2020请警惕您的网站被黑客攻击

 一 网络络安全现状

2019年4月13日，据外媒报道，一个黑客组织通过黑进数个联邦调查局（FBI）的附属网站，获取了成千上万条联邦特工和执法人员的个人信息，并计划出售。林勇曾经带领团队和美国的黑客团队进行过直面的较量，最终，他将中国国旗挂到了美国的相关网站上。

诸多的网站被黑案件都在提醒着大家关注网站和互联网安全问题。

1、网站安全现状

对于企业来说，网站安全问题十分重要。数据和信息泄露问题层出不穷，我们能从网上看到诸多的相关报道。数据一旦被盗或者丢失，这会给企业带来程度不等的财产损失，因为数据也是企业的无形资产。

第一就是空间的选择。我们都知道，一个网站的安全问题，多半来自于网络的攻击，这些攻击，一般都是针对服务器的不稳定性和网站空间的漏洞来入手的，所以建站前要先选择足够安全稳定的空间服务器,同时配备合适的WAF来进行安全防护，第二，网站的程序。网站的编写语言一定要选用安全的语言。解决这种安全问题的方法主要有三种，一是对动态生成的页面的字符进行编码；二是过滤和限制所有输入的数据；第三是对所输入的数据进行编码。

第三网站的数据库。大家都知道网站的信息资料都存到数据库里面在，所以这个很主要，网站的用户信息一定要加密。要时常进行系统维护，为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面。要时常备份数据库等重要文件。一旦发现系统被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。对于一些老化、运行不畅的软硬件设施，要及时更新换代，保证服务器等设备运转正常。

第四，注意网站的后台数据安全问题。包括网站的后台登录地址，登录账号和密码，已经在网站后台发布的数据，本地硬件设施即使再好，也难免会遇到突发问题，这就需要加强灾备中心的标准化建设，要定期的进行数据备份。

2、关注网站开源程序

目前的网站可分为三大块：个人运营、团队/公司运营、政府运营。

个人网站比例还是很大的，这种网站多数采用开源系统。

如博客类：Wordpress、Emlog、Z-blog...

社区类：Discuz、PHPwind、StartBBS等等。

团队/公司网站使用常用的开源CMS比例其实也是蛮大的，政府类网站基本上外包开发较多。

为什么网站系统分开源与闭源？

开源的意思就是，网站程序的所有源代码整体公布在互联网上，全世界任何人都可以下载、研究并且使用这个程序。安全性可想而知了。

那么，网站程序的漏洞（不足之处）很快就会被一些“大神”发现，而一些黑客为了证明自己的实力或者纯粹只是想搞破坏的话，都会开始对大家的网站进行一次次“试探”和攻击。

使用公司自主开发的系统相对来说安全性能较高，但是也不可掉以轻心。

二 黑客如何攻击和黑进网站

1、DDoS攻击

翻译中文为“分布式拒绝服务”，主要通过大量僵尸网络“肉鸡”模拟合法用户请求占用大量网络资源，以达到瘫痪服务器和网络的目的。而用来发起攻击的僵尸网络“肉鸡”主要就是我们常用的电脑，随着物联网设备的不断发展，现在“肉鸡”的主要来源逐渐从传统PC转向物联网设备。

2、植入病毒

黑客除了主动去入侵外，还有一些黑客通过在一些网站、软件等下载包中设下陷阱——植入木马病毒，等着用户主动去点击。普通用户在访问这些危险网站、下载不明来源的软件或文件时可能就会被植入病毒，进而被不法黑客控制，电脑最终沦为“肉鸡”。

当你的电脑成为“肉鸡”后，黑客一般会进行“潜伏”，平常用户在使用过程中也感觉不到电脑有什么异常，当黑客需要发起攻击时，就会调用“肉鸡”资源去进行攻击，你的电脑就被沦为不法黑客的“帮凶”，而且电脑成为“肉鸡后，”你的个人信息也可能被盗取，甚至是被勒索病毒伏击。

3、黑进网站和服务器的常规步骤

1.渗透测试前的简单信息收集。

2.sqlmap的使用

3.nmap的使用

4.nc反弹提权

5.linux系统的权限提升

6.backtrack 5中渗透测试工具nikto和w3af的使用等此处马氪软件不做过度讲解，毕竟宣传黑客攻防知识并非是本意，我们只是想提醒大家关注网站安全。

【网站被黑的情况】

1、网站首页被篡改，可能出现主页可能被修改为某个不规则网站或源代码的根会添加大量黑色、黄色的外链码；

2、或者在网站首页添加单一URL或标签，隐藏其链接，让人们不经意发现；

3、或通过SQL注入原理入侵，利用漏洞导致单引号注入，从而在用户登录到认证密码时收集用户数据和密码等。

4、或通过木马程序或病毒实现远程文件上传、下载、文件修改等操作。

三 攻防

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。

（1）网站根目录的robots.txt或sitemap.xml等文件泄露了后台登录地址一些网站系统为了实现SEO部分功能，由于经验不足，造成自动生成的文件泄露网站的目录结构。

赶紧检查一下自己的网站后台登录地址有没有被暴露吧！如果不幸中招，建议你立即修改后台登录地址，以确保网站安全。

（2）防止后台登录地址过于简单

例如很多网站的后台一般是：网址/admin/这样的管理后台不用猜也知道，非常容易暴露，黑客完全可以通过暴力破解用户名和密码的方式攻进您的网站。

所以出于安全考虑，请一定要在网站上线时，及时修改后台登录地址目录或文件，亦可采用伪装登录地址方式。

（3）信息收集+漏洞扫描

获取域名的whois信息,获取注册者邮箱姓名电话等。

查询服务器旁站以及子域名站点，因为主站一般比较难，所以先看看旁站有没有通用性的cms或者其他漏洞。

查看服务器操作系统版本，web中间件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞查看IP，进行IP地址端口扫描，对响应的端口进行漏洞探测，比如 rsync,心脏出血，mysql,ftp,ssh弱口令等。

扫描网站目录结构，看看是否可以遍历目录，或者敏感文件泄漏，比如php探针google hack 进一步探测网站的信息，后台，敏感文件备注：根据安全团队多年的渗透测试实战经验得出：安全团队再进行渗透测试的时候，收集完相关的信息后，通过自动化的漏扫工具，进行进一步的问题发掘，然后通过扫描出来的漏洞以及自身的实战项目经验再进行深层次的漏洞挖掘，这也是为什么渗透测试比漏扫工具发现问题的深度和攻击面会更广。

开始检测漏洞，如XSS,XSRF,sql注入，代码执行，命令执行，越权访问，目录读取，任意文件读取，下载，文件包含， 远程命令执行，弱口令，上传，编辑器漏洞，暴力破解等。

四 网站为什么要做渗透测试

在PCI DSS（Payment Card Industry Security Standards Council支付卡行业安全标准委员会）第 11.3中有这样的要求：至少每年或者在基础架构或应用程序有任何重大升级或修改后（例如操作系统升级、环境中添加子网络或环境中添加网络服务器）都需要执行内部和外部基于应用层和网络层的渗透测试。

freemind思维导图的部分内容：

企业需要尽可能多地进行渗透测试，以保持安全风险在可控制的范围内。

网站开发过程中，会发生很多难以控制、难以发现的隐形安全问题，当这些大量的瑕疵暴露于外部网络环境中的时候，就产生了信息安全威胁。

这个问题，企业可以通过定期的渗透测试进行有效防范，早发现、早解决。经过专业渗透人员测试加固后的系统会变得更加稳定、安全，测试后的报告可以帮助管理人员进行更好的项目决策，同时证明增加安全预算的必要性，并将安全问题传达到高级管理层。

【相关法规】

2017年6月1日正式实施的网络安全法中明确要求：第三十三条，至第三十八条针对关键信息基础设施运营者所做的规定（如关键信息基础设施运营商应当自行或委托网络安全服务机构对其网络安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门），具有相当的强制性——在法律责任部分明确提到若不履行这些规定，则由有关主管部门责令整改、给予警告；

拒不改正或导致危害网络安全等后果的，处十万元以上一百万元以下罚款，而且还对直接负责的主管人员除以一万元以上、十万元以下罚款。

声明：除非注明，本站内容由无锡网站建设马氪软件原创发布©，转载请联系我们授权合作。