我們生活在網際網路時代,重視個人信息及網站數據安全尤為重要,但又有多少網際網路從業者真正做到了保護數據及隱私的安全呢。開通網站安全版塊為站長們分享網站安全與黑客入侵網站的相關案例,目的提醒站長們注重自己的網站帳號數據和資料安全,儘可能的把網站被黑的風險降到最低。
一,勝率
初戀結婚的機率為1%,所謂天長地久,不過是一廂情願。
初次創業的成功率在5%左右,所謂雄心壯志,只是廉價炮灰。
賭場的勝率只需多占1%,那些聰明智慧運氣爆發的賭客,終究只能是輸家。
勇氣、拼搏、努力、挑戰自己、大無畏精神… 這些溢美之詞,終將成為凡人的噩夢,任他天賦異稟,才華絕倫,也免不了一世悲劇。
想要成為最終的贏家,其實也簡單。
永遠站在勝率較高的一方!絕不孤注一擲!挑軟柿子捏!
積跬步必至千里,積小流終成江海,攜大道之力,可破萬物。
世界上什麼東西也替代不了持之以恆,才華不能夠,因為不成功的才子到處都是;天賦也不能夠,因為這個世界上到處是受過良好教育的乞丐。惟有正確的方法和持之以恆才是萬能的。
萬法相通,哥哥已經多年沒接觸黑客技術,但入侵網站的效率反而更勝從前。
二,批量入侵網站
無論多麼嚴密的系統和安全措施,終究是人在操控,人才是漏洞的根源。
無需任何技術,小學以上文化水平,智力不低於人類平均水平,就能實施黑客攻擊。
* 弱口令批量入侵
做網站時,先要將網站源碼上傳到伺服器。
FTP就是上傳源碼到伺服器的軟體,因此只要獲得網站的FTP密碼,這個網站的所有數據就唾手可得。
總會有一些網站的密碼非常簡單,如上圖某網站的密碼是123456;
通過搜尋引擎採集大量網址,然後用軟體自動掃描,成千上萬個網站中,總會有那麼幾個網站的密碼很簡單。
根據哥哥的測試,此方法有0.03%的成功率,1萬個網站中有3個是弱密碼。
黑產可以倒賣這些網站的數據獲利,也可以用這些網站發廣告賺錢,尤其是博彩行業最喜歡這麼干,收穫頗豐。
* 漏洞批量入侵法
哥哥隨手搞了下,輕鬆拿下幾百個網站的權限,這其中包括大型集團、商城、政府、銀行…
「struts 2」是個網站應用框架,程式設計師在struts2框架的基礎上能方便快捷的開發出各種網站。但這個框架在2014年~2018年期間,出現8個漏洞,無數大型網站淪陷,堪稱黑產圈的狂歡節。
雖然是老漏洞了,但必定還有很多網站比較幸運,沒有被入侵,就拿這些幸運兒開刀吧。
使用「struts 2」框架做的網站,網址通常會包含一個單詞「action」。
用百度高級指令搜索,inurl:action,意思是搜索所有網址中包含字母「action」的網站。
為了提高效率,哥哥用軟體批量在百度採集網址,如下圖
將採集的網址導入「struts 2漏洞軟體」,軟體能自動批量檢測。
1%以上的網站存在漏洞,銀行、學校、物流系統…無一倖免。
下圖是某學校網站的測試結果,可以隨意查看網站的任何信息,包括伺服器的配置、安裝了哪些軟體、管理員用戶名等信息,從圖片能看出,這是個Windows系統,管理員的用戶名是:administrator 。
為了更方便的看到網站的數據,百度搜索「jsp木馬」,隨便找一段代碼上傳到這個網站。
打開木馬,就能管理伺服器的所有內容,Windows2012系統,硬碟里有幾百G的資料…
為了避免被請喝茶,就不深入了,漏洞已經告知這家學校了。
詐騙人員會專門購買學生資料,然後打電話行騙,當年的徐玉玉案就是如此,都是學校保護資料不力,疏於管理導致的。
接下來,哥哥繼續演示利用商城系統的漏洞,批量入侵。
ecshop在國內非常主流,大部分商城網站都是用這套系統做的。
ecshop漏洞和剛才的struts 2漏洞的操作方法一樣,先用軟體採集全網各大商城的網址,然後用軟體批量檢測。
0.5%的機率能成功,軟體會自動生成一個「coon.php」的木馬文件,密碼是sb,用下圖的軟體就能連接。
這個商城的所有原始碼和數據,黑客可以隨意刪除或更改。
哥哥順手打開商城網站的資料庫文件,看到資料庫用戶名和密碼。
用軟體「Navicat」連接這個資料庫,找到保存用戶信息的數據表… 可以獲取商城的所有用戶信息,包括郵箱、手機號、用戶名…
在檢測的過程中,無意中進入某公司的伺服器,這個伺服器上居然有上百個網站…
瞬間幾百個網站的數據就公開了…
其他漏洞的操作方法同理,輕而易舉就能入侵成千上萬個網站。
三,黃雀在後
聰明的讀者肯定會留意到上面的一句話「軟體會自動生成一個「coon.php」的木馬文件,密碼是sb」
批量入侵留的木馬地址和密碼都是一樣的…
所以!根本不需要我們上傳木馬,只需跟著大佬的腳步,批量掃描網站是否存在木馬文件,並用大佬的密碼連接。
既然ECShop漏洞攻擊軟體,會生成一個coon.php的木馬文件,密碼是sb,那麼我們只需批量採集商城網址,然後用軟體掃描是否存在coon.php的文件,這樣就能獲取其他黑客搞過的網站。
這個思路極為逆天!
百度搜「被黑網站統計」,有許多小黑客在獲得網站的權限後,會上傳一個裝逼的網頁,並提交到黑客網站,滿足虛榮心的同時還能給自己做宣傳。
小黑客們入侵後,留的木馬後門通常都一樣,因此只需搞定某個黑客入侵的某個網站,一般就能獲取他在所有網站留的木馬後門。
哥哥用此法把某位大佬的所有木馬都刪了…
黑產的變現手法極多,出售用戶數據、DDOS攻擊、掛廣告…這些只是入門級玩法。
針對業務型網站實施的攻擊,堪稱搶劫。
入侵點卡網站,用網站餘額批量給自己的號充值,然後轉手出售,一晚洗劫數十萬。
入侵競價網站,偷別人網站的客戶。
四,大道至簡
無極領域的文章標題,只要和網賺相關,標題帶有日賺xxx元,閱讀量通常比其他內容多一倍。
項目終會失效,漏洞總會過時,忙碌半世,終免不了一場悲劇。
在一秒鐘內看到本質的人和花半輩子也看不清一件事本質的人,自然是不一樣的命運。
下面是小編整理的全行業一整套系統的SEO優化秘籍裡面有100節SEO真人課程,是我們團隊花費240多天製作的,課程涵蓋數十種網站優化方法,課程文件加起來有30G,(關注我私信seo即可領取)