭客:幹 怎有種被侮辱的感覺89F 01/07 15:28
l2l:感覺很easy 想駭隨時都可以90F 01/07 15:30
mydreamcome:真駭客: 好像沒有成就感  QAQ ...91F 01/07 15:30
colyward:有沒有人統計一下收費系統和辨識系統的BUG總覽?92F 01/07 15:35
moose01:爽!遠通sucks93F 01/07 15:37
QUIBECK:維護這個破系統 花費比人工收費更多的錢 顆顆94F 01/07 15:40
gfneo:幹, 我一定要逼我老婆退eTag95F 01/07 15:44
RedDog:goD de R96F 01/07 15:48
dynamo:看01的文  shadow也被破了  應該整個資料庫都外流了97F 01/07 15:51
fantasylee:連資安的錢都要省98F 01/07 15:51
l1t:這不就是OWASP公佈的 Insecure Direct Object References99F 01/07 15:52
l1t:很常見的資安問題啊 orz
DIDIMIN:有差嗎?馬友友出事都不會有任何罰則101F 01/07 15:56
ARodGodlike:XD102F 01/07 16:02
birdy590:我是不太懂如何得到 shadow 也出去這個結論103F 01/07 16:33
atobela:連路人都能駭進去的系統104F 01/07 16:39
peterman:爽105F 01/07 16:40
momoisacow:魯蛇又沒車 悲憤什麼?106F 01/07 16:42
Runna:還好我家是公司車107F 01/07 16:46
WeAntiTVBS:爽108F 01/07 17:16
jones2011:看m01說明,似乎被try目錄名稱就拿到/etc/passwd等檔109F 01/07 17:18
jones2011:shadow應該也在passwd目錄下,被一鍋端...
xatier:我也是看了八卦板才知道111F 01/07 17:22
jones2011:這問題是不應該發生的低級問題...112F 01/07 17:23
chocho1981:他出多少錢請網管人員?113F 01/07 17:26
blackonefour:你以為咚咚做公益的喔 省人力成本啊114F 01/07 17:28
userpeter:反正不用裝etag也可以上高速公路...115F 01/07 17:38
Linnsen 
Linnsen:八年遺毒公家肉吃不到一直玩BOT 一堆廠商提前去找50針116F 01/07 17:41
wgst88w:講白一點就是都出去了...http://pastebin.com/xxxVvsCk117F 01/07 18:10
Assyla:網管人員都外包的啦118F 01/07 18:24
shadowsage:passwd的hash搞不好是md5 這要暴力破很快好嗎...119F 01/07 18:25
rexxon:沒有 shadow ? 我笑了... lol120F 01/07 19:06
kcl0801:噓噓東錢還賺不夠 只好對資管人員COSTDOWN 這樣錯了嗎?121F 01/07 19:07
birdy590:shadow 的權限和 passwd 完全不同, httpd 無權讀取122F 01/07 20:03
shamus2007:有政府罩 每年躺著賺17億 爽的咧... 鳥你幹麻123F 01/07 20:09
Asucks:堅決不辦eTag果然是對的,超爽124F 01/07 21:14
ji394su33000:駭到使用者列表 然後用"buck"這個ID進去125F 01/07 22:19
ji394su33000:已經進到Data了 到這裡應該整盤端走了 不過不知道裡
ji394su33000:面有什麼?
ji394su33000:東東家自己有開機房 在內湖 應該不會這麼離譜
ji394su33000:不過事情都發生了 我不信也不行
metalhead:扯130F 01/07 22:34
geniusturtle:強者我朋友說說北部某知名腳踏車租賃公司也有類似漏131F 01/07 22:37
geniusturtle:洞,不過所幸無法採到影子。他說前陣子回報了,不曉
geniusturtle:得現在改了沒?
industrialld:幹嘛裝etag134F 01/07 23:29
walkwall:該不會程式人員也是工讀生吧 = =a135F 01/08 00:01
ieoAAAA:其實到lpr跟mvdis data,萬一裡面裝的是那個資料庫的話..136F 01/08 00:15
ieoAAAA:基本上跟你有沒裝etag就沒關係了 有用過電子公路監理網
ieoAAAA:就都再見,幹 電子公路監理網還是用自然人憑證去驗證的

--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 20677 
※ 本文也出現在看板: ott PttFB terievv PttHot 以及 2 個隱藏看板
作者 striving 的最新發文:
  • +549 [爆卦] 公投法又要修法了? - Gossiping 板
    作者: 223.26.70.20 (台灣) 2021-05-03 19:07:35
    先說,這消息是在黃士修臉書上看到的,但是無論你挺核還是反核,這個修法我覺得很 有必要被注意: 簡單講: 林昶佐、蘇巧慧(蘇貞昌女兒)等人主張修法,只要公投案的連署被戶政機關認定無效 刪除的案件,超過3 …
    1073F 659推 110噓
  • +88 Re: [爆卦] 紐時:台海情勢升級 - Gossiping 板
    作者: 123.195.202.146 (台灣) 2021-04-09 23:54:04
    其實台灣對於中共的威脅日漸無感這件事,會讓美國蠻尷尬的。 核武大國基本上都有底線,不會真的開戰,美國的開戰方式基本就兩種: - 遠距離飛彈攻擊弱國 - 挑撥另外兩國對立,從中獲利 按照美國的劇本,台灣 …
    333F 144推 56噓
  • +30 [情報] 鴻蒙OS手機系統運行影片出來了 - MobileComm 板
    作者: 223.26.70.248 (台灣) 2020-12-16 18:07:28
    今天是華爲發佈鴻蒙OS(手機版)的開發者大會, 現場已經釋出運行鴻蒙的P40手機可以試用了, 簡單羅列幾個重點: - 跟EMUI的UI「一模一樣」,而EMUI是從Android改的,因此鴻蒙操作邏輯 …
    108F 42推 12噓
  • +38 [新聞] 看好三倍券!徐旭東:好事大家少批評 - Gossiping 板
    作者: 223.26.70.247 (台灣) 2020-06-09 12:20:29
    1.媒體來源: ETtoday 2.記者署名: 記者林淑慧/台北報導 3.完整新聞標題: 看好三倍券振興經濟加乘效果 徐旭東:好事大家少批評 4.完整新聞內文: 記者林淑慧/台北報導 振興三倍券七月上 …
    155F 64推 26噓
  • +136 [新聞] 14名美國重症患者接受瑞德西韋治療,有效 - Stock 板
    作者: 180.217.158.94 (台灣) 2020-03-14 16:10:53
    出自華爾街日報。簡單說就是,在鑽石公主號遊輪上,有14個來自美國的重症病患,平均年齡75歲,接 受了瑞德西韋的測試治療,目前初步看的結果,這14個患者無人死亡,並且有一半痊癒 。 NIH專家認為不可 …
    294F 154推 18噓
點此顯示更多發文記錄
分享網址: 複製 已複製
( ̄︶ ̄)b oxo0905 說讚!
1樓 時間: 2014-01-07 15:39:52 (台灣)
  01-07 15:39 TW
= =linux哪爛了...
2樓 時間: 2014-01-07 15:46:37 (台灣)
  01-07 15:46 TW
網管爛
沒設好權限
沒考慮好資安漏洞
3樓 時間: 2014-01-07 15:58:26 (台灣)
  01-07 15:58 TW
4樓 時間: 2014-01-07 16:05:18 (台灣)
  01-07 16:05 TW
22k,不意外...ps i love email5566
5樓 時間: 2014-01-07 16:08:22 (台灣)
  01-07 16:08 TW
爛到這種地步 唉  回扣拿多少?
6樓 時間: 2014-01-07 16:21:33 (台灣)
  01-07 16:21 TW
國庫通內褲,政府的錢就是財團的錢!
有黨證護航,遠東集團賺得爽歪歪~
7樓 時間: 2014-01-07 16:25:53 (台灣)
  01-07 16:25 TW
只看到passwd,你也不確定是不是在honeypot裡面,不如翻翻index.xxxx看看有沒有include啥資料庫帳密
8樓 時間: 2014-01-07 16:55:14 (台灣)
  01-07 16:55 TW
駭客大哥可不可以在程式裡每個人都加值一萬,整死那個徐什麼東東的
9樓 時間: 2014-01-07 17:21:43 (台灣)
  01-07 17:21 TW
還好我沒辦eTag 真爛捏!
MindOcean 轉錄至看板 MindOcean (使用連結) 時間:2014-01-07 18:08:02
10樓 時間: 2014-01-07 18:46:08 (台灣)
  01-07 18:46 TW
蘋果日報 2014年01月07日18:27 【生活中心/台北報導】
遠通電收ETC網站繼遭駭客入侵後,又傳出網站設計根本就有漏洞,
檔案可任人讀取,遭網友質疑恐有個資外洩之嫌。
遠通電收則否認有漏洞。
http://ppt.cc/45dW
11樓 時間: 2014-09-28 14:27:34 (台灣)
+1    (編輯過) TW
...
12樓 時間: 2014-01-08 09:14:36 (台灣)
  01-08 09:14 TW
分明就是帳單灌水,私下討論,於是弄個假駭客,貼貼圖片放出消息,超假~
13樓 時間: 2014-01-08 11:04:29 (台灣)
  01-08 11:04 TW
這方面不完全是網管的問題 感覺比較像是RD的問題  沒差 台灣慣老闆愛用cost down 貨能交就好 也不管功能安不安全
14樓 時間: 2014-01-08 11:33:47
  01-08 11:33
噓噓東灌水也不是第一次了!!!!習慣就好!!!!
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇