前言
每天,数以千计的网站被黑客入侵。发生这种情况时,被入侵网站可用于从网络钓鱼页面到SEO垃圾邮件或者其它内容。如果您拥有一个小型网站,很容易相信黑客不会对它感兴趣。不幸的是,通常情况并非如此。
黑客入侵网站的动机与所使用的技术一样多种多样。因此,几乎任何网站都可以成为目标。如果您想知道为什么有人可能想要入侵您的网站,这里有10个潜在原因。
网站被入侵的原因
1、付款信息
如果您使用您的网站来销售任何东西,那么它显然是黑客的目标。付款详细信息可能会被窃取并被黑客直接使用或出售给其他人。
有多种黑客技术允许在输入网站时窃取付款详细信息。这意味着即使您不亲自存储付款信息,您的网站仍可能被定位于此目的。
2、可用信息
网站经常从访问者那里收集个人信息。例如,如果您有一个电子邮件列表,您可能会以这种方式收集信息。或者,如果您使用您的网站开展业务,您可能会存储有关您的员工或即将推出的产品的详细信息。
这些东西中的任何一个都可以证明对黑客很有价值。如果它们不能在黑市(或暗网)上出售,那么也许它们可以卖给你,即他们可以向你要钱以换取他们的安全回报。
值得注意的是,如果网站上的违规行为对其他人产生负面影响,网站所有者通常要承担责任。
3、钓鱼页面
网络钓鱼页面是旨在窃取机密信息的网页。网络钓鱼页面被设计成看起来像合法的网页。例如,您可能会发现一个看起来与银行网站相同的网站。这个想法是,当用户尝试登录他们的银行时,他们的登录详细信息会被盗。
搜索引擎显然不喜欢钓鱼页面,并且经常会在用户访问之前尝试警告用户。但是,如果搜索引擎已经信任您的网站,那么它可能会被黑客入侵并用于规避这一点。网络钓鱼页面也是非法的,使用被黑网站托管它们可以让黑客保持匿名。
4、SEO垃圾友链
如果拥有网站,您可能已经了解SEO的重要性。许多SEO技术都涉及创建反向链接。当从站点A到站点B创建反向链接时,它本质上是说站点A推荐站点B。
许多网站每天都为了这个目的而遭到黑客攻击。黑客可以控制您的站点并手动构建反向链接,或者他们可以安装程序来为他完成这项工作。
如果您的网站享有良好声誉,您可能会惊讶地发现它在这方面的价值。每次您的网站被用于此目的时,它自己的搜索引擎声誉都可能受到损害。
5、垃圾邮件
垃圾邮件令人讨厌,但它们也可能有利可图。如果网站为此目的而遭到黑客攻击,则可以使用域名来避开垃圾邮件文件夹。它还允许黑客在不被他们自己的电子邮件提供商关闭的情况下发送大量邮件。
这种攻击最糟糕的是垃圾邮件的收件人可能会认为您是发件人。而多数垃圾邮件中可能会包含一些包含木马病毒的附件或文档,一旦您不小心打开,就可能会造成您的帐户或者密码泄露以及电脑文件被加密等情况。
6、恶意软件
恶意软件很容易设计,许多网络犯罪分子甚至不制作恶意软件,他们直接购买。从恶意软件中赚钱的难点在于找到一种方法将其安装在其他人的计算机上。
被黑网站可能是实现此目的的理想选择。如果搜索引擎信任你的网站,它可以用来在没有警告的情况下向人们提供恶意软件。如果人们信任您的网站,那么他们甚至可能会同意下载一个奇怪的文件。
7、免费广告
如果您的网站获得足够的流量,它可能会被黑客入侵以用于广告目的。一种选择是修改网站,使其开始展示黑客所属产品的广告。
另一种选择是简单地完全重定向流量。可以添加重定向,以便当有人登陆您的网站时,他们会立即被发送到黑客的网站。
8、练习入侵
黑客是一种技能,就像任何其他技能一样,它需要练习。在安全的环境中学习黑客攻击是可能的。许多在线服务就是为此目的而创建的。但大多数黑客都是从在真实网站上练习开始的。
如果您经营一个小型网站,因此黑客可能会在他们转向更有利可图的事情之前将其用于练习。
9、展示能力
很多引人注目的网络攻击都是出于其他原因而进行的,肇事者想知道他们是否有能力将其成功占有。换句话说,黑客可能会瞄准您的网站,看看他们是否可以用自己的实力而破解防御。
吹牛是另一个流行的动机。黑客可能只是想向他们的朋友展示他们控制着您的网站。
10、带你离线
网站经常被黑客入侵以使其离线。这样做可以是报复。也许你说了一些黑客不喜欢的话,或者它可以为盈利而做。
如果您的网站赚钱而又无法访问时,您会希望它得到修复。如果黑客知道这一点,他们可以控制您的网站并要求付款以换取回报。
网站被攻击的常见形式
1.网站网页中出现大量的黑链
一般用户看网站的网页没有什么不正常的,但是在网站的源代码中,底部有很多锚文本链接,这些链接往往是隐藏的,字体大小为0或者极端的位置。被攻击的目的是一些黑客非法植入链接,增加一些低权重网站的权重和流量,以获取利益,而被攻击方的网站往往会受到降低权利的惩罚。
2.网站根目录中出现大量植入的网页
如果网站没有及时维护,会发现网站收录突然剧增,收录的内容都是非自有网站,大部分都是非法广告页面,如赌博、色情、游戏插件等。通过查看服务器网站的数据,会发现大量的嵌入式静态页面。被攻击的网站普遍存在,尤其是一些高流量的网站更是受到黑客的青睐。
3.网站网页被挂马
当我们打开网页时,浏览器或计算机安全管理软件会提示我们。诸如本网站的风险和本网站的暂停等报告是由于网页和根目录文件中嵌入了js。当我们打开网页时,会触发js命令,自动执行包含木马的脚本或php文件,从而窃取用户的私有数据。
4.网站服务器运行缓慢,被植入蠕虫等病毒
有时候会发现网站运行更新或在服务器操作异常缓慢,而查看服务器的进程管理时候会发现,有在运行占高CPU、高内存的进程。这时候查杀木马,往往会查出蠕虫等病毒。其目的在于占据网站资源,或服务器自身被攻击入侵,作为一种“肉鸡”用来攻击其他人的平台。
5.网站域名DNS劫持
打开自己的网站,却发现内容却不是自己的网站内容,检查服务器或者网站程序均正常,这种情况下ping网站ip已经不是自己服务器ip,往往是存在域名DNS劫持。其目的在于恶意的攻击或广告利益。
6.网站和服务器密码被篡改
有时发现网站和服务器的密码不正确,被篡改。是因为黑客暴力破解了易受攻击的网站和服务器,篡改了密码。其目的是炫耀黑客的技术能力,进行恶意非法的黑客技术操作。
7.网站数据库被植入新内容
网站数据中嵌入了一些新添加的内容,这些内容和其他网站数据似乎都是正常的。然而,当你看时间和日期时,你会发现内容往往是集中的,而不是编辑添加的内容。这类网站往往是可以办理证书的网站,如职业资格证书、毕业证书等。黑客为一些非法客户在正规官网植入虚假专业信息,从中获取高额利润。
8.网站被攻击打不开会打开极为缓慢
经常无法打开网页或远程连接服务器。这种情况往往是由于企业之间竞争激烈。非法竞争对手雇佣网络黑客,恶意攻击自己的网站程序和服务器,导致网站或服务器无法正常运行,如大量DDoS攻击、CC攻击、直接破坏或删除网站数据等。
9.网站网页打开自动跳转到其它网站页面
这种形式常常被称之为非法桥页,在网页中植入的强制转的js,或入侵服务器,在iis中做了301重定向跳转,其目的在于黑客进行一些非法广告性或网站权重转移而从中获益。
常见网站安全攻击方式
1.跨站脚本(XSS)
Precise Security近期的一项研究表明,跨站脚本攻击大约占据了所有攻击的40%,是最为常见的一类网络攻击。但尽管最为常见,大部分跨站脚本攻击却不是特别高端,多为业余网络罪犯使用别人编写的脚本发起的。
跨站脚本针对的是网站的用户,而不是Web应用本身。恶意黑客在有漏洞的网站里注入一段代码,然后网站访客执行这段代码。此类代码可以入侵用户账户,激活木马程序,或者修改网站内容,诱骗用户给出私人信息。
2.注入攻击
开放Web应用安全项目(OWASP)新出炉的十大应用安全风险研究中,注入漏洞被列为网站最高风险因素。SQL注入方法是网络罪犯最常用的注入手法。
注入攻击方法直接针对网站和服务器的数据库。执行时,攻击者注入一段能够揭示隐藏数据和用户输入的代码,获得数据修改权限,全面俘获应用。
3.模糊测试
开发人员使用模糊测试来查找软件、操作系统或网络中的编程错误和安全漏洞。然而,攻击者可以使用同样的技术来寻找你网站或服务器上的漏洞。
采用模糊测试方法,攻击者首先向应用输入大量随机数据(模糊)让应用崩溃。下一步就是用模糊测试工具发现应用的弱点。如果目标应用中存在漏洞,攻击者即可展开进一步漏洞利用。
4.零日攻击
零日攻击是模糊攻击的扩展,但不要求识别漏洞本身。此类攻击最近的案例是谷歌发现的,他们在Windows和Chrome软件中发现了潜在的零日攻击。
在两种情况下,恶意黑客能够从零日攻击中获利。第一种情况是,如果能够获得关于即将到来的安全更新的信息,攻击者就可以在更新上线前分析出漏洞的位置。第二种情况是,网络罪犯获取补丁信息,然后攻击尚未更新系统的用户。这两种情况下,系统安全都会遭到破坏,至于后续影响程度,就取决于黑客的技术了。
5.路径(目录)遍历
路径遍历攻击不像上述几种攻击方法那么常见,但仍然是任何Web应用的一大威胁。
路径遍历攻击针对Web root文件夹,访问目标文件夹外部的未授权文件或目录。攻击者试图将移动模式注入服务器目录,以便向上爬升。成功的路径遍历攻击能够获得网站访问权,染指配置文件、数据库和同一实体服务器上的其他网站和文件。
6.分布式拒绝服务(DDoS)
DDoS攻击本身不能使恶意黑客突破安全措施,但会令网站暂时或永久掉线。卡巴斯基实验室《2017年IT安全风险调查》指出,单次DDoS攻击可令小企业平均损失12.3万美元,大型企业的损失水平在230万美元左右。
DDoS旨在用请求洪水压垮目标Web服务器,让其他访客无法访问网站。僵尸网络通常能够利用之前感染的计算机从全球各地协同发送大量请求。而且,DDoS攻击常与其他攻击方法搭配使用;攻击者利用DDoS攻击吸引安全系统火力,从而暗中利用漏洞入侵系统。
7.中间人攻击
中间人攻击常见于用户与服务器间传输数据不加密的网站。作为用户,只要看看网站的URL是不是以HTTPS开头就能发现这一潜在风险了,因为HTTPS中的“S”指的就是数据是加密的,缺了“S”就是未加密。
攻击者利用中间人类型的攻击收集信息,通常是敏感信息。数据在双方之间传输时可能遭到恶意黑客拦截,如果数据未加密,攻击者就能轻易读取个人信息、登录信息或其他敏感信息。
8.暴力破解攻击
暴力破解攻击是获取Web应用登录信息相当直接的一种方式。但同时也是非常容易缓解的攻击方式之一,尤其是从用户侧加以缓解最为方便。
暴力破解攻击中,攻击者试图猜解用户名和密码对,以便登录用户账户。当然,即使采用多台计算机,除非密码相当简单且明显,否则破解过程可能需耗费几年时间。
9.使用未知代码或第三方代码
尽管不是对网站的直接攻击,使用由第三方创建的未经验证代码,也可能导致严重的安全漏洞。
代码或应用的原始创建者可能会在代码中隐藏恶意字符串,或者无意中留下后门。一旦将“受感染”的代码引入网站,那你就会面临恶意字符串执行或后门遭利用的风险。其后果可以从单纯的数据传输直到网站管理权限陷落。
10.网络钓鱼
网络钓鱼是另一种没有直接针对网站的攻击方法,但我们不能将它排除在名单之外,因为网络钓鱼也会破坏你系统的完整性。根据FBI《互联网犯罪报告》的说法,其原因在于网络钓鱼是最常见的社会工程网络犯罪。
网络钓鱼攻击用到的标准工具就是电子邮件。攻击者通常会伪装成其他人,诱骗受害者给出敏感信息或执行银行转账。此类攻击可以是古怪的419骗局(属于预付费欺诈类骗局),或者涉及假冒电子邮件地址、貌似真实的网站和极具说服力用语的高端攻击。后者以鱼叉式网络钓鱼之名广为人知。
以上情况告知我们攻击需要消灭在萌芽之前,所以攻击没有到来之前我们就需要做好防护准备,这边给出以下建议
解决方案:
流量过滤:
网站可以使用防火墙或入侵检测系统(IDS)来监测和过滤恶意流量。这些系统可以根据流量的来源、目标端口和其他标准来识别和阻止DDoS攻击。
负载均衡:
使用负载均衡器可以将流量分散到多个服务器上,从而分摊攻击的影响。这样可以确保即使某个服务器受到攻击,其他服务器仍能正常运行。
SCDN(安全防护内容分发网络):
SCDN是一种分布式网络,它将网站的内容缓存到多个高防节点上,并根据用户的位置和需求将内容交付给用户。通过使用SCDN,网站业务正常运营,异常流量将被节点承载以及拦截,用户数据正常交互
以及有效防御SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。
采用强制静态缓存锁定和更新机制,对网站特定页面进行保护,即使源站相关网页被篡改,依然能够返回给用户缓存页面。
对response报文进行处理,对响应内容和响应进行识别和过滤,根据需要设置数据防泄漏规则,保护网站数据安全。
可以设置源IP或者特点接口访问速率,对超过速率的访问进行排队处理,减缓服务器压力。
对Slow Headers攻击,通过检测请求头超时时间、最大包数量阈值进行防护。
对Slow Post攻击,通过检测请求小包数量阈值进行防护。
限制连接数:
网站可以设置最大连接数限制,以防止单个IP地址或用户同时建立过多的连接。这可以防止攻击者使用大量连接来消耗服务器资源。
DDoS防护服务:
德迅云安全公司提供专门的DDoS防护服务。T级别数据中心,具备完善的机房设施,核心骨干网络有效保证高品质的网络环境和丰富的带宽资源。搭载赠送:自主化管理平台、德迅卫士(主机安全防火墙)、WEB云防护(一站式网站安全加速)、多V1专家技术支撑
杭州,温州,台州地区提供运营商层次阻断海外防护效果,本质上解决海外大流量对于用户业务的影响
实时监测和响应:
网站管理员应该定期监测流量和服务器性能,以及实时检测和响应任何异常流量。这可以帮助他们及时发现并应对DDoS攻击。
