在处理的一些入侵应急响应事件中,我们发现有些网站被挂恶意页面达数月甚至数年之久,而在此期间管理员竟然毫无察觉。

黑客凭什么隐藏自己?

 

 

有时这并非是管理员的粗心大意,而是黑客过于狡猾。在了解了我之前所介绍的网页劫持手段后,我想你大概能了解这其中的缘由了,网页劫持能控制跳转控制页面呈现的内容,这便是难以被管理员发现的主要原因。

除此之外,寄生虫程序能够自动生成网页也使得其生存能力很强,不易被根除。其次我们在发现网站被挂恶意网页后,通常会登录服务器进行查看,而有时我们很难找到被非法篡改或者被恶意植入的脚本文件,因为此类型文件被黑客精心地隐藏了起来。

那么除了上述手段之外,黑客还有哪些手段来隐藏自身,使之生生不灭?

黑客凭什么隐藏自己?2

 

1. 网页劫持控制跳转

网页劫持中的控制跳转就是为了隐藏网站已被入侵的事实,让网站管理员不容易发现。

2. nginx二级目录反向代理技术

通过配置nginx/apache等中间件配置文件设置目录代理,将服务器上某个目录代理到自己搭建服务器上的某个目录。即浏览者在打开thief.one/2016/目录时,实际访问到的资源是自己服务器上的某个目录(目标服务器会去自己服务器上拿数据)。这种手法不需要修改目标服务器网站源码,只需要修改中间件配置文件,不易被删除也不易被发现。

 

 

 

3. 隐藏文件

给文件设置属性隐藏。我曾经遇到过此类事件,当时我们一个技术人员通过肉眼选择了服务器上一批web目录下的文件进行copy.而当我们对这些文件进行扫描时,并未发现任何异常,一切都变得匪夷所思。而最后的结果让我们哭笑不得,原来恶意文件被设置成了属性隐藏,通过肉眼观察的技术人员并没有将此文件copy下来,因此这也算是一种有效的障眼法。

黑客凭什么隐藏自己?3

 

4. 不死文件

不死文件指的是删除不了的webshell或者是非法页面文件(。html或者动态文件),此类事件在实际中没有遇到过,但理论上确实可行。设置畸形目录目录名中存在一个或多个多余代码。

该目录无法被手工删除,当然命令行可以删除。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-11-10 09:38:26
云安全 黑客如何知道企业的防火墙、VPN、Web应用的IP地址?
只要知道往哪儿找,互联网上满是个人和公司敏感信息。黑客常常将盗取的信息发布在公开网站上,通过“刮取”这些帖子内容,应用“开源情报(OSINT)”收集的方法,往往可以获 <详情>
2017-10-31 16:57:55
国际资讯 外媒:韩议员称朝鲜黑客侵入大宇造船数据中心
周二(10月31日)据外媒报道,韩国一反对党议员日内称,朝鲜可能于去年4月入侵大宇造船数据库后窃取了韩国的军舰设计图。 <详情>
2017-10-18 14:31:00
云资讯 必胜客官网遭入侵,支付卡信息可能泄露
过去的一周,美国必胜客通知顾客由于网站遭到临时入侵,他们的支付卡信息和联系信息可能被盗。必胜客餐厅向用户发送邮件称,这起事件是由于对 PizzaHut.com 的“临时安全入 <详情>
2017-10-17 11:48:05
互联网 黑客向数百万手机传病毒 却将这三座城列为"禁区"
今年7月,浙江平湖警方发现,辖区内有一批手机疑似被他人远程控制。经查,北京一家软件科技公司进入警方的视线,该团伙成员普遍学历高,不乏国内名牌大学高材生。为逃避公 <详情>
2017-10-16 13:47:15
云安全 凯悦酒店遭黑客攻击信息泄露 中国受影响酒店最多
酒店系统屡次成为黑客攻击的对象,让住客信息安全受到威胁。北京商报记者10月15日获悉,最近,全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,这也是自2016 <详情>