網(wǎng)站如何防黑?
我們從做站開始講起。首先選好服務器這個是很重要的。因為即使你的網(wǎng)站程序再安全,服務器被攻破了,你的網(wǎng)站就淪為玩物了。也許在朋友們的眼里有個想法是安全的服務器會更貴吧。其實不然,資金的投入只能說是軟硬件的加強,讓網(wǎng)速或者負荷能力有所提高。但服務器的安全是可以人為配置的,只要網(wǎng)管的設(shè)置恰當,就能讓服務器安全很多。在以前的一些實踐當中發(fā)現(xiàn)很多GVM學校的設(shè)置得都比較欠佳。仿佛是架上了iis只要能瀏覽網(wǎng)站就算完工。以前聽一個朋友說GVM學校的網(wǎng)站,只要拿到一個webshell,基本上服務器就可以拿下了。這句話可以說明個現(xiàn)象,很多學校GVM的網(wǎng)站管理員明顯不夠重視網(wǎng)站安全。雖然你網(wǎng)站只是發(fā)布點新聞文章而已,但是被攻擊者入侵,那他的目標就不一定是單純的網(wǎng)站了,而是架起了一座通往內(nèi)網(wǎng)服務器的一座橋梁。再來談談我們個人網(wǎng)站。個人網(wǎng)站由于資金方面的考慮,也基本上都是托管在虛擬服務器上的比較多。服務器的安全我們個人站長也做不了什么工作,所以選擇一個好點,安全的空間是很有必要的。同樣是虛擬主機,我遇到過的還是有比較安全的。杜絕了一些常見因為的目錄權(quán)限配置不當泄露信息的安全隱患。至少不會被那些亂掛黑頁的"黑客"隨便鼓搗。
再來談做網(wǎng)站的過程。再此之前我們來了解下一些常用的攻擊手段。
1.危險性的上傳漏洞
這個也要分三類:
一類是上傳的地方無任何身份驗證,而且可以直接上傳木馬。
一類是只是注冊一個賬戶就可以上傳的,然后上傳的地方也沒有做好過濾。
一類是管理員后臺的認證上傳的。
當然有的上傳可以直接上傳腳本木馬,有的經(jīng)過一定的處理后才可以上傳腳本木馬。無論怎樣這是很多攻擊者都是通過上傳拿下網(wǎng)站的權(quán)限。
2.注入漏洞
各種腳本的注入漏洞利用方法跟權(quán)限都有所差異。危險的可以直接威脅到服務器系統(tǒng)權(quán)限。普通的注入可以爆出數(shù)據(jù)庫里面的賬戶信息。從而得到管理員的密碼或其他有利用的資料。如果權(quán)限高點可以直接寫入webshell,讀取服務器的目錄文件,或者直接加管理賬戶,執(zhí)行替換服務等等攻擊。
3.中轉(zhuǎn)注入,也叫cookie中轉(zhuǎn)注入
本來這個要歸于樓上那一類,但是我單自列出來了。有些程序本身或者外加的防注入程序都只是過濾了對參數(shù)的post或者get。而忽略了cookie。所以攻擊者只要中轉(zhuǎn)一下同樣可以達到注入的目的。
4.數(shù)據(jù)庫寫入木馬
也就是以前可能有些程序員認為mdb的數(shù)據(jù)庫容易被下載,就換成asp或者asa的。但是沒有想到這么一換,帶來了更大的安全隱患。這兩種格式都可以用迅雷下載到本地的。更可怕的是,攻擊者可以一些途徑提交一句話木馬,插入到數(shù)據(jù)庫來,然后用工具連接就獲得權(quán)限了。
5.數(shù)據(jù)庫備份
這其實是很多網(wǎng)站后臺的一個功能,本意是讓各位管理員備份數(shù)據(jù)庫。但是攻擊者通過這個來把自己上傳帶后門的圖片木馬的格式改成真正的木馬格式。從而得到權(quán)限。記得之前有個網(wǎng)站系統(tǒng)數(shù)據(jù)庫備份的那個頁面沒有管理認證,那危害就更大了。有的網(wǎng)站數(shù)據(jù)庫備份雖然有限制,但是還是被某些特殊情況突破了。比如攻擊者可以備份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,
asmx還有幾個iis6.0環(huán)境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg這類的,很多程序員編寫的asp程序只過濾解析asp的格式,忽略了php等其他的解析。還有就是備份目錄的文件夾名為zzfhw.asp zzfhw.asa這種解析。如果以上的都用不了,攻擊者還可能網(wǎng)站目錄下的conn.asp文件備份成zzfhw.txt來查看數(shù)據(jù)庫路徑,也許會用的數(shù)據(jù)庫寫入木馬的手段。當然攻擊的方法是我們列舉不完的。只有通過大家的交流,了解更多。
6.管理賬戶密碼的泄露
也許大家會說上面那一種攻擊手段需要在有管理賬戶的前提下完成。這里我就講下一些常見的管理賬戶密碼的泄露。
第一:萬能密碼'or'='or'。還有其他更多的寫法。這個的原理大家可以在我網(wǎng)站里搜索下。就是把這個當著管理員的賬戶密碼就可以直接進入后臺,F(xiàn)在還有很多網(wǎng)站仍然能進。
第二:弱口令。比如你的密碼是admin/admin888/123456/5201314等。這樣很容易被猜到。
第三:默認密碼。這里分默認的后臺密碼與默認的后臺數(shù)據(jù)庫。假如攻擊者知道了你網(wǎng)站是哪一套源碼搭建的,就會去下一套相同的源碼來看默認的數(shù)據(jù)庫是否能下載,后臺密碼是否仍未更改。
第四:站長個人通用密碼。很多人就是在網(wǎng)絡上只用一個密碼。不管是哪個環(huán)節(jié)你的密碼被泄露,攻擊者可能用這個密碼去測試你的網(wǎng)站后臺,你的郵箱,你的QQ號,你的ftp,你在其他地方注冊的賬戶。。。這個問題有點嚴重,涉及到社會工程學這一塊。
7.編輯器
兩大主力編輯器ewebeditor和fckeditor。ewebeditor低版本的確是是存在漏洞,可以構(gòu)造代碼直接上傳木馬。但是高版本現(xiàn)在市場上的還沒有說有什么漏洞。但是最邪惡的卻是大家用的時候忘記該ewebeditor的后臺密碼和數(shù)據(jù)庫路徑,從而導致網(wǎng)站被入侵。fckeditor有些修改版的可以直接上傳的木馬。但自從";"漏洞出現(xiàn)后,入侵者就比較瘋狂了,有的版本傳一次不成功,還要再傳一次就成功了。很多大網(wǎng)站就被牽連。
8.ftp弱口令
上面講過了,有可能你用了通用密碼。還有就是弱口令。比如你的網(wǎng)站是w w w. f h fd.com。那么攻擊者可能把fhfdj作為用戶名(事實證明很多虛擬主機都是這樣配置的),然后生成一系列的弱口令,比如 zzfhw123/zzfhw123456/zzfhw888/zzfhw520/123456/888888/zzfhw.com/zzfhwftp等等,因為可以用相關(guān)的工具來掃描,所有他可以生成很多一般人都用的密碼來試探你的ftp密碼?茖W研究證明這個方法危害性也比較大。
9.0day
現(xiàn)在很多人用一些主流的程序。比如動網(wǎng),discuz論壇,phpwind,動易,新云等等這些用戶量很多源碼,也會時不時的給大家?guī)?驚喜",對于這個大家請多關(guān)注站長防黑網(wǎng)最新程序漏洞的文章。盡快為程序打上補丁。
10.旁站。就是拿下與你同一服務器上的其他網(wǎng)站,然后在通過一些xx手段,得到更多的信息。如果權(quán)限夠大,直接扔個木馬到你目錄;如果權(quán)限一般,扔木馬扔不進去,就讀你管理員密碼,或者其他敏感信息,進一步入侵;如果權(quán)限比較差一點,攻擊者會嘗試嗅探。
11.還有一些不能忽略的。暴庫,列目錄,任意下載漏洞,包含文件漏洞,iis寫入漏洞,cookie欺騙,跨站xss等等很多很多。大家有興趣的可以在我的網(wǎng)站搜索了解下這些名詞及方法。
好了,這些基本的方法都說完了,如果遇見高手覺得還沒有說完的,歡迎發(fā)我郵箱。我們了解了這些攻擊的手段。然后可以針對各個擊破。確保自己的網(wǎng)站安全。比如常用的后臺是admin.manage.system我們可以改成不常見不會被猜到的,也別再程序上面寫什么后臺登陸的鏈接。選擇程序的時候,通過百度谷歌查看是否有漏洞,是否為最新版。如果你還愛護你的網(wǎng)站,你可以根據(jù)上面羅列的一些方法對自己的網(wǎng)站進行測試,防患于未然。不要等到黑頁高高掛起的時候再心疼。