1、你的网站是怎么被黑的,知道创宇 余弦,关于我,网名:余弦知道创宇安全研究团队负责人SCANV产品经理Web前端黑客技术揭秘作者一名非纯粹的白帽子黑客新浪:余弦,这是一个很广的话题,被黑动机,满足虚荣心的玩笑名利驱动:以“正义”之名传播名气SEO:植入SEO信息,提升搜索引擎排名挂马:植入网马,传播恶意软件拖库/脱裤:盗走数据库里的用户隐私数据跳板:黑下内网更多主机僵尸:将被黑网站变为僵尸节点后门:潜伏着,随时做些邪恶的事.,手段:维度一,针对性攻击,APT(Advanced Persistent Threat -高级持续性威胁)工控病毒,如:毒蛆/火焰(间谍性病毒)&震网(破坏性病毒)结合破坏
2、伊朗核设施,撒网式攻击,利用黑客工具进行撒网要么主动攻击要么留陷阱,等猎物如:大规模挂马、钓鱼.,撒网式攻击/大规模钓鱼,微信公众账号“网站安全中心”:黑产科普最近大规模的QQ空间钓鱼攻击,手段:维度二,个人或组织行为,如:维基解密的阿桑奇&匿名组织Anonymous,公司行为,恶意竞争,如:DDoS搞瘫业务、入侵邮箱获取情报.,国家行为,马赛克,手段:维度三,DNS劫持同网段ARP主机端口入侵旁站入侵第三方内容社会工程学Web漏洞.,:(,DNS劫持,如:2010/1/12百度被黑,DNS劫持/管理后台,社工等手法拿下域名管理后台域名管理后台修改A记录、NS记录等,DNS劫持/投毒,针对DN
3、S缓存机制的攻击对应的正确IP是:101.1.1.101投毒后缓存里的记录变为:对应202.2.2.202202.2.2.202是攻击者准备好的假网站所在的服务器IP2008年黑帽大会上Dan Kaminsky提出更危险的DNS投毒威胁劫持域名变得更容易理想情况下最大66536次攻击可成功,同网段ARP,机房某机器中ARP病毒导致同一个网段的网页响应数据到网关时,被篡改比如HTML页面最后都添加一段网页木马脚本篡改后的网页最终响应到了用户浏览器上看到了网站被黑的“假象”,主机端口入侵,常见端口:21 FTP22 SSH1433 MSSQL数据库3306 MySQL数据库3309 远程桌面.nm
4、ap端口扫描神器,主机端口入侵,端口对应服务21/22/1433/3306/3389等对应的服务需要认证访问可以用弱口令可以暴力猜测口令可以用缓冲区溢出绕过结合撒网式攻击,可以搞下NNN多台服务器权限,旁站入侵,如:虚拟主机你的网站很安全,可是虚拟主机上的其他网站不安全其他网站被黑绕过虚拟主机的权限控制黑了你的网站,第三方内容,网站嵌入第三方广告或统计脚本等第三方挂马,同样导致该网站也挂马如果第三方被黑,同样可以导致该网站出现被黑假象top.location=http:/;document.write(hacked by xxx);,第三方内容,如:2009年1月,Disucz!与phpwin
5、d大规模被黑事件这两个官网DNS被劫持使用这些论坛程序的网站,站长每次登录管理后台都会分别加载一段来自官网的js脚本DNS被劫持后,js脚本被替换,会导致网站首页被重写:document.write(Hacked by ring04h, just for fun!);,社会工程学,欺骗的艺术比如:登录管理员后台猜常规后台路径:/admin猜管理员密码为管理员的生日(生日通过其他途径得到).欺骗主机域名服务商忘记管理账户密码提供了相关证明,找回了管理账户密码,Web漏洞,SQL注入XSS跨站脚本CSRF跨站请求伪造认证授权逻辑缺陷文件上传命令执行任意文件泄露.,Web,Q&A,更多内幕,请收听微信公众账号“网站安全中心”,每周爆点料也可以关注我的微博和我交流:余弦,
