遇到一个客户的服务器被黑客利用嗅探数据入侵并用来挟持,对方还公布了具体的入侵过程,现在正好以他为实例来说下此类问题的处理方案!以下是黑客发来的入侵过程文档。
------------------------------------------------------------
这里说下同机房是怎么拿到后台权限的? 前提是你们的IP我知道,123.120.218.153
就得看看这个IP段 123.120.218.1-123.120.218.254 的机器 网关是不是一个
这里的默认网关就相当于我们的电脑 网络连接- 本地连接- 支持 -看到的默认网关,我这里是192.168.1.1 服务器IP都是的网关也是
这下确定了我就得去入侵123.120.218.1-123.120.218.254这个段的服务器了 这里就不说了,过程看情况,我搞到了3台这个段的机器,发现都是同个网关123.120.218.1 就确定了你的机器也在其中
然后就利用工具cain4.9 还有hijack之类的ARP工具,扫描完同IP段你们的机器也获取了MAC 有3个IP
那时你们用的后台是 http://123.120.218.152: 我嗅探http数据post提交包当然选择端口,33终端端口也没改,就顺便嗅探了
凌晨开始嗅探的,差不多第二天起来看数据就出来了。其中就包括 http://liyongzhi001:519A335B666C ... /admin365/Login.asp。这里lizhongzhi001就是帐号 密码当然是519A335B666C384
还有扫了下网站的目录,发现居然还有http://123.120.218.152:/wwwroot.rar
拿后台权限没花多少时间,就33密码我等了几天 你们登录过才会嗅探
到。
------------------------------------------------------------
关于服务器的选择,我这里发现唯一,群英和数据中国的服务器都具有ARP硬件防护 你可以考虑这里的机器 或者下次你租服务器时我去检测下,不用你租的服务器,我自己去弄都行告诉我IP段
你们租的高防服务器也有防御,相对来说是最好的,毕竟价格在那里
------------------------------------------------------------
说说服务器密码:帐号最好别默认administrator 设置个别的名字,这个以防万一而已
密码别太常用了,我设置密码都是乱输入的。然后用一个远程桌面管理工具批量管理 工具名字Remote Desktop Organizer 你有兴趣可以看看
------------------------------------------------------------
个人习惯要注意,扫了下网站的目录还有这类的太弱了吧wwwroot.rar。
------------------------------------------------------------
这种情况的处理方案如下:
原理:
首先要做的就是物理隔离,如果一个嗅探者可以直接接触到设备或者线路,理论上他是完全可以截获双方通信的数据包的。【这里也可以让机房划分VLAN来为你的IP进行隔离】
物理层面的问题解决后就可以谈技术问题啦。其实嗅探说白了就是man-in-the-middle攻击。嗅探者把自己伪装成通信方或者网关,从而截获双方通信的数据包。
如果通信双方在一个冲突域中,防止嗅探的最好方法就是做mac地址绑定,这样无论嗅探者再咋搞都戏的。cisco有个技术叫arp-inspection可以做到防止
嗅探攻击。
------------------------------------------------------------
实际解决方案:
1、更换IP地址,通过CDN把原始IP地址彻底隐藏,具体可以选360网站卫士或安全宝提供的免费CDN服务即可,当然也可以选付费CDN,更稳定更安全;
2、增强服务器管理员的个人安全意识,不要在网站下乱放自己打好的包,不要把网站后台暴露和给网站后台弱口令;
3、增强服务器的整体安全性,上面装的软件越少越好,IIS内不用的解析全部删除,系统底层的安全做到位,网站后台和服务器远程桌面指定IP进入; 通过上面黑客说的入侵过程其实就是得到了你的IP后再入侵同网段内其他的服务器,然后通过他得到那台服务器当肉鸡嗅探出你服务器的关键数据包并利用他成功入侵到你的网站和桌面权限,你利用CDN把网站IP隐藏起来他就无法得到你的源IP地址,在网站和系统安全都到位的情况下他也就无法进一步入侵了!
