写在前面的话:大家不要把那些挂黑页挂马的"黑客"想得太厉害了,厉害的是不屑于这些的。这一句话就够了。
现在的黑客网站可谓是多如牛毛,不管在哪里只要你愿意学,都可以学到一招半式。看过别人的个性签名:卖菜的王大妈是黑客,烤红薯的李大爷也是黑客,对面成人用品店的老板,挖日,还是黑客-_-~!...黑客还真多啊!!!据不完全统计,每天都有至少成千上万的网站被入侵篡改。有次在某群里聊天,一个高中生为了找到一个邂逅的女生的资料,入侵当地的民政局的内网服务器查看信息。厉害吧。过程估计是相当的精彩。正所谓只要有电脑的地方,就会有江湖。被黑总是有理由的……
网站如何防黑?
我们从做站开始讲起。
首先选好服务器这个是很重要的。因为即使你的网站程序再安全,服务器被攻破了,你的网站就沦为玩物了。也许在朋友们的眼里有个想法是安全的服务器会更贵吧。其实不然,资金的投入只能说是软硬件的加强,让网速或者负荷能力有所提高。但服务器的安全是可以人为配置的,只要网管的设置恰当,就能让服务器安全很多。在以前的一些实践当中发现很多政府学校的设置得都比较欠佳。仿佛是架上了iis只要能浏览网站就算完工。以前听一个朋友说政府学校的网站,只要拿到一个webshell,基本上服务器就可以拿下了。这句话可以说明个现象,很多学校政府的网站管理员明显不够重视网站安全。虽然你网站只是发布点新闻文章而已,但是被攻击者入侵,那他的目标就不一定是单纯的网站了,而是架起了一座通往内网服务器的一座桥梁。
再来谈谈我们个人网站。个人网站由于资金方面的考虑,也基本上都是托管在虚拟服务器上的比较多。服务器的安全我们个人站长也做不了什么工作,所以选择一个好点,安全的空间是很有必要的。同样是虚拟主机,我遇到过的还是有比较安全的。杜绝了一些常见因为的目录权限配置不当泄露信息的安全隐患。至少不会被那些乱挂黑页的"黑客"随便鼓捣。
再来谈做网站的过程。再此之前我们来了解下一些常用的攻击手段。
1.危险性的上传漏洞
这个也要分三类:
一类是上传的地方无任何身份验证,而且可以直接上传木马。
一类是只是注册一个账户就可以上传的,然后上传的地方也没有做好过滤。
一类是管理员后台的认证上传的。
当然有的上传可以直接上传脚本木马,有的经过一定的处理后才可以上传脚本木马。无论怎样这是很多攻击者都是通过上传拿下网站的权限。
2.注入漏洞
各种脚本的注入漏洞利用方法跟权限都有所差异。危险的可以直接威胁到服务器系统权限。普通的注入可以爆出数据库里面的账户信息。从而得到管理员的密码或其他有利用的资料。如果权限高点可以直接写入webshell,读取服务器的目录文件,或者直接加管理账户,执行替换服务等等攻击。
3.中转注入,也叫cookie中转注入
本来这个要归于楼上那一类,但是我单自列出来了。有些程序本身或者外加的防注入程序都只是过滤了对参数的post或者get。而忽略了cookie。所以攻击者只要中转一下同样可以达到注入的目的。
4.数据库写入木马
也就是以前可能有些程序员认为mdb的数据库容易被下载,就换成asp或者asa的。但是没有想到这么一换,带来了更大的安全隐患。这两种格式都可以用迅雷下载到本地的。更可怕的是,攻击者可以一些途径提交一句话木马,插入到数据库来,然后用工具连接就获得权限了。
5.数据库备份
这其实是很多网站后台的一个功能,本意是让各位管理员备份数据库。但是攻击者通过这个来把自己上传带后门的图片木马的格式改成真正的木马格式。从而得到权限。记得之前有个网站系统数据库备份的那个页面没有管理认证,那危害就更大了。有的网站数据库备份虽然有限制,但是还是被某些特殊情况突破了。比如攻击者可以备份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,
asmx还有几个iis6.0环境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg这类的,很多程序员编写的asp程序只过滤解析asp的格式,忽略了php等其他的解析。还有就是备份目录的文件夹名为zzfhw.asp zzfhw.asa这种解析。如果以上的都用不了,攻击者还可能网站目录下的conn.asp文件备份成zzfhw.txt来查看数据库路径,也许会用的数据库写入木马的手段。当然攻击的方法是我们列举不完的。只有通过大家的交流,了解更多。
6.管理账户密码的泄露
也许大家会说上面那一种攻击手段需要在有管理账户的前提下完成。这里我就讲下一些常见的管理账户密码的泄露。
第一:万能密码'or'='or'。还有其他更多的写法。这个的原理大家可以在我网站里搜索下。就是把这个当着管理员的账户密码就可以直接进入后台。现在还有很多网站仍然能进。
第二:弱口令。比如你的密码是admin/admin888/123456/5201314等。这样很容易被猜到。
第三:默认密码。这里分默认的后台密码与默认的后台数据库。假如攻击者知道了你网站是哪一套源码搭建的,就会去下一套相同的源码来看默认的数据库是否能下载,后台密码是否仍未更改。
第四:站长个人通用密码。很多人就是在网络上只用一个密码。不管是哪个环节你的密码被泄露,攻击者可能用这个密码去测试你的网站后台,你的邮箱,你的QQ号,你的ftp,你在其他地方注册的账户。。。这个问题有点严重,涉及到社会工程学这一块。
7.编辑器
两大主力编辑器ewebeditor和fckeditor。ewebeditor低版本的确是是存在漏洞,可以构造代码直接上传木马。但是高版本现在市场上的还没有说有什么漏洞。但是最邪恶的却是大家用的时候忘记该ewebeditor的后台密码和数据库路径,从而导致网站被入侵。fckeditor有些修改版的可以直接上传的木马。但自从";"漏洞出现后,入侵者就比较疯狂了,有的版本传一次不成功,还要再传一次就成功了。很多大网站就被牵连。
8.ftp弱口令
上面讲过了,有可能你用了通用密码。还有就是弱口令。比如你的网站是www.zzfhw.com。那么攻击者可能把zzfhw作为用户名(事实证明很多虚拟主机都是这样配置的),然后生成一系列的弱口令,比如zzfhw123/zzfhw123456/zzfhw888/zzfhw520/123456/888888/zzfhw.com/zzfhwftp等等,因为可以用相关的工具来扫描,所有他可以生成很多一般人都用的密码来试探你的ftp密码。科学研究证明这个方法危害性也比较大。
9.0day
现在很多人用一些主流的程序。比如动网,discuz论坛,phpwind,动易,新云等等这些用户量很多源码,也会时不时的给大家带来"惊喜",对于这个大家请多关注站长防黑网最新程序漏洞的文章。尽快为程序打上补丁。
10.旁站
就是拿下与你同一服务器上的其他网站,然后在通过一些xx手段,得到更多的信息。如果权限够大,直接扔个木马到你目录;如果权限一般,扔木马扔不进去,就读你管理员密码,或者其他敏感信息,进一步入侵;如果权限比较差一点,攻击者会尝试嗅探。
11.还有一些不能忽略的
暴库,列目录,任意下载漏洞,包含文件漏洞,iis写入漏洞,cookie欺骗,跨站xss等等很多很多。大家有兴趣的可以在我的网站搜索了解下这些名词及方法。
好了,这些基本的方法都说完了。我们了解了这些攻击的手段。然后可以针对各个击破。确保自己的网站安全。比如常用的后台是admin.manage.system我们可以改成不常见不会被猜到的,也别再程序上面写什么后台登陆的链接。选择程序的时候,通过百度谷歌查看是否有漏洞,是否为最新版。如果你还爱护你的网站,你可以根据上面罗列的一些方法对自己的网站进行测试,防患于未然。不要等到黑页高高挂起的时候再心疼。