Board logo

标题: 端口转发轻松设 让旁注攻击绕道走 [打印本页]

作者: oooooo    时间: 2009-6-29 21:27     标题: 端口转发轻松设 让旁注攻击绕道走

旁注是最近网络上比较流行的一种入侵方法,在字面上解释就是“从旁注入”,利用同一主机上面的不同网站漏洞得到webshell,从而通过主机上的程序或者服务所暴露的用户所在物理路径进行入侵。

    以往大家对此攻击的防范,都会采用设置是IIS单用户权限/禁止,来阻止非法用户运行任意的CMD命令,从而使其黑客的旁注入侵在无法提升权限下导致失败。虽然取得的效果还算不错,但是面对老练的黑客,以上防范只是固若金汤的摆设。要想彻底封堵外界的旁注攻击,我们需要从根本的转发技术入手,才可安全防范此攻击。

    前提条件:要一台安全的服务器做后盾,并且设置好目录访问权限,当然如果你可以事先设置好IIS单用户权限/禁止,这样就可使以后防御旁注攻击达到事半功倍的效果。然后对于一些存在危险的组件,绝对不能手下留情,比如FSO/SHELL一类的组件一定要将其禁用,否则后果不堪设想。不过一般情况,我们使用的都是虚拟主机,所以服务器的控制权未在自己手中,你可以通过入侵服务器的方式来得到控制权,或者找到服务器的安全漏洞时,立即联系管理员请其马上进行修补,从而可以避免服务遭入侵,导致自己的虚拟主机被攻陷的情况。

    俗话说:“知己知彼,方能百战百胜。”当以上条件满足后,我们需要对旁注攻击的入侵,进行分一番详细了解,从而可以使我们的防御做到有备无患。众所周知,黑客要想入侵某网站,首先都会进入其网站,来查看检测其是否存在脚本注入的漏洞。如果没有发现任何可利用价值后,黑客就会想到旁注攻击,他会查看服务器上其他的网站,是否存在安全漏洞,然后在利用有漏洞的网站进行入侵,获取Webshell甚至是整个服务器的控制权,从而我们架设在其服务器上的网站安全,也就不攻自破了。

    小提示:是web入侵的脚本攻击工具。简单的来说,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。

    而旁注首先利用的是Whois查询服务器IP,来得出同一台服务器上的所有网站信息。这里你可能对Whois还比较陌生,简单的说它是当前域名系统中不可或缺的一项信息服务。在使用域名进行Internet冲浪时,很多用户希望进一步了解域名、名字服务器的详细信息,这就会用到Whois。对于域名的注册服务机构(registrar)而言,要确认域名数据是否已经正确注册到域名注册中心(registry),也经常会用到Whois。直观来看,Whois就是链接到域名数据库的搜索引擎,一般来说是属于网络信息中心(NIC)所提供和维护的名字服务之一。

    通过以上可以得知,只要不让黑客得知服务器的IP地址,其架设在主机上的网站,才能有安全上的保障。为了迷惑Whois查询,我们可以将自己服务器的IP地址进行隐藏。这里我们需要一台没有开启的80端口,并且有固定公网IP地质的主机来作为转发主机,假设网站所在虚拟主机的IP地址为192.168.0.9、网站域名www.wenpeng.com、转发主机的IP地址为192.168.0.6。更改域名设置,将域名www.wenpeng.com指向到转发主机的192.168.0.6地址。虽然我们以后访问www.wenpeng.com域名,会跳转到192.168.0.6主机,但是网站却没有在转向主机内,很容易被黑客识破。为了让转发主机正确访问到网站,我们可以通过端口转发技术来实现,需要借助的工具是Fpipe,它是一种命令行下执行端口重定项的软件,我们从网上将其下载到转发主机后,在其主机上打开“命令”对话框,输入Fpipe –l 80 –r 192.168.0.9回车后,转发主机192.168.0.6的80端口数据,就会转发到192.168.0.9的80端口,这样以后访问www.wenpeng.com的网址,就会正确访问到网站的页面。如果黑客以后对其www.wenpeng.com网址进行探测时,其返回到的IP就是转发主机的192.168.0.6地址。这样以后即使是黑客旁注成功,所侵入的服务器也不是我们虚拟机上的服务器,从而可以防止黑客旁注到我们的网站服务器。
作者: 超超    时间: 2009-6-30 03:59

哈哈  学到了  又学到了!!!
作者: rocdk890    时间: 2009-7-3 20:17

LZ说的怎么像蜜罐一类的原理啊




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2