今天要说的是旁注。不知道做网站的人是否遇到这样的问题:自己的网站做的很安全,但是还是被入侵了。比如更改了主页。更改了文件等。。。
找了下日志文件也找不到为什么,所有可能出现的问题都检查了一遍,但是还是找到不问题的所在,修复好了漏洞后还是一样的没有任何的反映。基本上是无效的、、
呵呵。这就关系到今天的主题====旁注入侵。
和为旁注入侵,引用百度文科
旁注是最近网络上比较流行的一种入侵方法,在字面上解释就是-"从旁注入",利用同一主机上面不同网站的漏洞得到webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。
说白了就是入侵了安全系数比较弱的网站,然后通过目录的形式找到你的网站进行第二步的入侵。
下面来说下旁注入侵的步骤:
1.查询但前主机下的所有网站,一般是通过ip地址进行同名主机查询的。网站是:http://ip.webmasterhome.cn/,这叫做ip反查。正常方式是 域名->ip,反向则是 ip->域名。
2.获取到相关的域名后进行探测,如数据探测,注入探测,后台弱口令探测,目录探测,上传漏洞(后面会说道这)等等的操作。来确定当前主机下有漏洞可供入侵。
3.在获取到漏洞后看是否可以利用,如果可以利用,则进行登录后台或者溢出攻击。
4.在登录后后台后查询是否有备份漏洞或者上传漏洞,然后进行上传小马,接着上传大马(针对无法溢出成功的主机)。
5.登录木马,进行权限检测,看是否可以提权,或者权限设置不严禁等等,如果运气好的话可以获取到整个主机上面的所有ftp信息。那样就更可以肆无忌惮的进行破坏了。嘎嘎、
6.检测完成后如果存在权限方面的漏洞的话,就可以进行下一步的操作的,比如提权,或者建立超级用户等等。
到此为止已经成功的进行了旁注入侵。
对于站长和idc来说如何的防御这种攻击呢?所谓知己知彼百战不殆。我们既然了解了入侵的方式和步骤,那么我们针对每个方法进行防御。
第一步,首先是权限的问题,在我们进行自动分配iis的时候切忌一定要设置目录是iis远程用户可读写,其它的信息全部删除掉,保留admin和power,在window 2003里面有system这个用户。
第二步,防止上传漏洞,我们可以安装响应的软件或者修复上传的漏洞插件进行漏洞的修复,比如效验上传的文件代码和信息。等等。
第三步,注意你的弱口令,一般来说admin这类的弱口令就不要设置,这里我总结了一些类似的弱口令
admin-admin,sa-sa,null,null,admin-admin888,admin123,admin8888,!@#$%%,!@#,!@#sa!@#,123456,or=or,"or"="or",went,new,windows.pwd,pwassword,admin_pwd.root等等,这里面包括ftp的,1433sqlserver的,3306的,window主机的,网站的。
第三步,将敏感信息尽量的隐藏起来,或者加密起来,不要直接将ftp进行明文密码储存。也不要将网站密码明文储存,一般请经过md5加密。
第四步,定时扫描网站的木马,发现有木马的时候及时的删除。更改默认的端口,如远程3389,sql1433,mysql3306,共享135、139、145,远程21,等比较常见的端口进行更改。
第五步,将重要数据库的字段信息尽量的不要使用大众化的,比如 用户字段user 管理字段admin,密码字段pwd等等这样的大众字段。
第六步,及时修复网站的漏洞和主机的漏洞。
做到上面的几点,基本上安全系数会大大提高。
77
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
