| 一些方法防止網(wǎng)站被人入侵 | 寫(xiě)在前面的話(huà):大家不要把那些掛黑頁(yè)掛馬的"黑客"想得太厲害了,厲害的是不屑于這些的���。這一句話(huà)就夠了��。
現在的黑客網(wǎng)站可謂是多如牛毛����,不管在哪里只要你愿意學(xué)�����,都可以學(xué)到一招半式����?����?催^(guò)別人的個(gè)性簽名:賣(mài)菜的王大媽是黑客���,烤紅薯的李大爺也是黑客�����,對面ChengRen用品店的老板�,挖日����,還是黑客-_-~!...黑客還真多啊!!!據不完全統計�����,每天都有至少成千上萬(wàn)的網(wǎng)站被入侵篡改�����。有次在某群里聊天,一個(gè)高中生為了找到一個(gè)邂逅的女生的資料����,入侵當地的民政局的內網(wǎng)服務(wù)器查看信息�。nb吧���。過(guò)程估計是相當的精彩���。正所謂只要有電腦的地方,就會(huì )有江湖����。被黑總是有理由的……歡迎大家到站長(cháng)防黑網(wǎng)來(lái)交流����。
網(wǎng)站如何防黑?
我們從做站開(kāi)始講起�。首先選好服務(wù)器這個(gè)是很重要的���。因為即使你的網(wǎng)站程序再安全��,服務(wù)器被攻破了��,你的網(wǎng)站就淪為玩物了���。也許在朋友們的眼里有個(gè)想法是安全的服務(wù)器會(huì )更貴吧����。其實(shí)不然��,資金的投入只能說(shuō)是軟硬件的加強����,讓網(wǎng)速或者負荷能力有所提高���。但服務(wù)器的安全是可以人為配置的����,只要網(wǎng)管的設置恰當���,就能讓服務(wù)器安全很多�����。在以前的一些實(shí)踐當中發(fā)現很多GVM學(xué)校的設置得都比較欠佳�����。仿佛是架上了iis只要能瀏覽網(wǎng)站就算完工�����。以前聽(tīng)一個(gè)朋友說(shuō)GVM學(xué)校的網(wǎng)站��,只要拿到一個(gè)webshell�����,基本上服務(wù)器就可以拿下了����。這句話(huà)可以說(shuō)明個(gè)現象��,很多學(xué)校GVM的網(wǎng)站管理員明顯不夠重視網(wǎng)站安全��。雖然你網(wǎng)站只是發(fā)布點(diǎn)新聞文章而已���,但是被攻擊者入侵�����,那他的目標就不一定是單純的網(wǎng)站了�,而是架起了一座通往內網(wǎng)服務(wù)器的一座橋梁�����。再來(lái)談?wù)勎覀儌€(gè)人網(wǎng)站�����。重慶網(wǎng)絡(luò )公司個(gè)人網(wǎng)站由于資金方面的考慮�,也基本上都是托管在虛擬服務(wù)器上的比較多�����。服務(wù)器的安全我們個(gè)人站長(cháng)也做不了什么工作�,所以選擇一個(gè)好點(diǎn)��,安全的空間是很有必要的����。同樣是虛擬主機�����,我遇到過(guò)的還是有比較安全的�����。杜絕了一些常見(jiàn)因為的目錄權限配置不當泄露信息的安全隱患����。至少不會(huì )被那些亂掛黑頁(yè)的"黑客"隨便鼓搗��。如果大家再選擇服務(wù)器的時(shí)候需要幫忙的話(huà)�����。我會(huì )免費為大家友情提供幫助的,并提供參考意見(jiàn)�。關(guān)于服務(wù)器的安全配置�����,我們后面再寫(xiě)詳細的文章���。
再來(lái)談做網(wǎng)站的過(guò)程�����。再此之前我們來(lái)了解下一些常用的攻擊手段���。
1.危險性的上傳漏洞
這個(gè)也要分三類(lèi):
一類(lèi)是上傳的地方無(wú)任何身份驗證��,而且可以直接上傳木馬���。
一類(lèi)是只是注冊一個(gè)賬戶(hù)就可以上傳的���,然后上傳的地方也沒(méi)有做好過(guò)濾����。
一類(lèi)是管理員后臺的認證上傳的��。
當然有的上傳可以直接上傳腳本木馬��,有的經(jīng)過(guò)一定的處理后才可以上傳腳本木馬�����。無(wú)論怎樣這是很多攻擊者都是通過(guò)上傳拿下網(wǎng)站的權限�����。
2.注入漏洞
各種腳本的注入漏洞利用方法跟權限都有所差異�����。危險的可以直接威脅到服務(wù)器系統權限����。普通的注入可以爆出數據庫里面的賬戶(hù)信息���。從而得到管理員的密碼或其他有利用的資料�。如果權限高點(diǎn)可以直接寫(xiě)入webshell�����,讀取服務(wù)器的目錄文件�����,或者直接加管理賬戶(hù)�����,執行替換服務(wù)等等攻擊�����。
3.中轉注入�,也叫cookie中轉注入
本來(lái)這個(gè)要歸于樓上那一類(lèi)����,但是我單自列出來(lái)了��。有些程序本身或者外加的防注入程序都只是過(guò)濾了對參數的post或者get���。而忽略了cookie�����。所以攻擊者只要中轉一下同樣可以達到注入的目的�。
4.數據庫寫(xiě)入木馬
也就是以前可能有些程序員認為mdb的數據庫容易被下載�,就換成asp或者asa的�����。但是沒(méi)有想到這么一換�����,帶來(lái)了更大的安全隱患�。這兩種格式都可以用迅雷下載到本地的���。更可怕的是�����,攻擊者可以一些途徑提交一句話(huà)木馬�����,插入到數據庫來(lái)�,然后用工具連接就獲得權限了���。
5.數據庫備份
這其實(shí)是很多網(wǎng)站后臺的一個(gè)功能��,本意是讓各位管理員備份數據庫���。但是攻擊者通過(guò)這個(gè)來(lái)把自己上傳帶后門(mén)的圖片木馬的格式改成真正的木馬格式�����。從而得到權限�����。記得之前有個(gè)網(wǎng)站系統數據庫備份的那個(gè)頁(yè)面沒(méi)有管理認證�,那危害就更大了�����。有的網(wǎng)站數據庫備份雖然有限制�,但是還是被某些特殊情況突破了����。比如攻擊者可以備份的格式有�����,asp�����,asa����,cer��,htr���,cdx����,php����,jsp�����,aspx�,ashx��,
asmx還有幾個(gè)iis6.0環(huán)境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg這類(lèi)的,很多程序員編寫(xiě)的asp程序只過(guò)濾解析asp的格式�,忽略了php等其他的解析���。還有就是備份目錄的文件夾名為tjseotv.asp tjseotv.asa這種解析����。如果以上的都用不了��,攻擊者還可能網(wǎng)站目錄下的conn.asp文件備份成tjseotv.txt來(lái)查看數據庫路徑���,也許會(huì )用的數據庫寫(xiě)入木馬的手段����。當然攻擊的方法是我們列舉不完的���。只有通過(guò)大家的交流���,了解更多�����。
6.管理賬戶(hù)密碼的泄露
也許大家會(huì )說(shuō)上面那一種攻擊手段需要在有管理賬戶(hù)的前提下完成���。這里我就講下一些常見(jiàn)的管理賬戶(hù)密碼的泄露��。
第一:萬(wàn)能密碼'or'='or'�����。還有其他更多的寫(xiě)法����。這個(gè)的原理大家可以在我網(wǎng)站里搜索下��。就是把這個(gè)當著(zhù)管理員的賬戶(hù)密碼就可以直接進(jìn)入后臺?���,F在還有很多網(wǎng)站仍然能進(jìn)���。
第二:弱口令�。比如你的密碼是admin/admin888/123456/5201314等����。這樣很容易被猜到����。
第三:默認密碼����。這里分默認的后臺密碼與默認的后臺數據庫����。假如攻擊者知道了你網(wǎng)站是哪一套源碼搭建的����,就會(huì )去下一套相同的源碼來(lái)看默認的數據庫是否能下載��,后臺密碼是否仍未更改��。
第四:站長(cháng)個(gè)人通用密碼����。很多人就是在網(wǎng)絡(luò )上只用一個(gè)密碼�����。不管是哪個(gè)環(huán)節你的密碼被泄露�,攻擊者可能用這個(gè)密碼去測試你的網(wǎng)站后臺��,你的郵箱�,你的QQ號�����,你的ftp�,你在其他地方注冊的賬戶(hù)��。����。�����。這個(gè)問(wèn)題有點(diǎn)嚴重���,涉及到社會(huì )工程學(xué)這一塊�����。
7.編輯器
兩大主力編輯器ewebeditor和fckeditor���。ewebeditor低版本的確是是存在漏洞���,可以構造代碼直接上傳木馬����。但是高版本現在市場(chǎng)上的還沒(méi)有說(shuō)有什么漏洞��。但是最邪惡的卻是大家用的時(shí)候忘記該ewebeditor的后臺密碼和數據庫路徑����,從而導致網(wǎng)站被入侵���。fckeditor有些修改版的可以直接上傳的木馬�。但自從";"漏洞出現后,入侵者就比較瘋狂了,有的版本傳一次不成功��,還要再傳一次就成功了����。很多大網(wǎng)站就被牽連��。
8.ftp弱口令
上面講過(guò)了�,有可能你用了通用密碼�����。還有就是弱口令�。比如你的網(wǎng)站是seo�����。那么攻擊者可能把seoadmin作為用戶(hù)名(事實(shí)證明很多虛擬主機都是這樣配置的),然后生成一系列的弱口令�,比如seo123/seo123456/seo888/seo520/123456/888888/seo.cn/seoftp等等��,因為可以用相關(guān)的工具來(lái)掃描��,所有他可以生成很多一般人都用的密碼來(lái)試探你的ftp密碼�??茖W(xué)研究證明這個(gè)方法危害性也比較大�����。
9.0day
現在很多人用一些主流的程序���。比如動(dòng)網(wǎng)�,discuz論壇�,phpwind���,動(dòng)易�����,新云等等這些用戶(hù)量很多源碼��,也會(huì )時(shí)不時(shí)的給大家帶來(lái)"驚喜"���,對于這個(gè)大家請多關(guān)注站長(cháng)防黑網(wǎng)最新程序漏洞的文章����。盡快為程序打上補丁����。
10.旁站�。就是拿下與你同一服務(wù)器上的其他網(wǎng)站�,然后在通過(guò)一些xx手段����,得到更多的信息����。如果權限夠大���,直接扔個(gè)木馬到你目錄;如果權限一般��,扔木馬扔不進(jìn)去��,就讀你管理員密碼����,或者其他敏感信息�����,進(jìn)一步入侵;如果權限比較差一點(diǎn)����,攻擊者會(huì )嘗試嗅探�����。
11.還有一些不能忽略的��。暴庫�����,列目錄��,任意下載漏洞����,包含文件漏洞�,iis寫(xiě)入漏洞����,cookie欺騙���,跨站xss等等很多很多����。大家有興趣的可以在我的網(wǎng)站搜索了解下這些名詞及方法�。
好了�����,這些基本的方法都說(shuō)完了����,如果遇見(jiàn)高手覺(jué)得還沒(méi)有說(shuō)完的�����,歡迎發(fā)我郵箱�。我們了解了這些攻擊的手段����。然后可以針對各個(gè)擊破��。確保自己的網(wǎng)站安全�����。比如常用的后臺是admin.manage.system我們可以改成不常見(jiàn)不會(huì )被猜到的�,也別再程序上面寫(xiě)什么后臺登陸的鏈接����。選擇程序的時(shí)候�����,通過(guò)百度谷歌查看是否有漏洞,是否為最新版����。如果你還愛(ài)護你的網(wǎng)站�����,你可以根據上面羅列的一些方法對自己的網(wǎng)站進(jìn)行測試���,防患于未然�。不要等到黑頁(yè)高高掛起的時(shí)候再心疼���。
寫(xiě)在后面的話(huà):個(gè)人感覺(jué),現在的網(wǎng)站安全普遍來(lái)說(shuō)比較差,主要是大家意識不夠�����。我只是一個(gè)小站長(cháng)����,不能跟大公司的安全專(zhuān)家比,雖然我不能給大家提出多么多么厲害的技巧,但是只要能減少貴站被入侵的機會(huì ),也就ok了�����。安全是一個(gè)過(guò)程��,不是一個(gè)結果�����。被入侵了����,我們要找到原因�����。希望大家的網(wǎng)站越做越好��。
| |  |  | - 技術(shù)服務(wù)電話(huà)023-86528644
- 24小時(shí)服務(wù)電話(huà)13330283339
- 業(yè)務(wù)咨詢(xún)電話(huà)023-63612462
- QQ客服服務(wù)1
 - QQ客服服務(wù)2
 - QQ客戶(hù)服務(wù)3
 - QQ客服服務(wù)4
 - QQ業(yè)務(wù)咨詢(xún)1
 - QQ業(yè)務(wù)咨詢(xún)2
 - QQ業(yè)務(wù)咨詢(xún)3
 - QQ業(yè)務(wù)咨詢(xún)4
- QQ友情鏈接
|  | |
當前位置:
