《铸造门户网站安全盾牌》由会员分享,可在线阅读,更多相关《铸造门户网站安全盾牌(32页珍藏版)》请在金锄头文库上搜索。
1、1 铸造门户网站安全盾牌 李程联系方式 15305519056 2011年7月 2 本次交流目的 问题1 怎样判断目前系统是否有漏洞问题2 建设运营门户网站不是目的 了解门户网站安全工作怎么做的是目的问题3 做好哪些方面的安全 就可以睡个安稳觉问题4 系统确定被黑了 那么漏洞到底在哪里问题5 真的被黑了 我们接下来的该做些什么如何攻击门户网站不是本次交流内容本次交流理论不多 实操比重大 3 目录 门户网站安全建设原则是什么 以下几页是洗脑的 完全无技术可言 听起来象废话 但绝对不是废话 4 门户网站安全原则 安全技术工作 必须防患未然互联网 是个无法无天的暴力社会 安全方面是很残酷的 锻炼强壮
2、点是必须的每天的安全工作不是多余 如果没做 后悔就迟了一定要记得到没有被黑就是成功了 而不是黑了后补救才是成功 因为做安全维护的人真的会忘记年底总结应该这么写 连续安全记录突破XX天所谓 生于忧患死于安乐 没有说错 好日子过长了 都会有惰性看日志 学习新攻击方法 如果从事这个职业 这是每天必修课 5 门户网站安全原则 10000件安全工作 做了9999件 仍无安全可言互联网站 特别门户网站 暴露在公共下环境下 攻击者无处不在攻击者绝非善男信女 他们以突破系统防线为乐 失败则索然无味 别指望他们只是友好的给你做做压力测试 然后提醒这里有漏洞你加上硬件防火墙 IP访问规则 也将软件版本升到最高 但
3、是也许忘记了某个代码写的有问题 也许在生产库中遗留了一些测试代码 这些都可能成为蚁穴如果知道存在某个漏洞 但是估计没人会发现 等几天在补上 这样的心态早晚是要被报复的 千里之堤溃于蚁穴 6 门户网站安全原则 系统有漏洞不可怕 可怕的是被其他人先发现这个行当的水很深 说自己系统是钢铁长城绝对是妄言任何系统都是有漏洞的 也许没被人发现 也许随着技术的提升被发现每天巡检 专人负责就是要提前发现 或者别人攻击后你能发现门户网站绝对不是一个系统维护人员在操作 是很多人在改配置 在传代码 漏洞不断在生产着虽然制定了规范 做了要求 但是不一定都这么规范执行你需要对上线的代码做数据库注入测试 对系统做巡检等等
4、以上目的就是先发现漏洞并弥补 别把这个机会留给对手 7 门户网站安全原则 任何异常情况都不要放过 成熟的黑客会掩盖入侵痕迹黑客掩盖入侵痕迹 一方面防止被发现 另外防止被作为司法证据 这是成熟黑客的习惯你也许是高手 但是扁平的互联网上有的是高高手 他们在觊觎着你的系统看到入侵痕迹是幸运的 有很多系统被黑多年都不知道 受过良好教育的黑客一般不会留入侵痕迹细心 可以很大程度上弥补技术的不足 怀疑一切你认为不正常的现象怀疑某个文件修改时间 怀疑某次登录记录 怀疑某个日志文件大小不正常 怀疑文件有被阅读的记录 Cat dev null var lastlog Rm rf you log Kill 9so
5、mepid Crontab e Iptables Lipport Vi etc rc d rc local 入侵后会做的操作 入侵 8 门户网站安全原则 多看看黑客网站 看别人最近研究什么大规模杀伤性武器培养阅读习惯 学习别人的攻击日志自己动手 下载黑客网上软件 建议拿个空白机器 外网试 中毒 崩溃 后门 这些是必然的不要实操 真的会出问题的看看被黑网站统计表 看自己网站在不在其中拿自己域名在搜索引擎搜索下 看有没人商量如何攻击你看别人的攻击方案 对照自己有没漏洞别嘲笑别人 成长是个过程 谦虚使人进步 9 门户网站安全原则 真的被黑了怎么办 不要误判 冷静 冷静 查找明显痕迹 判断是否真的被黑
6、了如果被黑了 汇报是第一条 领导就是会看得远判断系统是否能继续提供服务 是否要关闭服务 数据还在不在了 数据是否要从备份系统中恢复 能不关闭就别关闭服务 毕竟你维护的网站是个大的门户站点当然这取决于你是否能很快找到别入是如何入侵进来的 能否杜绝 能否清除后门实在搞不定 还是报案吧 当然 咱不指望这真的能解决 10 目录 我们需要了解最常见的攻击方法 明白现象 知道如何防御 知道攻击原理 11 拒绝服务攻击攻击者让目标机器用尽自身资源 磁盘空间 内存 进程 网络带宽 从而停止对外服务 达到攻击的目的 是目前非常流行的攻击方式之一这个问题软件解决不了 原因是由网络协议本身的安全缺陷造成的常见 SY
7、NFlood IP欺骗DOS攻击 UDP洪水攻击 Ping洪流攻击SYNFlood攻击是在TCP协议中被称为三次握手 Three wayHandshake 的过程中实现的TCP连接的三次握手中 用户向服务器发送了SYN报文后突然死机或掉线 服务器无法收到客户端的ACK报文的 第三次握手无法完成 这种情况下服务器端一般会重试并等待一段时间后丢弃这个未完成的连接 这段时间 SYNTimeout 系统默认大约为30秒 2分钟DDos是一个黑客控制多台机器 对目标机器发动同时攻击 网络攻击 拒绝服务攻击 12 解决办法硬件防火墙是终极解决办法 几乎每个防火墙都能解决Dos攻击 我很欣慰软件的Dos防火
8、墙 似乎不管用 有聊胜无吧 冰盾 傲盾 天盾 优化服务器 这个对一般攻击真的有效 但是对方是DDOS攻击就没办法了如何优化服务器 SYNTimeout系统默认大约为30秒 2分钟 改为5秒 echo5 proc sys net ipv4 tcp fin timeoutecho2 proc sys net ipv4 tcp synack retries决定内核在放弃连接之前所送出的SYN ACK数目关于tcp的设置项目非常多 这里仅列出两条 网络攻击 拒绝服务攻击 13 拒绝服务攻击服务器连不上网 IP频繁被抢占 用户访问网站 发现该网站带有病毒代码 仔细检查该页面 并不包含病毒代码在局域网中
9、通过ARP协议来完成IP地址转换为MAC地址的 即通过它来完成IP和服务器的一一对应关系ARP协议的基础就是信任局域网内所有的服务器 局域网内某台机器中arp病毒 它就会伪造网内其他服务器的网卡mac地址 向网关报送 从而使网关误认为该非法服务器就是网内其他服务器解决办法针对局域网内arp病毒的干扰 解决的办法较简单 即清空arp缓存 双向网关绑定网卡清空arp缓存的命令 arp d 绑定网卡命令 arp sARP S内网网关网关的MAC地址例如 arp s192 168 1 100 00 5E 00 01 35 制作一个bat文件或shell脚本 让系统启动时就执行 网络攻击 ARP攻击 1
10、4 内网嗅探嗅探 sniffer 是一种威胁性极大的被动攻击方法 应用在局域网中网络上所有的机器都可以 听 到通过的流量 但对不属于自己的数据包则不予响应如果某个工作站的网络接口处于混杂模式 那么它就可以捕获网络上所有的数据包和帧你的机器和别人的混杂一起放在电信IDC机房里如果使用一些通明协议传输数据 那些正在嗅探的机器将获得所有的传输数据 并获得传输的内容解决办法划分VLAN关键信息加密通讯 比如说不要用telnet 换ssh 网络攻击 内网嗅探 15 木马很多的木马采用了hook技术Hook中文译为 挂钩 或 钩子 实际上是一个处理消息的程序段 通过系统调用 把它挂入系统每当特定的消息发出
11、 在没有到达目的窗口前 钩子程序就先捕获该消息这时钩子函数即可以加工处理 改变 该消息 也可以不作处理而继续传递该消息 还可以强制结束消息的传递制作一个小木马 用于获得用户在输入特定页面的帐号密码 该程序流程如下 随系统启动 用户页面 判断页面title 如是指定的title 截取用户键盘输入数据 记录日志 发往黑客指定mail解决办法重点数据传输用密文 如银行网银用的插件服务器不要当作 用是不中木马的重要保证 攻击操作系统 木马 16 弱密码如数据库弱口令攻击 ftp弱口令攻击 网页弱口令攻击 操作系统弱口令攻击弱口令攻击需要配合密码字典针对攻击对象不同 有不同的工具软件可以使用即使是弱口令
12、攻击 也需要很长时间和多台电脑的配合 才可以完成破解所谓弱口令一般有这样一些特征 首先位数少 其次是只使用同一类字符 比如同是数字或者同是字母 再次 AscII码次序递增 如abc 或者是常用单词 总之 弱口令就是指密码字典最容易匹配出的字符串解决办法很多服务限制尝试次数 或者尝试指定数量后 服务停止较长时间不响应 这些给弱口令的破解带来很大难题平台软件 管理密码弱 易于被破解常换密码是个不错的选择 要有个纸质笔记本记录下 千万别弄电子档的 攻击操作系统 弱密码暴力破解 17 文件上传漏洞大多数网站都有文件上传的功能 相册 网络硬盘 文件共享如果对上传文件没有做类型判断 那么就存在极大的安全隐
13、患攻击途径 上传本服务器支持的木马脚本 然后通过web执行过木马脚本程序 可以遍历目录 下载服务器上文件 修改或删除服务器上其他脚本程序 对服务器安全造成极大的威胁还可以上传二进制木马 并通过web访问方式让该木马运行解决办法上传文件的程序务必多校验 攻击应用程序平台 文件上传漏洞 18 数据库注入攻击者通过如某些表单提交或者修改URL的参数 使得网站应用程序执行错误的sql命令 从而获取想得到的密码或其它服务器上的资料总体思路 发现sql注入位置 判断后台数据库类型 确定CMDSHELL可执行情况 发现WEB虚拟目录 上传木马 得到管理员权限或者更改管理员密码等解决办法Sql语句规范多检查w
14、eb访问日志用黑客软件自己扫描常用的是hwis扫描存在注入点 用wsi来实施注入的Usage hwsi存在注入点的 显示成红色 攻击应用程序平台 数据库注入 19 跨站攻击夸站攻击实质 伪装成被黑的网页程序一部分 javascript 达到欺骗浏览者目的跨站攻击是指入侵者在远程Web页面的HTML代码中插入具有恶意目的的数据 使得用户认为该页面是可信赖的 但是当浏览器下载该页面 嵌入其中的脚本将被解释执行跨站攻击可能在真实网站上插入一段文字 也可能是偷取浏览者cookie信息的脚本 原理 更有甚者是植入一段利用IE漏洞的网页木马代码 这种方法实现起来简单容易解决办法程序多检查找工具自己检测 如
15、xssshell 攻击应用程序平台 跨站攻击 20 远程表单提交这个实际上不算攻击 但是有很多用处的规避页面javascript的规则限制 论坛刷版 投票刷票等如用户登录时候 是不允许用户输入空用户名或者密码的 一般我们通过javascript做控制但是如果攻击者将该页面另存到本地 把涂黑部分删除 从本地打开页面 再提交 就可以提交空用户名或者帐号了解决办法程序多检查找工具自己检测 如xssshell 攻击应用程序平台 远程表单提交 21 目录 举例几个黑客工具我们只是拿来测试自己的系统 不是用来测试别人的下面有些也许算不上黑客工具 22 基础查看端口 键入 netstat an 就可以看到连
16、接的端口号及状态关闭端口 windows可以在任务管理器里关 linux要用service命令关业内现在流行绿盟的扫描产品x scan采用多线程方式对指定IP地址段 或单机 进行安全漏洞检测 支持插件功能远程操作系统类型及版本 标准端口状态及端口信息 CGI漏洞 IIS漏洞 弱口令已知漏洞 它给出了相应的漏洞描述 利用程序及解决方案Nampnmap是linux下系统自带的功能Namp对方IP 常用的黑客软件 端口扫描工具 23 拒绝服务攻击单机效果不佳 必须组织肉机集体工作常用软件 XDOS HGOD SYNKILLER CC GZDOS PKDOS JDOS KKDOS SUPERDDOS FATBOY SYNKFWHGOD一款短小精悍 功能强大的Dos工具软件 向指定服务器 指定多端口发起攻击 该软件网上可下载 用法也很简单 直接进入控制台 开始 运行 cmd 执行hgod 会提示很多参数HGod exe192 168 1 280 l 2 s 192 168 0 1 n 255 t 30对192 168 1 2攻击80端口 s 设置攻击时的源IP地址 默认为不用设置 程序自动产生随
