| 一些方法防止網(wǎng)站被人入侵 | 寫在前面的話:大家不要把那些掛黑頁掛馬的"黑客"想得太厲害了,厲害的是不屑于這些的�����。這一句話就夠了�。
現(xiàn)在的黑客網(wǎng)站可謂是多如牛毛,不管在哪里只要你愿意學(xué)�,都可以學(xué)到一招半式??催^別人的個(gè)性簽名:賣菜的王大媽是黑客�,烤紅薯的李大爺也是黑客���,對面ChengRen用品店的老板�����,挖日����,還是黑客-_-~!...黑客還真多啊!!!據(jù)不完全統(tǒng)計(jì)�,每天都有至少成千上萬的網(wǎng)站被入侵篡改。有次在某群里聊天,一個(gè)高中生為了找到一個(gè)邂逅的女生的資料�����,入侵當(dāng)?shù)氐拿裾值膬?nèi)網(wǎng)服務(wù)器查看信息�。nb吧。過程估計(jì)是相當(dāng)?shù)木?����。正所謂只要有電腦的地方,就會有江湖���。被黑總是有理由的……歡迎大家到站長防黑網(wǎng)來交流����。
網(wǎng)站如何防黑?
我們從做站開始講起。首先選好服務(wù)器這個(gè)是很重要的���。因?yàn)榧词鼓愕木W(wǎng)站程序再安全�����,服務(wù)器被攻破了��,你的網(wǎng)站就淪為玩物了����。也許在朋友們的眼里有個(gè)想法是安全的服務(wù)器會更貴吧�����。其實(shí)不然�����,資金的投入只能說是軟硬件的加強(qiáng)��,讓網(wǎng)速或者負(fù)荷能力有所提高���。但服務(wù)器的安全是可以人為配置的�,只要網(wǎng)管的設(shè)置恰當(dāng)�����,就能讓服務(wù)器安全很多�����。在以前的一些實(shí)踐當(dāng)中發(fā)現(xiàn)很多GVM學(xué)校的設(shè)置得都比較欠佳��。仿佛是架上了iis只要能瀏覽網(wǎng)站就算完工�����。以前聽一個(gè)朋友說GVM學(xué)校的網(wǎng)站�����,只要拿到一個(gè)webshell�����,基本上服務(wù)器就可以拿下了。這句話可以說明個(gè)現(xiàn)象��,很多學(xué)校GVM的網(wǎng)站管理員明顯不夠重視網(wǎng)站安全�。雖然你網(wǎng)站只是發(fā)布點(diǎn)新聞文章而已,但是被攻擊者入侵����,那他的目標(biāo)就不一定是單純的網(wǎng)站了,而是架起了一座通往內(nèi)網(wǎng)服務(wù)器的一座橋梁�。再來談?wù)勎覀儌€(gè)人網(wǎng)站。重慶網(wǎng)絡(luò)公司個(gè)人網(wǎng)站由于資金方面的考慮����,也基本上都是托管在虛擬服務(wù)器上的比較多。服務(wù)器的安全我們個(gè)人站長也做不了什么工作����,所以選擇一個(gè)好點(diǎn),安全的空間是很有必要的���。同樣是虛擬主機(jī)���,我遇到過的還是有比較安全的。杜絕了一些常見因?yàn)榈哪夸洐?quán)限配置不當(dāng)泄露信息的安全隱患���。至少不會被那些亂掛黑頁的"黑客"隨便鼓搗����。如果大家再選擇服務(wù)器的時(shí)候需要幫忙的話�。我會免費(fèi)為大家友情提供幫助的,并提供參考意見。關(guān)于服務(wù)器的安全配置�,我們后面再寫詳細(xì)的文章。
再來談做網(wǎng)站的過程����。再此之前我們來了解下一些常用的攻擊手段。
1.危險(xiǎn)性的上傳漏洞
這個(gè)也要分三類:
一類是上傳的地方無任何身份驗(yàn)證���,而且可以直接上傳木馬��。
一類是只是注冊一個(gè)賬戶就可以上傳的���,然后上傳的地方也沒有做好過濾。
一類是管理員后臺的認(rèn)證上傳的�。
當(dāng)然有的上傳可以直接上傳腳本木馬,有的經(jīng)過一定的處理后才可以上傳腳本木馬�。無論怎樣這是很多攻擊者都是通過上傳拿下網(wǎng)站的權(quán)限。
2.注入漏洞
各種腳本的注入漏洞利用方法跟權(quán)限都有所差異����。危險(xiǎn)的可以直接威脅到服務(wù)器系統(tǒng)權(quán)限��。普通的注入可以爆出數(shù)據(jù)庫里面的賬戶信息����。從而得到管理員的密碼或其他有利用的資料�����。如果權(quán)限高點(diǎn)可以直接寫入webshell�,讀取服務(wù)器的目錄文件,或者直接加管理賬戶�,執(zhí)行替換服務(wù)等等攻擊。
3.中轉(zhuǎn)注入�����,也叫cookie中轉(zhuǎn)注入
本來這個(gè)要?dú)w于樓上那一類�,但是我單自列出來了。有些程序本身或者外加的防注入程序都只是過濾了對參數(shù)的post或者get���。而忽略了cookie���。所以攻擊者只要中轉(zhuǎn)一下同樣可以達(dá)到注入的目的�。
4.數(shù)據(jù)庫寫入木馬
也就是以前可能有些程序員認(rèn)為mdb的數(shù)據(jù)庫容易被下載��,就換成asp或者asa的����。但是沒有想到這么一換���,帶來了更大的安全隱患���。這兩種格式都可以用迅雷下載到本地的。更可怕的是�,攻擊者可以一些途徑提交一句話木馬,插入到數(shù)據(jù)庫來�,然后用工具連接就獲得權(quán)限了。
5.數(shù)據(jù)庫備份
這其實(shí)是很多網(wǎng)站后臺的一個(gè)功能����,本意是讓各位管理員備份數(shù)據(jù)庫。但是攻擊者通過這個(gè)來把自己上傳帶后門的圖片木馬的格式改成真正的木馬格式����。從而得到權(quán)限。記得之前有個(gè)網(wǎng)站系統(tǒng)數(shù)據(jù)庫備份的那個(gè)頁面沒有管理認(rèn)證�,那危害就更大了��。有的網(wǎng)站數(shù)據(jù)庫備份雖然有限制����,但是還是被某些特殊情況突破了��。比如攻擊者可以備份的格式有��,asp���,asa�����,cer�����,htr����,cdx�����,php,jsp��,aspx���,ashx���,
asmx還有幾個(gè)iis6.0環(huán)境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg這類的,很多程序員編寫的asp程序只過濾解析asp的格式����,忽略了php等其他的解析。還有就是備份目錄的文件夾名為tjseotv.asp tjseotv.asa這種解析����。如果以上的都用不了,攻擊者還可能網(wǎng)站目錄下的conn.asp文件備份成tjseotv.txt來查看數(shù)據(jù)庫路徑�����,也許會用的數(shù)據(jù)庫寫入木馬的手段���。當(dāng)然攻擊的方法是我們列舉不完的��。只有通過大家的交流����,了解更多。
6.管理賬戶密碼的泄露
也許大家會說上面那一種攻擊手段需要在有管理賬戶的前提下完成����。這里我就講下一些常見的管理賬戶密碼的泄露。
第一:萬能密碼'or'='or'���。還有其他更多的寫法�。這個(gè)的原理大家可以在我網(wǎng)站里搜索下���。就是把這個(gè)當(dāng)著管理員的賬戶密碼就可以直接進(jìn)入后臺?���,F(xiàn)在還有很多網(wǎng)站仍然能進(jìn)��。
第二:弱口令�����。比如你的密碼是admin/admin888/123456/5201314等��。這樣很容易被猜到。
第三:默認(rèn)密碼�。這里分默認(rèn)的后臺密碼與默認(rèn)的后臺數(shù)據(jù)庫。假如攻擊者知道了你網(wǎng)站是哪一套源碼搭建的�����,就會去下一套相同的源碼來看默認(rèn)的數(shù)據(jù)庫是否能下載����,后臺密碼是否仍未更改。
第四:站長個(gè)人通用密碼��。很多人就是在網(wǎng)絡(luò)上只用一個(gè)密碼�。不管是哪個(gè)環(huán)節(jié)你的密碼被泄露��,攻擊者可能用這個(gè)密碼去測試你的網(wǎng)站后臺����,你的郵箱,你的QQ號�,你的ftp,你在其他地方注冊的賬戶����。。。這個(gè)問題有點(diǎn)嚴(yán)重�����,涉及到社會工程學(xué)這一塊�����。
7.編輯器
兩大主力編輯器ewebeditor和fckeditor���。ewebeditor低版本的確是是存在漏洞�����,可以構(gòu)造代碼直接上傳木馬���。但是高版本現(xiàn)在市場上的還沒有說有什么漏洞。但是最邪惡的卻是大家用的時(shí)候忘記該ewebeditor的后臺密碼和數(shù)據(jù)庫路徑����,從而導(dǎo)致網(wǎng)站被入侵。fckeditor有些修改版的可以直接上傳的木馬�����。但自從";"漏洞出現(xiàn)后,入侵者就比較瘋狂了,有的版本傳一次不成功,還要再傳一次就成功了��。很多大網(wǎng)站就被牽連�。
8.ftp弱口令
上面講過了,有可能你用了通用密碼���。還有就是弱口令�。比如你的網(wǎng)站是seo��。那么攻擊者可能把seoadmin作為用戶名(事實(shí)證明很多虛擬主機(jī)都是這樣配置的),然后生成一系列的弱口令�����,比如seo123/seo123456/seo888/seo520/123456/888888/seo.cn/seoftp等等���,因?yàn)榭梢杂孟嚓P(guān)的工具來掃描,所有他可以生成很多一般人都用的密碼來試探你的ftp密碼���??茖W(xué)研究證明這個(gè)方法危害性也比較大�。
9.0day
現(xiàn)在很多人用一些主流的程序。比如動網(wǎng)���,discuz論壇��,phpwind��,動易��,新云等等這些用戶量很多源碼��,也會時(shí)不時(shí)的給大家?guī)?驚喜"����,對于這個(gè)大家請多關(guān)注站長防黑網(wǎng)最新程序漏洞的文章。盡快為程序打上補(bǔ)丁��。
10.旁站�。就是拿下與你同一服務(wù)器上的其他網(wǎng)站,然后在通過一些xx手段���,得到更多的信息�����。如果權(quán)限夠大�����,直接扔個(gè)木馬到你目錄;如果權(quán)限一般��,扔木馬扔不進(jìn)去���,就讀你管理員密碼��,或者其他敏感信息�����,進(jìn)一步入侵;如果權(quán)限比較差一點(diǎn)��,攻擊者會嘗試嗅探���。
11.還有一些不能忽略的。暴庫�,列目錄,任意下載漏洞����,包含文件漏洞�,iis寫入漏洞,cookie欺騙����,跨站xss等等很多很多���。大家有興趣的可以在我的網(wǎng)站搜索了解下這些名詞及方法。
好了�����,這些基本的方法都說完了��,如果遇見高手覺得還沒有說完的��,歡迎發(fā)我郵箱����。我們了解了這些攻擊的手段。然后可以針對各個(gè)擊破���。確保自己的網(wǎng)站安全����。比如常用的后臺是admin.manage.system我們可以改成不常見不會被猜到的����,也別再程序上面寫什么后臺登陸的鏈接����。選擇程序的時(shí)候����,通過百度谷歌查看是否有漏洞,是否為最新版。如果你還愛護(hù)你的網(wǎng)站��,你可以根據(jù)上面羅列的一些方法對自己的網(wǎng)站進(jìn)行測試����,防患于未然。不要等到黑頁高高掛起的時(shí)候再心疼�。
寫在后面的話:個(gè)人感覺,現(xiàn)在的網(wǎng)站安全普遍來說比較差,主要是大家意識不夠。我只是一個(gè)小站長��,不能跟大公司的安全專家比,雖然我不能給大家提出多么多么厲害的技巧,但是只要能減少貴站被入侵的機(jī)會,也就ok了���。安全是一個(gè)過程��,不是一個(gè)結(jié)果�。被入侵了���,我們要找到原因��。希望大家的網(wǎng)站越做越好��。
| |  |  | - 技術(shù)服務(wù)電話023-86528644
- 24小時(shí)服務(wù)電話13330283339
- 業(yè)務(wù)咨詢電話023-63612462
- QQ客服服務(wù)1
 - QQ客服服務(wù)2
 - QQ客戶服務(wù)3
 - QQ客服服務(wù)4
 - QQ業(yè)務(wù)咨詢1
 - QQ業(yè)務(wù)咨詢2
 - QQ業(yè)務(wù)咨詢3
 - QQ業(yè)務(wù)咨詢4
- QQ友情鏈接
|  | |
當(dāng)前位置:
