變被動為主動:IT運維如何反擊黑客
2011年末爆發的網站泄密事件給所有搞IT運維管理的同學上了一堂最生動的實踐課,2012年信息安全也必將受到企業的關注。作為企業的IT運維管理人員,除了打報告向企業申請更新安全設備,還可以做哪些工作來體現IT運維人員的價值呢?
以往IT運維管理往往是利用部署在企業IT系統之上的防火墻、入侵檢測、防病毒等等設備來被動的防御,面對肆無忌憚的黑客入侵,作為IT運維管理人員,我們是否能主動出擊呢?其實想要對付入侵企業網站的黑客IT運維人員可以做的有很多,比如可以在頁面中加入特定的后門程序,就會讓很多入侵者無功而返。
數據庫插馬
默認數據庫下載漏洞,是許多黑客喜歡利用的一種技術。管理人員可以特意為網站留下這個“漏洞”,讓黑客下載指定的數據庫,殊不知他們也就慢慢走入了陷阱。
1、數據庫下載漏洞利用原理
默認數據庫下載、上傳、后臺密碼繞過等漏洞雖然很初級,但卻有不少惡意攻擊者通過此點攻入網站。一旦僥幸成功后,其后果不言而喻。于是網站管理人員可以修改網站真正的數據庫的名稱,改變其路徑來實現保護目的,并且將偽裝插入木馬的數據庫不做更改刪除,等待入侵者下載中招。
2、數據庫插入木馬
首先,準備一個遠程控制工具(比如,遠程控制任我行),進行簡單的配置生成服務端。然后運行“office系列掛馬工具全套”工具包中的“MdbExp.All.v1.04.exe”,指定要運行的木馬程序,設置木馬保存路徑,點擊“確定”,就把這個服務端程序偽裝成MDB格式的數據庫文件。(特別提示:服務端不能超過50KB。)
3、設置陷阱
以動網DVBBS論壇為例,網站管理人員修改原有數據庫的名稱并改變其路徑。將插入遠控服務端的數據庫改名為“dvbb7.mdb”,放置在動網的數據庫默認目錄下。攻擊者嘗試利用數據庫下載漏洞進行網站攻擊時,就會下載偽裝的插入遠控服務端的數據庫文件,當其雙擊打開“數據庫”時,被嵌入其中的遠控服務端自動運行,入侵者的電腦也就被網站管理人員控制了。
管理后臺掛馬
攻擊者通常非法登錄網站的管理頁面,然后上傳木馬,進一步滲透、提權,甚至控制服務器。對于這樣的入侵,網站的管理人員除了要加固服務器的設置之外,也可以在管理后臺中設置陷阱,請君入甕。
1、攻擊原理
惡意攻擊者在非法獲得了網站的管理員用戶名和密碼后,就會進入網站的管理頁面嘗試進入后臺。對于這樣的惡性行為,網站的管理人員可以通過在登錄頁面文件中加入代碼,運行指定的程序,而懲罰攻擊者。
2、制作網頁木馬后臺陷阱
第一步:運行MS-07004網馬,生成一個木馬客戶端,將該程序上傳至網站的某個目錄,得到一個URL地址。
第二步:運行“小金豬MS-07004網馬V3.0”工具,在“網馬配置”中輸入網馬的URL地址,選擇木馬的類型為“MS06014+MS07004”,然后點擊“生成普通版網馬”按鈕,生成一個名為“mm.js”的網頁木馬文件。
第三步:將mm.js文件放到網站論壇后臺頁面的同一文件夾下,并在后臺登錄頁面“login.asp”文件中插入代碼“”。這樣當有攻擊者企圖非法進入后臺,如果他的系統沒有打最新的補丁包就會木馬。
3、嚴懲攻擊者
通過上述的安全措施,網站管理人員可以遠程控制惡意攻擊者。想要嚴懲他們,可以在網頁中插入一些病毒程序,讓入侵者入侵不成反受懲罰,具體的做法,就不贅述了。
總結:
維護企業信息安全,IT運維人員不再是事后救火員,現在有很多的辦法可以去嘗試,去利用......作為IT運維經驗分享,希望大家都能將平時工作中好的經驗分享出來,讓大家互相學習和交流。
【編輯推薦】
