黑客凭什么隐藏自己?
黑客凭什么隐藏自己?
2017-11-09 10:15:00 来源:51CTO
抢沙发
2017-11-09 10:15:00 来源:51CTO
摘要:在处理的一些入侵应急响应事件中,我们发现有些网站被挂恶意页面达数月甚至数年之久,而在此期间管理员竟然毫无察觉。那么,黑客有哪些手段来隐藏自身,使之生生不灭?
关键词:
黑客
在处理的一些入侵应急响应事件中,我们发现有些网站被挂恶意页面达数月甚至数年之久,而在此期间管理员竟然毫无察觉。
有时这并非是管理员的粗心大意,而是黑客过于狡猾。在了解了我之前所介绍的网页劫持手段后,我想你大概能了解这其中的缘由了,网页劫持能控制跳转控制页面呈现的内容,这便是难以被管理员发现的主要原因。
除此之外,寄生虫程序能够自动生成网页也使得其生存能力很强,不易被根除。其次我们在发现网站被挂恶意网页后,通常会登录服务器进行查看,而有时我们很难找到被非法篡改或者被恶意植入的脚本文件,因为此类型文件被黑客精心地隐藏了起来。
那么除了上述手段之外,黑客还有哪些手段来隐藏自身,使之生生不灭?
1. 网页劫持控制跳转
网页劫持中的控制跳转就是为了隐藏网站已被入侵的事实,让网站管理员不容易发现。
2. nginx二级目录反向代理技术
通过配置nginx/apache等中间件配置文件设置目录代理,将服务器上某个目录代理到自己搭建服务器上的某个目录。即浏览者在打开thief.one/2016/目录时,实际访问到的资源是自己服务器上的某个目录(目标服务器会去自己服务器上拿数据)。这种手法不需要修改目标服务器网站源码,只需要修改中间件配置文件,不易被删除也不易被发现。
3. 隐藏文件
给文件设置属性隐藏。我曾经遇到过此类事件,当时我们一个技术人员通过肉眼选择了服务器上一批web目录下的文件进行copy。而当我们对这些文件进行扫描时,并未发现任何异常,一切都变得匪夷所思。而最后的结果让我们哭笑不得,原来恶意文件被设置成了属性隐藏,通过肉眼观察的技术人员并没有将此文件copy下来,因此这也算是一种有效的障眼法。
4. 不死文件
不死文件指的是删除不了的webshell或者是非法页面文件(.html或者动态文件),此类事件在实际中没有遇到过,但理论上确实可行。设置畸形目录目录名中存在一个或多个多余代码。
该目录无法被手工删除,当然命令行可以删除。
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lixiaojiao
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
