防止网站被入侵的一些方法
现在黑客真是越来越猖狂,老是入侵我们这些小站,明明流量就不怎样,给你们搞一下,又要关门维护,啥流量都不见了。不过现在黑客多如牛毛,随便找个教程找个工具就会了,过去那中带有侠义精神的黑客都不见了,剩下的就只会挂马,改被人网页这些王8。不过作为站长的我,对网站安全意识的确不够,像被黑后,去亿思进行网站安全评估,给过一扫就几十个漏洞,难怪被黑啦。站是外包的,毕竟自己这方面的知识不足,没想到结果是个安全漏洞那么多的站,唉~~真黑,建议那些外包建站好的,最好用亿思这些工具评估一下网站安全性,要不很容易被黑的,可以去其官网在线扫描http://www.iiscan.com 。
其实在网上这方面的教程也不少,下面那个是在网上找的,虽然有些自己也不是很懂,但当分享给大家,希望大家都不要给一些无良的黑客盯上。
首先了解一些常用的攻击手段,再进行相关的防范。。。
1.危险性的上载漏洞
这个也要分三类:
一类是上载的地方无任何身份验证,而且可以直接上载木马。
一类是只是注册一个账户就可以上载的,然后上载的地方也没有做好过滤。
一类是管理员后台的认证上载的。
当然有的上载可以直接上载脚本木马,有的经过一定的处理后才可以上载脚本木马。无论怎样这是很多攻击者都是通过上载拿下网站的权限。
2.注入漏洞
各种脚本的注入漏洞利用方法跟权限都有所差异。危险的可以直接威胁到服务器系统权限。普通的注入可以爆出数据库里面的账户信息。从而得到管理员的密码或其他有利用的资料。如果权限高点可以直接写入webshell,读取服务器的目录文件,或者直接加管理账户,执行替换服务等等攻击。
3.中转注入,也叫cookie中转注入
本来这个要归于楼上那一类,但是我单自列出来了。有些程序本身或者外加的防注入程序都只是过滤了对参数的post或者get。而忽略了cookie。所以攻击者只要中转一下同样可以达到注入的目的。
4.数据库写入木马
也就是以前可能有些程序员认为mdb的数据库容易被下载,就换成asp或者asa的。但是没有想到这么一换,带来了更大的安全隐患。这两种格式都可以用迅雷下载到本地的。更可怕的是,攻击者可以一些途径提交一句话木马,插入到数据库来,然后用工具连接就获得权限了。
5.数据库备份
这其实是很多网站后台的一个功能,本意是让各位管理员备份数据库。但是攻击者通过这个来把自己上载带后门的图片木马的格式改成真正的木马格式。从而得到权限。记得之前有个网站系统数据库备份的那个页面没有管理认证,那危害就更大了。有的网站数据库备份虽然有限制,但是还是被某些特殊情况突破了。比如攻击者可以备份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,
asmx还有几个iis6.0环境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg这类的,很多程序员编写的asp程序只过滤解析asp的格式,忽略了php等其他的解析。还有就是备份目录的文件夹名为zzfhw.asp zzfhw.asa这种解析。如果以上的都用不了,攻击者还可能网站目录下的conn.asp文件备份成zzfhw.txt来查看数据库路径,也许会用的数据库写入木马的手段。当然攻击的方法是我们列举不完的。只有通过大家的交流,了解更多。
6.管理账户密码的泄露
也许大家会说上面那一种攻击手段需要在有管理账户的前提下完成。这里我就讲下一些常见的管理账户密码的泄露。
第一:万能密码'or'='or'。还有其他更多的写法。这个的原理大家可以在我网站里搜索下。就是把这个当着管理员的账户密码就可以直接进入后台。现在还有很多网站仍然能进。
第二:弱口令。比如你的密码是admin/admin888/123456/5201314等。这样很容易被猜到。
第三:默认密码。这里分默认的后台密码与默认的后台数据库。假如攻击者知道了你网站是哪一套源码搭建的,就会去下一套相同的源码来看默认的数据库是否能下载,后台密码是否仍未更改。
第四:站长个人通用密码。很多人就是在网络上只用一个密码。不管是哪个环节你的密码被泄露,攻击者可能用这个密码去测试你的网站后台,你的邮箱,你的QQ号,你的ftp,你在其他地方注册的账户。。。这个问题有点严重,涉及到社会工程学这一块。
7.编辑器
两大主力编辑器ewebeditor水产∩系幕姑挥兴涤惺裁绰┒础5?亲钚岸竦娜词谴蠹矣玫氖焙蛲?歉胑webeditor的后台密码和数据库路径,从而导致网站被入侵。fckeditor有些修改版的可以直接上载的木马。但自从";"漏洞出现后,入侵者就比较疯狂了,有的版本传一次不成功,还要再传一次就成功了。很多大网站就被牵连。
8.ftp弱口令
上面讲过了,有可能你用了通用密码。还有就是弱口令。比如你的网站是www.fhfdj.com。那么攻击者可能把fhfdj作为用户名(事实证明很多虚拟主机都是这样配置的),然后生成一系列的弱口令,比如zzfhw123/zzfhw123456/zzfhw888/zzfhw520/123456/888888/zzfhw.com/zzfhwftp等等,因为可以用相关的工具来扫描,所有他可以生成很多一般人都用的密码来试探你的ftp密码。科学研究证明这个方法危害性也比较大。
9.0day
现在很多人用一些主流的程序。比如动网,discuz论坛,phpwind,动易,新云等等这些用户量很多源码,也会时不时的给大家带来"惊喜",对于这个大家请多关注站长防黑网最新程序漏洞的文章。尽快为程序打上补丁。
10.旁站。就是拿下与你同一服务器上的其他网站,然后在通过一些xx手段,得到更多的信息。如果权限够大,直接扔个木马到你目录;如果权限一般,扔木马扔不进去,就读你管理员密码,或者其他敏感信息,进一步入侵;如果权限比较差一点,攻击者会尝试嗅探。
11.还有一些不能忽略的。暴库,列目录,任意下载漏洞,包含文件漏洞,iis写入漏洞,cookie欺骗,跨站xss等等很多很多。大家有兴趣的可以在我的网站搜索了解下这些名词及方法。
我们了解了这些攻击的手段。然后可以针对各个击破。确保自己的网站安全。比如常用的后台是admin.manage.system我们可以改成不常见不会被猜到的,也别再程序上面写什么后台登陆的链接。选择程序的时候,通过百度谷歌查看是否有漏洞,是否为最新版。如果你还爱护你的网站,你可以根据上面罗列的一些方法对自己的网站进行测试,防患于未然。不要等到黑页高高挂起的时候再心疼。
我只是一个小站长,不能跟大公司的安全专家比,虽然我不能给大家提出多么多么厉害的技巧,但是只要能减少贵站被入侵的机会,也就ok了。安全是一个过程,不是一个结果。被入侵了,我们要找到原因。希望大家的网站越做越好。
顶一下,不错不错.... 额不怕撒 ,空间尚自己负责~~
页:
[1]