寫在前面的話:大家不要把那些挂黑頁挂馬的"黑客"想得太厲害了,厲害的是不屑于這些的。這一句話就夠了。
現在的黑客網站可謂是多如牛毛,不管在哪裡隻要你願意學,都可以學到一招半式。看過别人的個性簽名:賣菜的王大媽是黑客,烤蕃薯的李大爺也是黑客,對面成人用品店的老闆,挖日,還是黑客-_-~!...黑客還真多啊!!!據不完全統計,每天都有至少成千上萬的網站被入侵篡改。有次在某群裡聊天,一個高中生為了找到一個邂逅的女生的資料,入侵當地的民政局的内網伺服器檢視資訊。厲害吧。過程估計是相當的精彩。正所謂隻要有電腦的地方,就會有江湖。被黑總是有理由的……
網站如何防黑?
我們從做站開始講起。
首先選好伺服器這個是很重要的。因為即使你的網站程式再安全,伺服器被攻破了,你的網站就淪為玩物了。也許在朋友們的眼裡有個想法是安全的伺服器會更貴吧。其實不然,資金的投入隻能說是軟硬體的加強,讓網速或者負荷能力有所提高。但伺服器的安全是可以人為配置的,隻要網管的設定恰當,就能讓伺服器安全很多。在以前的一些實踐當中發現很多政府學校的設定得都比較欠佳。仿佛是架上了iis隻要能浏覽網站就算完工。以前聽一個朋友說政府學校的網站,隻要拿到一個webshell,基本上伺服器就可以拿下了。這句話可以說明個現象,很多學校政府的網站管理者明顯不夠重視網站安全。雖然你網站隻是釋出點新聞文章而已,但是被攻擊者入侵,那他的目标就不一定是單純的網站了,而是架起了一座通往内網伺服器的一座橋梁。
再來談談我們個人網站。個人網站由于資金方面的考慮,也基本上都是托管在虛拟伺服器上的比較多。伺服器的安全我們個人站長也做不了什麼工作,是以選擇一個好點,安全的空間是很有必要的。同樣是虛拟主機,我遇到過的還是有比較安全的。杜絕了一些常見因為的目錄權限配置不當洩露資訊的安全隐患。至少不會被那些亂挂黑頁的"黑客"随便鼓搗。
再來談做網站的過程。再此之前我們來了解下一些常用的攻擊手段。
1.危險性的上傳漏洞
這個也要分三類:
一類是上傳的地方無任何身份驗證,而且可以直接上傳木馬。
一類是隻是注冊一個賬戶就可以上傳的,然後上傳的地方也沒有做好過濾。
一類是管理者背景的認證上傳的。
當然有的上傳可以直接上傳腳本木馬,有的經過一定的處理後才可以上傳腳本木馬。無論怎樣這是很多攻擊者都是通過上傳拿下網站的權限。
2.注入漏洞
各種腳本的注入漏洞利用方法跟權限都有所差異。危險的可以直接威脅到伺服器系統權限。普通的注入可以爆出資料庫裡面的賬戶資訊。進而得到管理者的密碼或其他有利用的資料。如果權限高點可以直接寫入webshell,讀取伺服器的目錄檔案,或者直接加管理賬戶,執行替換服務等等攻擊。
3.中轉注入,也叫cookie中轉注入
本來這個要歸于樓上那一類,但是我單自列出來了。有些程式本身或者外加的防注入程式都隻是過濾了對參數的post或者get。而忽略了cookie。是以攻擊者隻要中轉一下同樣可以達到注入的目的。
4.資料庫寫入木馬
也就是以前可能有些程式員認為mdb的資料庫容易被下載下傳,就換成asp或者asa的。但是沒有想到這麼一換,帶來了更大的安全隐患。這兩種格式都可以用迅雷下載下傳到本地的。更可怕的是,攻擊者可以一些途徑送出一句話木馬,插入到資料庫來,然後用工具連接配接就獲得權限了。
5.資料庫備份
這其實是很多網站背景的一個功能,本意是讓各位管理者備份資料庫。但是攻擊者通過這個來把自己上傳帶後門的圖檔木馬的格式改成真正的木馬格式。進而得到權限。記得之前有個網站系統資料庫備份的那個頁面沒有管理認證,那危害就更大了。有的網站資料庫備份雖然有限制,但是還是被某些特殊情況突破了。比如攻擊者可以備份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,
asmx還有幾個iis6.0環境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg這類的,很多程式員編寫的asp程式隻過濾解析asp的格式,忽略了php等其他的解析。還有就是備份目錄的檔案夾名為zzfhw.asp zzfhw.asa這種解析。如果以上的都用不了,攻擊者還可能網站目錄下的conn.asp檔案備份成zzfhw.txt來檢視資料庫路徑,也許會用的資料庫寫入木馬的手段。當然攻擊的方法是我們列舉不完的。隻有通過大家的交流,了解更多。
6.管理賬戶密碼的洩露
也許大家會說上面那一種攻擊手段需要在有管理賬戶的前提下完成。這裡我就講下一些常見的管理賬戶密碼的洩露。
第一:萬能密碼\'or\'=\'or\'。還有其他更多的寫法。這個的原理大家可以在我網站裡搜尋下。就是把這個當着管理者的賬戶密碼就可以直接進入背景。現在還有很多網站仍然能進。
第二:弱密碼。比如你的密碼是admin/admin888/123456/5201314等。這樣很容易被猜到。
第三:預設密碼。這裡分預設的背景密碼與預設的背景資料庫。假如攻擊者知道了你網站是哪一套源碼搭建的,就會去下一套相同的源碼來看預設的資料庫是否能下載下傳,背景密碼是否仍未更改。
第四:站長個人通用密碼。很多人就是在網絡上隻用一個密碼。不管是哪個環節你的密碼被洩露,攻擊者可能用這個密碼去測試你的網站背景,你的郵箱,你的QQ号,你的ftp,你在其他地方注冊的賬戶。。。這個問題有點嚴重,涉及到社會工程學這一塊。
7.編輯器
兩大主力編輯器ewebeditor和fckeditor。ewebeditor低版本的确是是存在漏洞,可以構造代碼直接上傳木馬。但是高版本現在市場上的還沒有說有什麼漏洞。但是最邪惡的卻是大家用的時候忘記該ewebeditor的背景密碼和資料庫路徑,進而導緻網站被入侵。fckeditor有些修改版的可以直接上傳的木馬。但自從";"漏洞出現後,入侵者就比較瘋狂了,有的版本傳一次不成功,還要再傳一次就成功了。很多大網站就被牽連。
8.ftp弱密碼
上面講過了,有可能你用了通用密碼。還有就是弱密碼。比如你的網站是www.zzfhw.com。那麼攻擊者可能把zzfhw作為使用者名(事實證明很多虛拟主機都是這樣配置的),然後生成一系列的弱密碼,比如zzfhw123/zzfhw123456/zzfhw888/zzfhw520/123456/888888/zzfhw.com/zzfhwftp等等,因為可以用相關的工具來掃描,所有他可以生成很多一般人都用的密碼來試探你的ftp密碼。科學研究證明這個方法危害性也比較大。
9.0day
現在很多人用一些主流的程式。比如動網,discuz論壇,phpwind,動易,新雲等等這些使用者量很多源碼,也會時不時的給大家帶來"驚喜",對于這個大家請多關注站長防黑網最新程式漏洞的文章。盡快為程式打上更新檔。
10.旁站
就是拿下與你同一伺服器上的其他網站,然後在通過一些xx手段,得到更多的資訊。如果權限夠大,直接扔個木馬到你目錄;如果權限一般,扔木馬扔不進去,就讀你管理者密碼,或者其他敏感資訊,進一步入侵;如果權限比較差一點,攻擊者會嘗試嗅探。
11.還有一些不能忽略的
暴庫,列目錄,任意下載下傳漏洞,包含檔案漏洞,iis寫入漏洞,cookie欺騙,跨站xss等等很多很多。大家有興趣的可以在我的網站搜尋了解下這些名詞及方法。
好了,這些基本的方法都說完了。我們了解了這些攻擊的手段。然後可以針對各個擊破。確定自己的網站安全。比如常用的背景是admin.manage.system我們可以改成不常見不會被猜到的,也别再程式上面寫什麼背景登陸的連結。選擇程式的時候,通過百度谷歌檢視是否有漏洞,是否為最新版。如果你還愛護你的網站,你可以根據上面羅列的一些方法對自己的網站進行測試,防患于未然。不要等到黑頁高高挂起的時候再心疼。
寫在後面的話:個人感覺,現在的網站安全普遍來說比較差,主要是大家意識不夠。雖然我不能給大家提出多麼多麼厲害的技巧,但是隻要能減少網站被入侵的機會,也就ok了。安全是一個過程,不是一個結果。被入侵了,我們要找到原因。希望大家的網站越做越好。如果上面的文章有錯的地方,歡迎留言指正。
如果你想更好的提升你的程式設計能力,學好C語言C++程式設計!彎道超車,快人一步!
【C語言C++學習企鵝圈子】,分享(源碼、項目實戰視訊、項目筆記,基礎入門教程)
歡迎轉行和學習程式設計的夥伴,利用更多的資料學習成長比自己琢磨更快哦!
程式設計學習書籍:
程式設計學習視訊: