उपयोगी टिप्स

एक वेबसाइट हैकिंग: सरल सुरक्षा युक्तियाँ

Pin
Send
Share
Send
Send


हमने बार-बार लिखा है कि गुमनाम (गैर-लक्षित) हमलों के अधीन साइटों की संख्या लक्षित हमलों के पीड़ितों की संख्या से कई गुना अधिक है। हमारे आंकड़ों के अनुसार, केवल हर चौथे साइट पर हैकर्स द्वारा जानबूझकर हमला किया जाता है, शेष साइटें जो इलाज और सुरक्षा के लिए हमारे पास आती हैं, एक बड़े पैमाने पर हैक और संक्रमण का परिणाम हैं।

एक गैर-लक्षित हमले के परिणामस्वरूप पीड़ित होने के लिए काफी सरल है: यह आपकी साइट के सीएमएस, टेम्प्लेट या प्लग में महत्वपूर्ण भेद्यता को नोटिस या अनदेखा करने के लिए पर्याप्त नहीं है। किसी भी खुले अंतर को अपने आप को "दुर्भाग्य में कॉमरेड" के बीच खुद को खोजने और हैकिंग के लिए उम्मीदवारों के हैकर चयन में एक मजबूत पैर जमाने का एक शानदार मौका है। और "सफल" हमले के मामले में, इस तथ्य के लिए तैयार हो जाएं कि आपकी साइट सक्रिय रूप से स्पैमिंग, उपयोगकर्ताओं को संक्रमित करने, फ़िशिंग पृष्ठों की मेजबानी करने, अन्य साइटों पर हमले या विज्ञापन से पैसा बनाने के लिए उपयोग की जाएगी।

समान कमजोर मापदंडों के साथ साइटें (उनमें से हजारों) ढूंढना किसी हैकर के लिए मुश्किल नहीं है। Google हैकिंग डेटाबेस (GHD) के माध्यम से असुरक्षित साइटों के बारे में जानकारी हमेशा प्राप्त की जा सकती है - "डॉर्क" का डेटाबेस - Google की मेटा-भाषा में खोज क्वेरी, आपको ऐसी साइटें खोजने की अनुमति देता है जो कुछ समान गुणों द्वारा कुछ हमलों के लिए असुरक्षित हैं। उदाहरण के लिए, हैकर्स खोज इंजन में अनुक्रमित सभी साइटों को इंस्टॉल किए गए असुरक्षित प्लग-इन या उन साइटों के साथ पा सकते हैं जो निर्देशिकाओं की सामग्री को प्रकट करते हैं, अर्थात्। आपको उनसे पासवर्ड (सेटिंग्स, आदि) देखने और डाउनलोड करने की अनुमति देता है।

यदि आपकी साइट में एक कमजोर लिंक है और वेब परियोजना एक निश्चित प्रकार के हमले के लिए असुरक्षित है, तो जल्द ही या बाद में आपको हैक किया जाएगा। इसे हर वेबमास्टर और वेबसाइट के मालिक को समझना होगा।

उत्तरार्द्ध, एक नियम के रूप में, यह विश्वास नहीं करता है कि किसी भी विशेष हैकिंग टूल के बिना, एक असुरक्षित साइट को ढूंढना और हैक करना केवल कुछ मिनटों में किया जा सकता है। इसलिए, एक उदाहरण के रूप में, हम एक सरल उदाहरण देंगे कि कैसे, Google की क्षमताओं का उपयोग करके, हमलावर वेब परियोजनाओं को ढूंढते और हैक करते हैं जिनके मालिकों ने समय पर ढंग से उनकी सुरक्षा का ध्यान नहीं रखा या होस्टिंग स्थापित करते समय गलतियां नहीं कीं।

एक उदाहरण के रूप में, 1 सितंबर 2015 को Google हैकिंग डेटाबेस में दिखाई देने वाले "डॉर्क" पर विचार करें। यह आपको खुली निर्देशिका वाली साइटों को खोजने की अनुमति देता है (ऐसी निर्देशिकाओं में आप न केवल सेवा फ़ाइलों की सूची देख सकते हैं, बल्कि उनकी सामग्री भी देख सकते हैं, उदाहरण के लिए, पासवर्ड ढूंढें)।

हम Google खोज इंजन को यह अनुरोध भेजते हैं और खुली निर्देशिका लिस्टिंग के साथ साइटों की एक सूची देखते हैं - ये एक हैकर के संभावित शिकार हैं। हम पाया साइटों से यादृच्छिक का चयन करते हैं, उदाहरण के लिए, सूची में अंतिम।

हम लिंक पर क्लिक करते हैं - निर्देशिकाओं की एक सूची खुलती है, आप एक्सप्लोरर के रूप में उनके माध्यम से "चल" सकते हैं, और सर्फिंग के परिणामस्वरूप आप सर्वरकॉन्फ़िग.एक्सएमएल फ़ाइल को नोटिस कर सकते हैं, जो सार्वजनिक डोमेन में डेटाबेस से लॉगिन और पासवर्ड संग्रहीत करता है। यह देखते हुए कि कभी-कभी खाते एफ़टीपी या एसएसएच के साथ मेल खाते हैं, इस तरह हैकर न केवल डेटाबेस तक, बल्कि पूरे सर्वर तक अनधिकृत पहुंच प्राप्त कर सकता है।

ऊपर वर्णित पूरी प्रक्रिया में लगभग दो मिनट लगे, लेकिन स्वचालित समाधानों का उपयोग करते हुए "मुकाबला स्थितियों" में एक हैकर के लिए, इसमें भी कम समय लगता है, और समझौता किए गए संसाधनों की मात्रा आमतौर पर हजारों तक जाती है।

यह उन लोगों के बीच शर्म की बात है जो एक हैकर के हाथों आसान शिकार में बदल गए, हालांकि इस स्थिति से बचना आसान है। अपनी वेब परियोजनाओं की सुरक्षा के बारे में पहले से सोचें। यदि आपकी साइट औसत (बॉक्स और डिफ़ॉल्ट सेटिंग्स के बाहर सीएमएस के साथ) की तुलना में थोड़ी अधिक सुरक्षित होगी, तो अनुचित हैकिंग की समस्या आपको बाईपास कर देगी।

किसी साइट को कैसे हैक किया जाता है?


साइट में प्रवेश करने के सबसे सामान्य तरीके:

  • व्यवस्थापक पैनल / ftp ("डोमेन नाम", 12345, व्यवस्थापक, परीक्षण, आदि) तक पहुंच के लिए सरल पासवर्ड की खोज - बड़ी संख्या में हैक, अजीब तरह से पर्याप्त, बस उसी तरह होता है,
  • स्क्रिप्ट भेद्यता (सीएमएस और मॉड्यूल) का उपयोग।

मुझे जूमला + CKForms के उदाहरण के साथ स्पष्ट करें। प्रलोभन का नेतृत्व न करने के लिए, मैं विवरण का लिंक प्रकाशित नहीं करता, इसका उपयोग करना बहुत आसान हैलेकिन यह भी खोजने के लिए आसान है। CKForms मॉड्यूल में कमजोरियाँ आपको SQL इंजेक्शन या PHP समावेशन करने की अनुमति देती हैं, और, सरल जोड़तोड़ के माध्यम से, व्यवस्थापक पैनल तक पहुंच प्राप्त करती हैं। ब्राउज़र के एड्रेस बार में एक साधारण अनुरोध के माध्यम से भेद्यता का शोषण किया जाता है।

इसका शाब्दिक रूप से पांच मिनट है और पटाखे से गंभीर ज्ञान की आवश्यकता नहीं है। आगे के कदम हैकिंग की लेखक की कल्पना पर निर्भर करते हैं - एक अप्रिय विचलन से, साइट को नष्ट करने और अन्य साइटों और सर्वर का नियंत्रण जब्त करने की कोशिश करने के लिए।

मैंने कार्रवाई की, लेकिन साइट को कैसे हैक किया गया?

यदि साझा मालिक साइट के स्वामी द्वारा सभी ज्ञात उपाय किए गए हैं, तो एक हैकर साझा होस्टिंग पर अन्य साइटों तक कैसे पहुंच सकता है? वास्तव में, लगभग हर जगह साइट साइटों तक पहुंच उपयोगकर्ता लॉगिन द्वारा भिन्न होती है और, ऐसा प्रतीत होता है, इस साइट को पड़ोसियों से सुरक्षित रखना चाहिए।

हम खुद को एक मामले में कैद करते हैं। एक गंभीर खतरा अपाचे मॉड्यूल के तहत स्क्रिप्ट का प्रक्षेपण है, उदाहरण के लिए mod_perl। इस मामले की स्क्रिप्ट अपाचे उपयोगकर्ता के तहत चलाई जाती है, जिनके पास साइट उपयोगकर्ताओं के डेटा तक पहुंच होती है।
एक हैकर, जैसा कि ऊपर वर्णित है, एक साइट की साइट तक पहुंच प्राप्त करता है। फिर कंसोल स्क्रिप्ट, उदाहरण के लिए cgi-telnet, को रखा गया है। और अगर अन्य उपयोगकर्ताओं की साइटों की कॉन्फ़िगरेशन फ़ाइलों के अधिकार 644 (या इससे भी कम 777!) पर सेट हैं, तो कंसोल से पासवर्ड वाली फ़ाइलों की सामग्री को पढ़ना आसान है। लेकिन! केवल अगर पर्ल स्क्रिप्ट अपाचे उपयोगकर्ता के तहत चलाई जाती है, अर्थात्। mod_perl (mod_php के साथ एक समान स्थिति) के तहत। काम करते समय, उदाहरण के लिए, FastCGI के तहत, यह विधि फ़ाइलों तक पहुंच नहीं देगी। आप महत्वपूर्ण फ़ाइलों पर 600 अधिकार स्थापित करके और FastCGI का उपयोग करके खुद को इससे बचा सकते हैं।

मैं स्वयं सर्वर के प्रबंधन तक कैसे पहुँच सकता हूँ?

लिनक्स सिस्टम के लिए आपको एक सामान्य उदाहरण देता हूं। इसी तरह, पहले आपको एक साइट की साइट तक पहुंचने की आवश्यकता है।
नाल पॉइंटर के माध्यम से कर्नेल में कई भेद्यताएँ होती हैं जो दर्जनों लिनक्स सिस्टमों के लिए सामने आती हैं, उदाहरण के लिए: लिनक्स कर्नेल 'sock_sendpage ()' NULL Pointer Dereference Vulnerability। वहाँ भी शोषण का वर्णन किया गया है। (सावधान रहें, यह काम करता है!).
इस तथ्य के बावजूद कि यह समस्या लंबे समय से जानी जाती है, रूस में कई अप्रकाशित सर्वर शामिल हैं। संरक्षित करने का सबसे आसान तरीका, उदाहरण के लिए, यहां वर्णित है।
यह 100% सुरक्षा की गारंटी नहीं देता है, जैसा कि उदाहरण के लिए, वाइन को स्थापित करते समय, mmap_min_addr पैरामीटर को वापस 0 पर रीसेट किया जा सकता है। यह पैच का उपयोग करने के लिए दृढ़ता से अनुशंसा की जाती है जो कि पृष्ठ पर या आधिकारिक स्रोतों में ली जा सकती है।
इस मुद्दे पर चर्चा भी हैबर पर की गई।
शोषण डेटा से बचाने की जिम्मेदारी सर्वर व्यवस्थापक के पास होती है।

उपचारात्मक प्रक्रिया

बैकअप से "उपचार" वसूली पर्याप्त नहीं है, एक बार साइट को हैक करने के बाद, वे आपके पास लौट आएंगे। साइट स्वामी को क्या करना चाहिए?

  • यह निर्धारित करने का तुरंत प्रयास करें कि कौन सी फ़ाइलों को प्रतिस्थापित किया गया है, यह या तो index.php या टेम्पलेट फ़ाइलें, चित्र आदि हो सकता है।
  • परिणामों के स्क्रीनशॉट लें,
  • होस्टिंग प्रदाता को सूचित करना और अपने अगले चरणों का समन्वय करना सुनिश्चित करें,
  • साइट फ़ाइलों को एक अलग निर्देशिका में सहेजें, भविष्य में फ़ाइलों को संशोधित करने का समय आपको हमलावर को निर्धारित करने में मदद करेगा,
  • साइट को बैकअप से पुनर्स्थापित करें या इसके लिए होस्टर से संपर्क करें,
  • त्रुटि लॉग डाउनलोड करें और साइट तक पहुंचें या होस्टर को उन्हें प्रदान करने के लिए कहें, उन्हें अलग निर्देशिका में कॉपी करना बेहतर है ताकि वे लॉग के रोटेशन के दौरान दूर न जाएं,
  • फ़ाइल संशोधन समय का विश्लेषण और लॉग प्रविष्टियों के साथ तुलना आपको उपयोग की गई भेद्यता की प्रकृति और हमलावर के आईपी पते को निर्धारित करने की अनुमति देता है,
  • स्क्रिप्ट अपडेट करें या (यदि यह संभव नहीं है) कमजोर मॉड्यूल का उपयोग करने से मना करें,
  • सभी एक्सेस पासवर्ड को बदलना सुनिश्चित करें।

अपराध और सजा

एक हैकर को दंडित करें, खासकर यदि वह किसी अन्य राज्य के अधिकार क्षेत्र में कार्य करता है और सभी उपाय करता है ताकि इसे ट्रैक नहीं किया जा सके - यह मुश्किल या लगभग असंभव है। लेकिन सफल उदाहरण हैं।

एन के शहर के डिवीजन के ने रूसी संघ के आपराधिक संहिता के अनुच्छेद 272 के तहत एक आपराधिक मामला खोला "कानूनी तौर पर संरक्षित कंप्यूटर के लिए गैरकानूनी पहुंच। »एक कानूनी इकाई (साइट के मालिक) के अनुरोध पर रूसी संघ के एक नागरिक के संबंध में। फरवरी 2010 में, एक हमलावर के द्वारा साइट के कोड में पाई गई भेद्यता के माध्यम से एक साइट को रूसी डिजाइन स्टूडियो (एक "स्क्रिप्ट") के उत्पादन में हैक किया गया था। हैक का उद्देश्य बैनर विज्ञापनों को लगाना था। हमलावर ने अपने लिखित माफीनामे को साइट के मालिक के पास एक पूर्व-परीक्षण निपटान के लिए कहा - आपराधिक लेख के अलावा, उसे विश्वविद्यालय से निष्कासन के लिए भी धमकी दी जाती है। इसलिए बोलने के लिए - जांच के हितों में, विवरणों का खुलासा नहीं किया गया था।

यदि क्षति महत्वपूर्ण है, और आईपी पता "स्थानीय" (यहां तक ​​कि गतिशील है और इंटरनेट प्रदाता से संबंधित है), और "चीनी प्रॉक्सी" नहीं है - तो आप कानून प्रवर्तन अधिकारियों और विशेष रूप से के। विभाग के लिए आवेदन कर सकते हैं, बयान और निवास की जगह पर उपलब्ध सामग्री के साथ। वे होस्टिंग प्रदाता से पत्रिकाओं और स्थिति के स्पष्टीकरण के साथ इंटरनेट प्रदाता से आधिकारिक पत्र का अनुरोध करेंगे - जिन्हें आईपी पता आवंटित किया गया है। कंपनियों को कानून प्रवर्तन के अनुरोध पर यह जानकारी प्रदान करना आवश्यक है।
कानून प्रवर्तन एजेंसियों के साथ संचार पटाखे के लिए बहुत कुछ लाएगा नहींसुखद घंटे, विशेष रूप से अगर कंप्यूटर पर अवैध गतिविधि के निशान हैं, तो उल्लेख नहीं करना संभावित अभियोजन।

संक्षिप्त निष्कर्ष

आपकी साइट की सुरक्षा न केवल डेवलपर और होस्टर का कार्य है, जो सर्वर के लिए अधिकतम सुरक्षा प्रदान करने के लिए बाध्य है, बल्कि साइट व्यवस्थापक भी है।
साइट के मालिक को तुच्छ सलाह:

  • कहीं भी पहुँच क्रेडेंशियल्स संग्रहीत न करें
  • लंबे जटिल पासवर्ड और गैर-मानक लॉगिन का उपयोग करें, समय-समय पर अपना परिवर्तन करें,
  • अद्यतनों की रिलीज़ के साथ समय पर अद्यतन स्क्रिप्ट,
  • एक घटक का चयन करते समय, खुली कमजोरियों की जांच करें,
  • स्क्रिप्ट फ़ाइलों और विशेष रूप से महत्वपूर्ण कॉन्फ़िगरेशन फ़ाइलों पर निगरानी की अनुमति,
  • एक वेब सर्वर के माध्यम से (उदाहरण के लिए, .htaccess और .ftpaccess) केवल आपके IP से एक्सेस करने की अनुमति देता है,
  • हां, स्क्रिप्ट लेखकों के कॉपीराइट को संरक्षित करना आवश्यक है, लेकिन उनके अनुसार, मॉड्यूल के एड्रेस बार के टुकड़े, हमलावर कमजोर साइटों की तलाश करते हैं - स्क्रिप्ट तक पहुंचने के लिए कम से कम मानक पते बदलते हैं,
  • बाह्य सेवाओं सहित समय-समय पर, साइट के विशिष्ट अनुभागों की उपलब्धता की जांच करें,
  • स्थानीय बैकअप साइटें हैं।

हमलावर को खोजने की संभावना का आकलन करने के बाद, आपको कानून प्रवर्तन एजेंसियों से संपर्क करना चाहिए।

पुनश्च: लेख पूरी तरह से पूरा होने का दिखावा नहीं करता है और आईटी गुरु पर केंद्रित नहीं है, निश्चित रूप से, अन्य साधनों का उपयोग किसी विशिष्ट सर्वर या साइट की लक्षित हैकिंग के लिए किया जा सकता है। मुझे अन्य उदाहरणों सहित, हेब्रोसोसिटी की टिप्पणियों द्वारा पूरक करने में खुशी होगी।
और संक्षेप में साइट को हैक करने की क्रियाओं के बारे में।

Pin
Send
Share
Send
Send