2011年末爆發(fā)的網(wǎng)站泄密事件給所有搞IT運(yùn)維管理的同學(xué)上了一堂最生動(dòng)的實(shí)踐課，2012年信息安全也必將受到企業(yè)的關(guān)注。作為企業(yè)的IT運(yùn)維管理人員，除了打報(bào)告向企業(yè)申請(qǐng)更新安全設(shè)備，還可以做哪些工作來(lái)體現(xiàn)IT運(yùn)維人員的價(jià)值呢？

以往IT運(yùn)維管理往往是利用部署在企業(yè)IT系統(tǒng)之上的防火墻、入侵檢測(cè)、防病毒等等設(shè)備來(lái)被動(dòng)的防御，面對(duì)肆無(wú)忌憚的黑客入侵，作為IT運(yùn)維管理人員，我們是否能主動(dòng)出擊呢？其實(shí)想要對(duì)付入侵企業(yè)網(wǎng)站的黑客IT運(yùn)維人員可以做的有很多，比如可以在頁(yè)面中加入特定的后門程序，就會(huì)讓很多入侵者無(wú)功而返。

數(shù)據(jù)庫(kù)插馬

默認(rèn)數(shù)據(jù)庫(kù)下載漏洞，是許多黑客喜歡利用的一種技術(shù)。管理人員可以特意為網(wǎng)站留下這個(gè)“漏洞”，讓黑客下載指定的數(shù)據(jù)庫(kù)，殊不知他們也就慢慢走入了陷阱。

1、數(shù)據(jù)庫(kù)下載漏洞利用原理

默認(rèn)數(shù)據(jù)庫(kù)下載、上傳、后臺(tái)密碼繞過(guò)等漏洞雖然很初級(jí)，但卻有不少惡意攻擊者通過(guò)此點(diǎn)攻入網(wǎng)站。一旦僥幸成功后，其后果不言而喻。于是網(wǎng)站管理人員可以修改網(wǎng)站真正的數(shù)據(jù)庫(kù)的名稱，改變其路徑來(lái)實(shí)現(xiàn)保護(hù)目的，并且將偽裝插入木馬的數(shù)據(jù)庫(kù)不做更改刪除，等待入侵者下載中招。

2、數(shù)據(jù)庫(kù)插入木馬

首先，準(zhǔn)備一個(gè)遠(yuǎn)程控制工具(比如，遠(yuǎn)程控制任我行)，進(jìn)行簡(jiǎn)單的配置生成服務(wù)端。然后運(yùn)行“office系列掛馬工具全套”工具包中的“MdbExp.All.v1.04.exe”，指定要運(yùn)行的木馬程序，設(shè)置木馬保存路徑，點(diǎn)擊“確定”，就把這個(gè)服務(wù)端程序偽裝成MDB格式的數(shù)據(jù)庫(kù)文件。(特別提示：服務(wù)端不能超過(guò)50KB。)

3、設(shè)置陷阱

以動(dòng)網(wǎng)DVBBS論壇為例，網(wǎng)站管理人員修改原有數(shù)據(jù)庫(kù)的名稱并改變其路徑。將插入遠(yuǎn)控服務(wù)端的數(shù)據(jù)庫(kù)改名為“dvbb7.mdb”，放置在動(dòng)網(wǎng)的數(shù)據(jù)庫(kù)默認(rèn)目錄下。攻擊者嘗試?yán)脭?shù)據(jù)庫(kù)下載漏洞進(jìn)行網(wǎng)站攻擊時(shí)，就會(huì)下載偽裝的插入遠(yuǎn)控服務(wù)端的數(shù)據(jù)庫(kù)文件，當(dāng)其雙擊打開(kāi)“數(shù)據(jù)庫(kù)”時(shí)，被嵌入其中的遠(yuǎn)控服務(wù)端自動(dòng)運(yùn)行，入侵者的電腦也就被網(wǎng)站管理人員控制了。

管理后臺(tái)掛馬

攻擊者通常非法登錄網(wǎng)站的管理頁(yè)面，然后上傳木馬，進(jìn)一步滲透、提權(quán)，甚至控制服務(wù)器。對(duì)于這樣的入侵，網(wǎng)站的管理人員除了要加固服務(wù)器的設(shè)置之外，也可以在管理后臺(tái)中設(shè)置陷阱，請(qǐng)君入甕。

1、攻擊原理

惡意攻擊者在非法獲得了網(wǎng)站的管理員用戶名和密碼后，就會(huì)進(jìn)入網(wǎng)站的管理頁(yè)面嘗試進(jìn)入后臺(tái)。對(duì)于這樣的惡性行為，網(wǎng)站的管理人員可以通過(guò)在登錄頁(yè)面文件中加入代碼，運(yùn)行指定的程序，而懲罰攻擊者。

2、制作網(wǎng)頁(yè)木馬后臺(tái)陷阱

第一步：運(yùn)行MS-07004網(wǎng)馬，生成一個(gè)木馬客戶端，將該程序上傳至網(wǎng)站的某個(gè)目錄，得到一個(gè)URL地址。

第二步：運(yùn)行“小金豬MS-07004網(wǎng)馬V3.0”工具，在“網(wǎng)馬配置”中輸入網(wǎng)馬的URL地址，選擇木馬的類型為“MS06014+MS07004”，然后點(diǎn)擊“生成普通版網(wǎng)馬”按鈕，生成一個(gè)名為“mm.js”的網(wǎng)頁(yè)木馬文件。

第三步：將mm.js文件放到網(wǎng)站論壇后臺(tái)頁(yè)面的同一文件夾下，并在后臺(tái)登錄頁(yè)面“login.asp”文件中插入代碼“”。這樣當(dāng)有攻擊者企圖非法進(jìn)入后臺(tái)，如果他的系統(tǒng)沒(méi)有打最新的補(bǔ)丁包就會(huì)木馬。

3、嚴(yán)懲攻擊者

通過(guò)上述的安全措施，網(wǎng)站管理人員可以遠(yuǎn)程控制惡意攻擊者。想要嚴(yán)懲他們，可以在網(wǎng)頁(yè)中插入一些病毒程序，讓入侵者入侵不成反受懲罰，具體的做法，就不贅述了。

總結(jié)：

維護(hù)企業(yè)信息安全，IT運(yùn)維人員不再是事后救火員，現(xiàn)在有很多的辦法可以去嘗試，去利用……作為IT運(yùn)維經(jīng)驗(yàn)分享，希望大家都能將平時(shí)工作中好的經(jīng)驗(yàn)分享出來(lái)，讓大家互相學(xué)習(xí)和交流。

【編輯推薦】

1. 黑客組織曝光數(shù)百名英美高官電子密碼
2. CSDN“泄密門”兩名黑客已經(jīng)落網(wǎng)
3. 黑客再襲以色列 6000信用卡資料被泄
4. 多家網(wǎng)站陷入“泄密門” 黑客自曝入侵過(guò)程