I、前言
經過這幾年網絡泡沫的洗禮,各大網站也慢慢地成長起來了。人們也漸漸地懂得了一個道理,天下沒有免費的午餐,所以,網絡上免費的東西越來越少。收費郵箱、收費空間、收費域名等等各種各樣的服務也都明碼標價,甚至看個電影,下載個軟件,也變成了付費會員才可以享受的權利。雖然很多人都非常地不適應,但是趨勢是不可阻擋的,網絡也漸漸的規范起來。
不過,因為收費網站裡面總有著吸引人的東西,所以有人不想接受這個現實(比如我,呵呵),總想通過其他不正常的手段,比如利用網站或者管理員配置上的漏洞來獲取無法免費得到的服務。
II、一次入侵實例
前段時間,工作的原因,需要得到一些資料,Google了半天,總算找到一個提供下載的網站。可是,我郁悶地發現,資料被放在會員區,想下載,先交錢。唉,找了一上午了,總不能空手而歸吧,於是,決定試試,能不能搞到個密碼,得到我所需要的資料。
先做了前期踩點工作,從80的banner看來是windows2000的機器,用的是IIS5,其他的一點信息都沒有,猜測應該是有防火牆或者路由器,禁止了從外面發起的連接,所以,除了80端口,其他的什麼也得不到。沒辦法,只能從網頁上下手了。
重新浏覽了一下web頁面,會員區需要輸入口令才可以進入,還提供了一個論壇來交流。進論壇轉了一圈,是動網的論壇,在線會員還挺多的。呵呵,看來,得從論壇下手了。等待無辜的人們上當了,阿門。
首先在貼圖區發了篇帖子,粘上了5張美女的照片,然後,用upload語句來做點手腳,
呵呵,看出來了吧,我要用會話劫持HASH了。然後,開嗅探器,准備抓HASH吧。哈哈,果然有上當的,還有不少色色的朋友在後面跟貼,卻不知道他的系統口令已經到我手上了,嘿嘿。導入LC4,跑出來幾個簡單的口令。不過,這些口令跟會員區的登陸口令並不相同,還要繼續做工作,唉。
突然,我想到他們的郵箱,會不會郵箱跟系統口令是一樣的。從論壇的資料中得到了他們的郵箱,一個個測試。果然,哈哈,運氣來了擋都擋不住,一個人的新浪的郵箱成功得到了。現在又有進步了,可是還沒有得到我想要的。繼續在網站上逛逛,看看還有什麼可利用的。慢慢地,我把眼睛放在了會員區忘記密碼這個連接上,呵呵,可以用我控制的郵箱來取回密碼啊,哈哈,我怎麼那麼聰明,.^_^. 剩下的就不用說了,成功取得會員區密碼,然後清楚痕跡,獲得我想要的資料。
前面的過程也勉強算是一次成功的滲透入侵吧。首先利用動網論壇允許貼圖的方法,獲取會員的系統口令,利用郵箱口令跟系統口令相同的運氣,成功利用取回密碼的功能,得到會員資格。
III、當前遇到的威脅
想想自己也幫朋友管理過收費網站,自己也曾通過入侵獲得過免費的服務。下面就用我的一點經驗來談談當前收費網站遇到的威脅。
首先從入侵者角度:
1、層出不窮的系統漏洞給了入侵者無數的機會,特別是有足夠能力發現新漏洞的黑客,完全有機會利用未知漏洞入侵成功。
舉個例子,前段時間才公布的webdav溢出漏洞,就是這樣的情況。webdav是IIS的一個組件,默認安裝的情況下有溢出的漏洞。微軟在2003年3月份公布這個漏洞,漏洞級別被定為嚴重級。而據我所知,早在去年的下半年,國內的黑客已經寫出了溢出利用程序,對IIS5通殺,可以獲得system權限的shell。不要說國內了,就是美國的大量WEB服務器都統統存在這個漏洞。而微軟也是因為美國軍方的一個服務器被入侵,才發現這個漏洞,緊急給出補丁的。所以,這個威脅是非常大的,特別是對收費網站,我曾親眼看到朋友用這個漏洞進入一台主頁空間提供商的機器,獲取超級用戶權限,替換掉了目標主頁。這個事情在CSDN上面的網絡安全版混過的朋友都應該有印象。這個時候,漏洞才公開兩天。不過,話說回來,利用未知漏洞入侵的威脅雖然最大,但是因為這樣的高手少之又少,並且高手也不屑於做這個,等大家都知道了漏洞利用方法,微軟也早就推出補丁了。
威脅一:未知漏洞入侵 威脅程度:極高 發生幾率:極低
2、越來越多的*瓜型黑客工具的出現,讓入門的門檻越來越低,也是收費網站最常見的威脅。
流光、X-scan等掃描工具的出現,雖然說是中國黑客水平的體現,但是也大大地降低了入門的門檻。沒有任何網絡知識的人,只要拿到這種工具隨便掃掃,就能自稱為黑客。近來突然發現一個跟*瓜型的工具,好象叫windows自動攻擊機,掃到有漏洞機器後,什麼都不用你做,就可以自動完成提升權限,添加用戶的功能,我faint。網站管理員看到那掃描器留下的成堆成堆的日志記錄,真是哭笑不得。
而溢出工具也只需要你填上ip地址,就可以等著system的shell了,比如printer溢出、ida溢出、webdav溢出,溢出程序都有高人做好了,只要拿來主義就可以了。
工具帶來的威脅對網站是切切實實存在的,網站管理員每天碰到最多的就是這種,不過,由於入侵者利用的都是已經公布很久的漏洞,或者是網管非常大意的失誤,所以只要做好基本的防范,打好補丁,就可以輕松防止入侵。
威脅二:*瓜型工具 威脅程度:低 發生幾率:高
3、入侵者入侵不成的報復攻擊,比如拒絕服務攻擊,等等。
有些攻擊者入侵不成,反出現報復心理,或者是同行,因為競爭關系,導致拒絕服務攻擊。這種攻擊也非常常見,是最令網站管理員頭疼的。網站無法提供正常服務,造成很大損失,並且還非常難找出入侵者。
威脅三:拒絕服務攻擊 威脅程度:中 發生幾率:中
現在從網站管理員角度:
作為一個網站管理員,當然希望自己保護的網站能夠正常運轉,但不時出現的入侵者總是威脅著自己。
1、付費用戶密碼的威脅。
付費用戶在享受服務之前,管理員會分配給他一個密碼,這個密碼就是入侵者最想得到的,所以,密碼的強度是首先要考慮的。有的為了方便用戶,還開放了修改密碼的功能,雖然這有利於用戶,但是也給入侵者以可趁之機。如果付費用戶的保密意識差,設定一個簡單密碼,而被入侵者輕易得到的話。入侵者就會享受到收費用戶才有的服務。
威脅四:用戶密碼管理 威脅程度:中 發生幾率:中
2、用戶身份驗證的威脅。
這一點剛寫文章時我並沒有想到,是跟小叮當朋友聊天的時候得到的提示。如果管理員用windows集成驗證來驗證收費用戶身份的話,那系統中就會出現不斷添加的用戶,這些即時生成的新加賬號產生了不小的威脅。因為用戶本身就是系統用戶,所以入侵者一旦有了一個用戶的密碼,就會想方設法提高權限,直到取得管理員權限。
威脅五:用戶身份驗證 威脅程度:高 發生幾率:中
3、管理員的安全意識
其實前面的所有威脅都比不上管理員安全意識的威脅大。一個出色的管理員,能夠杜絕未知攻擊的發生,能夠及時發現存在的漏洞,能夠對服務器出現的任何異常做出合理的判斷。而一個安全意識薄弱的管理員,根本不會注意可能出現的入侵,甚至都被入侵成功後還無動於衷。
威脅六:管理員安全意識 威脅程度:極高 發生幾率:低
IV、尾聲
因為收費網站提供的服務是需要付出代價的,並且非常吸引人,所以,才會有那麼多人想打這些網站的主意。希望本文能夠給朋友們一點幫助,保護好自己的網站,給真正的付費會員提供更好的服務。