什么是“劫持”? “劫持”有哪几种类型?第一类:是用户主页劫持 一般是正规互联网公司利用应用软件。安装安全软件或应用软件时,未经任何提示完成安装后,浏览器主页地址也随之被修改为相关网址或导航网页。 第二类:是第三方工具软件的捆绑安装 这类软件通常会捆绑安装浏览器和游戏,并默认设定新的目标主页。即便是安装过程中弹出“是否同意用户协议”的窗口,由于协议冗长,用户很少会看全或者根本不看就点击“同意”。这时用户的应用就会被捆绑劫持。 第三类:DNS劫持 这个是DNS解析域名。比如你得网站DNS登录的账号密码被人破解了。修改了你的解析记录。 第四类:搜索引擎快照劫持 这个是你的网站被入侵了。被黑客使用网站服务器支持的程序语言如:ASP、PHP、JAVA、JS、xml。撰写了根据来路判断跳转的代码 导致了你的网站从搜索引擎打开后跳转到了不是你的网站页面上。 这种情况政府、教育、企业网站居多。 第五类:电信区域劫持 记得某一年、某省,使用该省所有的电信宽带业务的电脑。 打开浏览器打开指定类型的网站,都会不定时的弹窗出某个电脑培训学校的网页。 这种叫电信劫持。 第六类:IDC服务器提供商劫持 这种就是你的网站服务器劫持你的流量了。甚至可以把某地区打不开网站的都可以这样理解(前提是服务器商的线路确实没问题,人为故意的。) 第七类:IDC域名商劫持 这种情况其实可以跟DNS劫持一样的理解,不同的是你登录账户后很正常。看不出毛病,但其实在代码里已经实现了劫持。 第八类:硬件厂商劫持 如路由器、交换机。有的是厂商跟某某游戏公司合作,经过流量甄别之后劫持。 有的是软件漏洞、或者是厂商程序员非法啥啥,最后是流量甄别销售相关流量给其他需要流量的人或者公司。 而菠菜台子又适合以哪种劫持方式,来为台子引流就是我们今天要讨论的 我们统称为强行劫持。 跳转强行劫持其实就是我们现在常听到的劫持跳转就是DNS(第三类)和搜索引擎快照劫持(第四类)还有IDC(第七类)。他们又分为 硬劫持 和 随机劫持,硬劫持目前能做到的渠道不多,因为性质较为严重,而且一但报警被查,那是跑都没用。 同时,劫持网站也分为劫持同行网站和劫持优质企业官网。以此获得优质小白客户,因为登录这类网站的人群,很多都是想寻找合作的某家公司负责人,虽然 这种客户成功率较低 但是一但吸引进来成功培养 就是大鱼中的大鱼。 诚然,数量决定质量,这种方式如果只针对一家企业官网进行劫持 意义不大。 网站劫持跳转的问题分析 随机劫持,即服务器信息以及网站信息的交接的时候,由技术团队进行了全面的网站安全分析找到漏洞入口,以及木马后门和恶意跳转代码的审计工作,目前主流网站都是由开源程序php+mysql架构,由于这种代码的开源性,即使被管理员发现删除恶意代码后没过多久就又被篡改,随机劫持如果反复的被删除几次就会马上停止,然后更换网站。我们可以打开网页文件查看下源代码就会看到加密的代码也就是跳转的代码如图: 上述代码就是一个劫持判断来路跳转的代码。跳转到的网站截图如下: 如果一个网站用的是dz论坛程序也是可以被跳转测,只要代码被修改加在了config目录下的config_global.php文件里 另外如果劫持的网站用的是dedecms系统,也是增加了和上述第一张图的代码即可,另外即使网站程序人员把我们的跳转代码进行了清除,使网站正常访问,也没关系哦! 这只是单纯的删除恶意跳转的代码,因为根源问题是在程序有漏洞,我们才能上传webshell俗称网站木马后门。这样被跳转的网站就会反复性质的被篡改!清理掉后没过多久就又被篡改了。但是正常情况,被多次清理后我们也会停止对这个网站的劫持,毕竟人都是有脾气的,一但被较真的真追究起来,也容易造成损失。 筛查找出网站的漏洞,然后进行劫持针对网站的程序代码进行了全面的人工安全代码审计以及漏洞检测,找到后门,植入木马,发现dedecms和dz论坛的程序存在getshell和sql注入获取管理员账户和密码,以及上传绕过漏洞。如果网站的服务器的目录安全权限没做好,那么就可以跨目录写入导致这个篡改网站,所以说,网站安全即使做的再牛逼也毫无用处。 下面几个图片就是被上传的网站后门木马代码: 总结关于劫持,篡改的知识普及: 1、其实劫持,没有这么神,这属于一个技术活,有实力的台子完全可以自己请这方面的程序员每天不停的帮你劫持流量,费用大概25K左右,一个月,不算高。 2、除非自己请的人或者国外的公司,国内公司很少人做硬劫持,其实不是技术问题,更重要的,风险太大。而且硬劫持效果其实并不理想,因为肯定不会去劫持那些高流量的网站。 3、劫持,其实不难,但是国内能做的公司也不多,因为成本高,主要是人力成本,一个人一个月25K,其实并不简单,所以你们要懂得分辨公司的真假。 那么如何防止自己的台子被劫持? 1.对服务器目录权限的安全部署,对管理员账号密码加密,尽可能设置的复杂一些,数字+大小写字母+特殊符号,对网站数据库进行分配普通权限账号。 2.如果不想自己的台子被劫持,那么mysql数据库默认端口3306,改为61116,并加入到端口安全策略,不对外开放,外网IP无法连接数据库,只有本地127.0.0.1才能进行连接数据库,以防止攻击者恶意猜测。 3.对服务器底层系统进行安全加固,包括远程端口登录的安全验证。 4.对网站代码进行整体的安全检测,包括定期的升级网站程序源代码,修复补丁以及网站漏洞。 总的来说,其实劫持是个简单的技术活,想要劫持很简单,要防止被劫持同样也很简单,菠菜行业想要利用好劫持来为自所用,就要先了解清楚劫持的原理和方式,选对网站,选对方式进行劫持。 |
Powered by 澳门网上赌场 @2013-2022 RSS地图 HTML地图
网站统计——