現在,很多網絡用戶在不知不覺中,就成為黑客手中的一只“肉雞”。出現這種情況很多時候都是因為,網絡用戶訪問的網站含有木馬病毒等惡意文件。同時,現在很多網站都使用網上可以下載的網站系統。這也造成了黑客只要下載一個相應的網絡系統,就可能輕易入侵一個采用默認設置的網站。
最常見的漏洞
制作過網站的朋友都知道,網站系統既可以自己進行編寫,也可以下載現成的網絡系統使;用。雖然各個網絡系統的作用有所差異,但是它們的工作原理卻是十分相似,管理員的賬號密碼都保存在網站系統的數據庫文件中。
由於網站系統的開發人員為了能讓系統正常運行,在開發的時候都默認設置了一些系統相關的信息,比如管理員的賬號密碼、網站系統的數據庫位置、系統後台的位置等等。
可是很多網站在正常運作的後,並沒有按照說明文件中的內容進行相關內容的更改,於是黑客就可以通過默認位置查找數據庫的位置,然後利用數據庫中的信息,成功進入系統後台對網站系統進行控制操作。
暴庫獲取控制權
先從網上下載一套網站系統的源代碼,在這裡我們就用動易網站系統的源代碼,以確定數據庫文件的默認位置。通過系統搜索MDB格式的文件,找到後基本就可以確定是數據庫文件,由此可以得到動易系統數據庫的地址為“Database\PowerEasy2006.mdb”。
打開挖掘機程序(下載地址:http://www.3800hk.com/Soft/smgj/17472.html),在“URL後綴”標簽中點擊“添加後綴”按鈕,將動易系統的數據庫後綴添加進去。tw.wINGWiT.CoM
點擊“開始”按鈕即可自動在網絡中進行搜索。大約幾分鐘後,程序就可以搜索到大量含有這個後綴的網址。任意在“檢測結果”列表中選擇一個網址後,進行雙擊就可以進行網站數據庫文件的下載(圖1)。
利用輔臣數據庫浏覽器(下載地址:http://www.cnxhacker.com/Soft/other/database/200608/533.html),打開下載到的MDB文件數據庫。在數據庫列表中找到“PE_Admin”這一項,這裡就是該數據庫文件存放管理員密碼的地方,從中記錄下“AdminName”和“Password”項目中的內容(圖2)。其中的“Password”項目是經過MD5編碼加密的,需要到專門的MD5碼破解網站進行破解。
小知識:什麼是MD5編碼
MD5是一種不可逆散列算法,被廣泛用於加密和解密技術上,任何一段字符都有唯一的散列編碼,是目前常用的數字保密中間技術。
破解了管理員密碼和賬號後,同樣可利用動易系統默認的設置找到系統後台,然後利用管理員的賬號和密碼成功登錄系統後台。在“系統設置”中選擇“自定義頁面管理”項目,接著點擊“添加自定義頁面”,根據網頁系統的提示進行相應的設置,將ASP木馬的源代碼粘貼到“網頁內容”裡面即可(圖3)。
設置完成後點擊“添加”按鈕提交ASP木馬,點擊“自定義頁面管理首頁”選項,找到網頁木馬名稱後點擊“生成本頁”按鈕激活ASP木馬。
最後通過浏覽器地址欄直接訪問設置的木馬地址,成功得到遠程服務器系統的權限,這樣以後就可以控制遠程服務器,進行掛馬等任意的操作。
防范方法
網站管理員要想保護好自己的網站不被黑客入侵,需要從網站的多個方面入手進行防范。首先我們要確保網站系統沒有已知的安全漏洞,有的話應該及早安裝好安全補丁防止入侵。除此以外,我們還需要進行進一步的安全設置。
1.更改系統的默認設置
如果管理員從網站下載的是現成的網站系統的話,下載完成後應該按照說明修改重要信息的路徑,尤其是默認的管理員密碼、數據庫的路徑、後台管理頁面等信息。
2.加強賬號密碼的安全強度
從最近出現的一系列網站系統漏洞我們可以看出,黑客在入侵後的第一步往往想得到的是管理員的賬號密碼。
而管理員的賬號密碼常常是經過MD5編碼加密過的,因此黑客只有破解了賬號密碼後才能最後成功的入侵。因此管理員要加強自己的密碼安全強度,可以利用現在網絡中的MD5編碼破解網站來驗證密碼的安全性。
From:http://tw.wingwit.com/Article/Network/201309/424.html