不要轻易下载非官方的软件和程序
因为木马、病毒、后门可能隐藏其中
下面跟随小编模拟当一次“黑客”
也不要进行各种网络攻击的行为!
接下来,正式开始:
第一步,打开搜索引擎,搜索grement.php,然后点进第一个搜索结果,如图1(2013年的老程序,现在已不再使用):
图1 搜索结果
网站对此文件的说明是“一个协议或条款文件”,而实际上它是一个后门程序,如图2
图2 网站说明
第二步,下载grement.php的压缩包,另外准备Apache+PHP5.3的网站环境,将压缩包上传至网站运行目录并解压(鉴于大家习惯不同,就不再对网站环境准备和上传过程进行介绍)。
第三步,访问这个网站地址,地址后面加/grement.php,例如127.0.0.1/grement.php,会弹出password密码输入框,输入admin并登录,即可进入这个后门的界面,如图3:
图3 后门界面
那么,通过这个后门,我们可以进行哪些“黑客”行为呢?
1.网页篡改。点击编辑,直接可以修改对应的网站文件。
2.数据库盗取。基于对文件的编辑权限,找到连接数据库的配置文件后就能获取数据库连接信息,再点击MySQL backup,就可以把网站的数据库整体打包下载,如图4:
图4 盗取数据库
3.程序盗取、删除。通过“下载”,可以把整体数据全部进行下载。
4.数据库篡改。通过执行SQL语句,可以对数据库的内容进行一些修改,比如把账户余额调高等,如图5:
图5:数据库篡改
5.服务器权限获取。如果服务器安全措施没做好,那么通过执行WebShell,可以获取整个的服务器权限,获取更多数据。
通过1个文件,即可完成上述如此多高危行为。因此,请千万不要轻易下载非官方程序!
那对于企业来说,不从网上下载程序,就百分百安全了吗?当然不是,虽然可能不会遇到这样一个“五毒俱全”的后门,但还是有可能因为一些“BUG”或者错误,导致程序存在漏洞,进而威胁企业业务和数据安全。
那如何应对和解决呢?
首先,要做好业务上线前的安全检测,通过“漏洞扫描”,提前发现漏洞,防患于未然,做到“不带病上线”;
第二,对于网站类业务,做好运行时的防御,通过“Web应用防火墙”、“网页防篡改”,进行持续保护,做到双重安全;
第三,做好事后审计准备,通过“数据库审计”、“日志审计”,即使遇到未知攻击,也可以通过审计,进行溯源,减少或追回损失。
对于事前、事中、事后审计不同阶段的需求,都可以使用中国电信安全能力池的等保助手来解决。等保助手提供十余种安全原子能力,既可以面向等保场景,为客户提供安全咨询、定级备案、安全整改、等保测评等一站式服务,也可以通过随心选,根据场景任意组合,形成不同的解决方案,全方位提升安全防护能力。
原文始发于微信公众号(中国电信安全):实战!一次超简单的网站后门利用体验
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论