记得那天晚上大概11点,准备去与周公约会之前。听到手机屏幕发出阵阵“催命”的响声,预感不秒,不知哪个客户的服务器估计中招了。
睡前极其不愿意接到这种电话,接起来的那一刻就意味着晚上估计得熬夜,头上稀疏的毛发,又要跟我闹意见了,它的价值可以用别墅来对标。但是为了我最敬爱的客户朋友,还是为了事业牺牲我的毛发把,大不了光头戴帽子,继续我的代码人生。
电话那头传来一阵炒豆子般急促的妙语并伴随着各种问候黑客的“文明用语”。由于我们地处闽南,常常可以听到各种树的名字。大概听了10分钟,整个事情的来龙去脉,跟现有资产的影响情况清楚了,明细如下:
由于旁站的一个数字型sql注入,引发了库被拖走了,由于他是外贸网站,里面都是重要的客户邮箱数据,损失还是蛮大的。它的系统代码使用的是开源某CMS,主要出问题的点是插件漏洞。赶紧先给他补上过滤,堵上这个sql注入漏洞,这时候后台密码也是非常危险的,虽然这个CMS 后台的管理员密码不是单纯的md5加密,也不是 md5+hash加密。它使用phpass的加密方式,它还是有概率被暴力撞出密码来的。懂的基本都懂这个是什么cms了,知名cms加上这种加密方式的大概率就是某W。紧接着去检查了服务器账户暂时未多开新账户,Webshell 给他扫了一圈,有发现一处,完了站点webshell权限被拿走了,现在不好办了,还得继续给他查找注入点.....
经常2小时的奋战,注入点终于找到了。普通会员中心有一处代码注入漏洞,赶紧补上,否则又要变成跑马场了,从漏洞发现,到发生群体性被入侵,速度是极快的,利用上fofa这类搜索引擎 加上exp 批量拿下很多站也非难事。看下时间已经凌晨3点多了,权限又再检查了一遍,发现没太大问题,洗洗就去睡了,待明日清醒时,再战这白与黑的世界。哎呀,我金贵的头发......
文章主要介绍方法论思路,具体的入侵跟防护手段就不在文章中体现,这类技术性文章,我相信只要你知道这些手段,互联网上到处都是这些内容,在此不再赘述。
技术的成长在于交流与实践,如果是志同道合之人,欢迎互相学习、进步。
如果您是网站站长,你遇到类似的问题,或者想要做一次服务器站点安全检查,您也可以与我讨论方案,加强安全性设置与代码审计工作。
您认为我是服务器安全运维人员吗, 其实我是一个程序员, 您认为我是一个程序员, 其实我是一个对安全领域感兴趣的白帽子。