设备管理系统维护经验：如何预防黑客攻击WEB

申请免费试用、咨询电话：400-8352-114

下面我们为大家分解黑客入侵者的渗透WEB网站的主流手段。

假设目标站点http://192.168.40.21/是一个大型综合类网站，会员数目众多。

1.锁定目标、搜集信息

黑客入侵一个目标站点的时候，首先要看该站点是否存在利益价值。目前黑客入侵者的商业攻击主要针对在线购物网站、社交网站、网络游戏、大型论坛、慈善机构、电子政务、金融证券网站等网站。这些网站可以窃取会员用户信息进行社工欺骗，比如利用获取的身份信息对用户亲属进行电话诈骗、利用大部分人习惯用同一个帐号密码的习惯去尝试登录其他网站，并且这些会员信息可以多次出售专卖；黑客入侵者还可以通过入侵政府网站挂“黑链”，因为政府网站在搜索引擎中占据的权重较高，攻击者可以通过此方法使自己指定的网站插入到政府网站页面中，从而提供其在搜索引擎中的排名靠前并盈利。

黑链是SEO手法中相当普遍的一种手段，笼统地说，它就是指一些人用非正常的手段获取的其它网站的反向链接，最常见的黑链就是通过各种网站程序漏洞获取搜索引擎权重或者PR较高的网站的WEBSHELL，进而在被黑网站上链接自己的网站，其性质与明链一致，都是属于为高效率提升排名，而使用的作弊手法。

在确定目标后，黑客入侵者就会搜集该目标站点的相关信息，一次入侵的成功与前期的信息收集关系很大。搜集信息可以让入侵起到事半功倍的效果，只经过一些简单的操作就可以得到一些服务器的Webshell，甚至于系统管理权限,搜集信息一般分为三种：

①工具扫描：黑客入侵者会使用各种扫描工具对入侵目标进行大规模扫描，得到系统信息和运行的服务信息，如对方所使用的操作系统、开放了哪些端口、存在哪些漏洞。典型的扫描工具有：

Nmap扫描目标网站端口开放信息

②社会工程攻击：利用各种查询手段得到与被入侵目标相关的一些信息，通常通过这种方式得到的信息，会被社会工程学这种入侵手法用到，而且社会工程学入侵手法也是最难察觉和防范的。

社会工程学（Social Engineering）：通常是利用大众的疏于防范的诡计，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏感的信息，例如：用户名单、用户密码及网络结构，即使很警惕很小心的人，一样也有可能被高明的社会工程学手段损害利益，可以说是防不胜防。网络安全是一个整体，对于某个目标在久攻不下的情况下，黑客会把矛头指向目标的系统管理员，因为人在这个整体中往往是最不安全的因素，黑客通过搜索引擎对系统管理员的一些个人信息进行搜索，比如电子邮件地址、MSN、QQ等关键词，分析出这些系统管理员的个人爱好，常去的网站、论坛，甚至个人的真实信息。然后利用掌握的信息与系统管理员拉关系套近乎，骗取对方的信任，使其一步步落入黑客设计好的圈套，最终造成系统被入侵。这也就是我们常说的“没有绝对的安全，只有相对的安全，只有时刻保持警惕，才能换来网络的安宁”。

③公开域信息：主要通过Google Hacking和Whios等手段获取信息。

Google Hacking：指利用Google Google搜索引擎搜索信息来进行入侵的技术和行为，不少入侵者利用Google强大的搜索功能来搜索某些关键词，找到有系统漏洞和Web漏洞的服务器，打造成自己的肉鸡。

敏感的信息包括：

目标站点的信息

已丢失信息的追回

存储密码的文件

后台管理和上传文件的 Web 页

数据库

特定扩展名的文件

特定的Web程序，如论坛

Whios：Whois协议，是一种信息服务，通过向服务器的TCP端口43建立一个连接后，对输入的关键词进行查询，能够提供有关所有DNS域和负责各个域的系统管理员数据，其中记录着每个互连网站点的详细信息，其中包括域名、服务器地址、联络人、电话号码和地址。我们可以以Web方式查询，比如到http://whois.www.net.cn/或者http://whois.webhosting.info查询，假设我们要查询www.baidu.com的域名信息，我们到http://whois.www.net.cn/查询的结果如图：

通过上面的介绍我们对黑客攻击前的踩点和信息搜集有了认识，目前我们已经得知目标站点http://192.168.40.21/主要开放了HTTP 80端口，远程登录RDP 3389端口；服务器采用的WINDOWS系统，中间件使用的Apache Tomcat，网站脚本语言用的JSP。

2、深入攻击阶段

利用SQL注入“拖库”

在深入攻击的过程中，首先攻击者需要找到一个动态链接的URL看是否存在SQL注入漏洞，例如现在找到一个http://192.168.40.21/news.jsp?id=127,通过简单的注入尝试语句发现该URL确实存在SQL注入漏洞，攻击者一般为了节省时间都会使用工具来促进效率。

通过工具攻击者获取到了服务器的环境变量，数据库结构，并且获取了该网站的所有用户数据，共7580条用户数据信息，这个获取用户数据的过程就是我们常说的“拖库”。

拖库：拖库一词多用于数据库程序员专业人士使用，语意：从数据库导出数据。很多时候数据库的资料需要导出来在别的地方使用，并且数据库资料可以导出好几种格式，例如：TXT，XLS等格式。黑客攻击者拖库最简单的形式就是找SQL注入点直接写工具拖。

拖库的危害：根据资料显示部分网民习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码，一旦数据库被泄漏，所有的用户资料被公布于众，任何人都可以拿着密码去各个网站去尝试登录，对一些敏感的金融行业是致命的危害，对普通用户可能造成财产，个人隐私的损失或泄漏。

“拖库”完成后如果还想扩大攻击范围，我们可以继续尝试其他攻击手段，获取WEBshell。

WEBshell：“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

【推荐阅读】

◆设备管理系统运维管理专区

◆管理人员如何过网络拓扑图实现查询

◆中小型数据安全和管理安全应对之策

◆企业设备管理系统运维管理软件趋势

◆设备管理软件软件专区