您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

网站安全防护,禁止一切黑客入侵

时间:2020-02-25 13:06:55  来源:  作者:

我们生活在互联网时代,重视个人信息及网站数据安全尤为重要,但又有多少互联网从业者真正做到了保护数据及隐私的安全呢。开通网站安全版块为站长们分享网站安全与黑客入侵网站的相关案例,目的提醒站长们注重自己的网站帐号数据和资料安全,尽可能的把网站被黑的风险降到最低。

网站安全防护,禁止一切黑客入侵

 

一,胜率

初恋结婚的概率为1%,所谓天长地久,不过是一厢情愿。

初次创业的成功率在5%左右,所谓雄心壮志,只是廉价炮灰。

赌场的胜率只需多占1%,那些聪明智慧运气爆发的赌客,终究只能是输家。

勇气、拼搏、努力、挑战自己、大无畏精神… 这些溢美之词,终将成为凡人的噩梦,任他天赋异禀,才华绝伦,也免不了一世悲剧。

想要成为最终的赢家,其实也简单。

永远站在胜率较高的一方!绝不孤注一掷!挑软柿子捏!

积跬步必至千里,积小流终成江海,携大道之力,可破万物。

世界上什么东西也替代不了持之以恒,才华不能够,因为不成功的才子到处都是;天赋也不能够,因为这个世界上到处是受过良好教育的乞丐。惟有正确的方法和持之以恒才是万能的。

万法相通,哥哥已经多年没接触黑客技术,但入侵网站的效率反而更胜从前。

二,批量入侵网站

无论多么严密的系统和安全措施,终究是人在操控,人才是漏洞的根源。

无需任何技术,小学以上文化水平,智力不低于人类平均水平,就能实施黑客攻击。

* 弱口令批量入侵

网站安全防护,禁止一切黑客入侵

 

做网站时,先要将网站源码上传到服务器。

FTP就是上传源码到服务器的软件,因此只要获得网站的FTP密码,这个网站的所有数据就唾手可得。

总会有一些网站的密码非常简单,如上图某网站的密码是123456;

通过搜索引擎采集大量网址,然后用软件自动扫描,成千上万个网站中,总会有那么几个网站的密码很简单。

根据哥哥的测试,此方法有0.03%的成功率,1万个网站中有3个是弱密码。

黑产可以倒卖这些网站的数据获利,也可以用这些网站发广告赚钱,尤其是博彩行业最喜欢这么干,收获颇丰。

* 漏洞批量入侵法

哥哥随手搞了下,轻松拿下几百个网站的权限,这其中包括大型集团、商城、政府、银行…

“struts 2”是个网站应用框架程序员在struts2框架的基础上能方便快捷的开发出各种网站。但这个框架在2014年~2018年期间,出现8个漏洞,无数大型网站沦陷,堪称黑产圈的狂欢节。

虽然是老漏洞了,但必定还有很多网站比较幸运,没有被入侵,就拿这些幸运儿开刀吧。

使用“struts 2”框架做的网站,网址通常会包含一个单词“action”。

用百度高级指令搜索,inurl:action,意思是搜索所有网址中包含字母“action”的网站。

为了提高效率,哥哥用软件批量在百度采集网址,如下图

网站安全防护,禁止一切黑客入侵

 

将采集的网址导入“struts 2漏洞软件”,软件能自动批量检测。

网站安全防护,禁止一切黑客入侵

 

1%以上的网站存在漏洞,银行、学校、物流系统…无一幸免。

下图是某学校网站的测试结果,可以随意查看网站的任何信息,包括服务器的配置、安装了哪些软件、管理员用户名等信息,从图片能看出,这是个windows系统,管理员的用户名是:administrator 。

网站安全防护,禁止一切黑客入侵

 

为了更方便的看到网站的数据,百度搜索“jsp木马”,随便找一段代码上传到这个网站。

网站安全防护,禁止一切黑客入侵

 

打开木马,就能管理服务器的所有内容,Windows2012系统,硬盘里有几百G的资料…

网站安全防护,禁止一切黑客入侵

 

为了避免被请喝茶,就不深入了,漏洞已经告知这家学校了。

网站安全防护,禁止一切黑客入侵

 

诈骗人员会专门购买学生资料,然后打电话行骗,当年的徐玉玉案就是如此,都是学校保护资料不力,疏于管理导致的。

接下来,哥哥继续演示利用商城系统的漏洞,批量入侵。

网站安全防护,禁止一切黑客入侵

 

ecshop在国内非常主流,大部分商城网站都是用这套系统做的。

ecshop漏洞和刚才的struts 2漏洞的操作方法一样,先用软件采集全网各大商城的网址,然后用软件批量检测。

网站安全防护,禁止一切黑客入侵

 

0.5%的概率能成功,软件会自动生成一个“coon.php”的木马文件,密码是sb,用下图的软件就能连接。

网站安全防护,禁止一切黑客入侵

 

这个商城的所有源代码和数据,黑客可以随意删除或更改。

哥哥顺手打开商城网站的数据库文件,看到数据库用户名和密码。

网站安全防护,禁止一切黑客入侵

 

用软件“Navicat”连接这个数据库,找到保存用户信息的数据表… 可以获取商城的所有用户信息,包括邮箱、手机号、用户名…

网站安全防护,禁止一切黑客入侵

 

在检测的过程中,无意中进入某公司的服务器,这个服务器上居然有上百个网站…

瞬间几百个网站的数据就公开了…

网站安全防护,禁止一切黑客入侵

 

其他漏洞的操作方法同理,轻而易举就能入侵成千上万个网站。

三,黄雀在后

聪明的读者肯定会留意到上面的一句话“软件会自动生成一个“coon.php”的木马文件,密码是sb”

批量入侵留的木马地址和密码都是一样的…

所以!根本不需要我们上传木马,只需跟着大佬的脚步,批量扫描网站是否存在木马文件,并用大佬的密码连接。

网站安全防护,禁止一切黑客入侵

 

既然ECShop漏洞攻击软件,会生成一个coon.php的木马文件,密码是sb,那么我们只需批量采集商城网址,然后用软件扫描是否存在coon.php的文件,这样就能获取其他黑客搞过的网站。

这个思路极为逆天!

百度搜“被黑网站统计”,有许多小黑客在获得网站的权限后,会上传一个装逼的网页,并提交到黑客网站,满足虚荣心的同时还能给自己做宣传。

小黑客们入侵后,留的木马后门通常都一样,因此只需搞定某个黑客入侵的某个网站,一般就能获取他在所有网站留的木马后门。

哥哥用此法把某位大佬的所有木马都删了…

黑产的变现手法极多,出售用户数据、DDoS攻击、挂广告…这些只是入门级玩法。

针对业务型网站实施的攻击,堪称抢劫。

入侵点卡网站,用网站余额批量给自己的号充值,然后转手出售,一晚洗劫数十万。

入侵竞价网站,偷别人网站的客户。

四,大道至简

无极领域的文章标题,只要和网赚相关,标题带有日赚xxx元,阅读量通常比其他内容多一倍。

项目终会失效,漏洞总会过时,忙碌半世,终免不了一场悲剧。

在一秒钟内看到本质的人和花半辈子也看不清一件事本质的人,自然是不一样的命运。



Tags:网站安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
能否理解并利用SQL首注是区分一般攻击者和专业攻击者的一个标准。面对严密禁用详细错误消息的防御,大多数新手会转向下一目标。但攻破SQL盲注漏洞并非绝无可能,我们可借助很多...【详细内容】
2021-02-04  Tags: 网站安全  点击:(150)  评论:(0)  加入收藏
一般使用nginx的web网站,访问网站时,可以从请求头中看到使用了nginx以及nginx的版本号。暴露这些信息将给网站带来一定的风险,因此安装nginx时最好把这些信息隐藏。 隐藏nginx...【详细内容】
2020-10-16  Tags: 网站安全  点击:(93)  评论:(0)  加入收藏
HTTPS简介HTTPS(Hyper Text Transfer Protocol Over Secure Socket Layer)是以安全为目标的HTTP通道。简单来说,通过HTTP协议访问的网站,在登陆和数据传输过程中所有信息都是没...【详细内容】
2020-04-24  Tags: 网站安全  点击:(55)  评论:(0)  加入收藏
网站安全一直以来都是各大网站运营者们比较关注的难题,一个网站平台,要是没有一种安全防护的系统环境,做得再强,也没什么价值,如果遇到被黑客攻击,损失就会非常大。因此,学好如何...【详细内容】
2020-03-13  Tags: 网站安全  点击:(89)  评论:(0)  加入收藏
WordPress功能强大,插件较多,而且操作简单,所以非常适合搭建博客网站或者简单的购物网站。但是一旦我们将网站上线,网站将会面临各种各样的安全威胁,那么我们如何保证我们的WordP...【详细内容】
2020-03-08  Tags: 网站安全  点击:(108)  评论:(0)  加入收藏
我们生活在互联网时代,重视个人信息及网站数据安全尤为重要,但又有多少互联网从业者真正做到了保护数据及隐私的安全呢。开通网站安全版块为站长们分享网站安全与黑客入侵网站...【详细内容】
2020-02-25  Tags: 网站安全  点击:(115)  评论:(0)  加入收藏
在浩瀚的网络中安全问题是最普遍的需求,很多想要对网站进行渗透测试服务的,来想要保障网站的安全性防止被入侵被攻击等问题,在此我们整理了下在渗透安全测试中抓包分析以及...【详细内容】
2019-12-26  Tags: 网站安全  点击:(187)  评论:(0)  加入收藏
天气逐渐变凉,但渗透测试的热情温度感觉不到凉,因为有我们的存在公开分享渗透实战经验过程,才会让这个秋冬变得不再冷,近期有反映在各个环境下的目录解析漏洞的检测方法,那么...【详细内容】
2019-10-22  Tags: 网站安全  点击:(150)  评论:(0)  加入收藏
在对网站进行渗透测试的时候,发现很多网站都在使用squid反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们做渗透测试服务的同时,我们会先对客户的网站进行信息搜...【详细内容】
2019-09-03  Tags: 网站安全  点击:(152)  评论:(0)  加入收藏
目前越来越多的服务器被DDOS流量攻击,尤其近几年的DNS流量攻击呈现快速增长的趋势,DNS受众较广,存在漏洞,容易遭受到攻击者的利用,关于DNS流量攻击的详情,我们来大体的分析一下,通...【详细内容】
2019-07-31  Tags: 网站安全  点击:(207)  评论:(0)  加入收藏
▌简易百科推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  蚁安    Tags:WordPress   点击:(9)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Z2990Lig    Tags:SSH   点击:(32)  评论:(0)  加入收藏
1、除了服务器需要用的一些正规软件,其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。...【详细内容】
2021-11-01  IT小哥吧    Tags:服务器   点击:(37)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Kali与编程  今日头条  Tags:Windows主机   点击:(62)  评论:(0)  加入收藏
本文主要介绍以Microsoft的Windows Server 2019 ,版本:Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大,业务增多,信息安全建设是企业里一条只有重点没有终点...【详细内容】
2021-09-17  Vireshark    Tags:服务器安全   点击:(64)  评论:(0)  加入收藏
目录常见共享命令IPC$IPC$的利用条件1:开启了139、445端口2:目标主机开启了IPC$共享3:IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么?di...【详细内容】
2021-09-16  网络说安全    Tags:系统安全   点击:(86)  评论:(0)  加入收藏
昨天一个老哥找到我,说他的服务器这几天一直被CC攻击,问我这边有没有什么解决的方法? 近年来,网络攻击事件越来越频繁,最常见的就是CC攻击和DDOS攻击,主要的区别就是针对的对象不...【详细内容】
2021-09-10  小蚁GDRAGON    Tags:cc攻击   点击:(58)  评论:(0)  加入收藏
网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证。在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击。典型的如:使用自...【详细内容】
2021-08-30  修丹道的程序猿    Tags:登录方式   点击:(62)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  零日时代    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
001暴力破解1. 指定用户名爆破密码传统型爆破思路,用户名可以通过猜测或者信息收集获得。猜测:admin、网站域名等信息收集:新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】
2021-07-23  KaliMa  今日头条  Tags:登陆框   点击:(85)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条