攻击者利用托管服务的4种方式:管理员需要了解的内容

攻击者要么通过网络钓鱼活动将管理员的目标锁定为托管服务,要么利用设置它们时所犯的错误。这里'要注意什么。

云安全数据泄露犯罪可访问
Thinkstock

人们相信,经验丰富的IT专业人员可以免受在线骗子的攻击,这些骗子主要是从易受骗的家庭用户中受益。但是,大量的网络攻击者将虚拟服务器管理员及其管理的服务作为攻击目标。这是管理员需要注意的一些骗局和利用。

有针对性的网络钓鱼电子邮件

喝咖啡时,您打开笔记本电脑并启动电子邮件客户端。在例行消息中,您会看到托管服务提供商的来信,提醒您再次支付托管计划的费用。这是假期(或其他原因),如果您现在付款,该消息将提供很大的折扣。

您单击链接,如果幸运的话,您会发现问题。是的,这封信看起来无害。看起来就像您的托管服务提供商以前提供的官方消息一样。使用相同的字体,并且发件人的地址正确。甚至与隐私政策,个人数据处理规则以及其他任何人都没有读过的废话的链接都在正确的位置。

同时,管理面板网址与实际网址略有不同,并且SSL证书引起了一些怀疑。哦,那是一个 网络钓鱼 尝试?

旨在拦截涉及伪造管理面板的登录凭据的此类攻击最近变得很普遍。您可以责怪服务提供商泄露客户数据,但不要急于下结论。对于有动机的网络骗子来说,获取有关由特定公司托管的网站的管理员的信息并不困难。

要获取电子邮件模板,黑客只需在服务提供商的网站上注册。此外,许多公司提供试用期。以后,恶意分子可以使用任何HTML编辑器来更改电子邮件内容。

找到特定主机提供商使用的IP地址范围也不难。为此目的已经创建了很多服务。然后有可能 获取清单 所有网站的共享主机的每个IP地址。仅使用Cloudflare的提供商会出现问题。

之后,骗子从网站收集电子邮件地址并通过添加流行的值(例如管理员,管理员,联系方式或信息)来生成邮件列表。使用Python脚本或使用其中一个程序进行自动电子邮件收集,可以轻松实现此过程的自动化。卡利爱好者可以使用 收割者 为此,请稍作调整。

一系列实用程序使您不仅可以找到管理员的电子邮件地址,还可以找到域注册商的名称。在这种情况下,通常会要求管理员通过将域名重定向到伪造的付款系统页面来为域名更新付费。注意到这一技巧并不难,但是如果您感到疲倦或急忙,就有机会被困住。

保护免受各种网络钓鱼攻击并不困难。启用多因素授权,以登录到主机控制面板,在管理面板页面中添加书签,当然,请保持专注。

利用CMS安装脚本和服务文件夹

谁最近不使用内容管理系统(CMS)?许多托管服务提供商提供了从容器中快速部署最流行的CMS引擎(例如WordPress,Drupal或Joomla)的服务。一键单击主机控制面板中的按钮,即可完成操作。

但是,某些管理员更喜欢手动配置CMS,从开发人员的站点下载发行版,然后通过FTP将其上传到服务器。对于某些人来说,这种方式更熟悉,更可靠,并且与管理员的风水保持一致。但是,他们有时会忘记删除安装脚本和服务文件夹。

大家都知道,在安装引擎时,WordPress安装脚本位于wp-admin / install.php。使用 Google Dorks,诈骗者可以为此路径获得许多搜索结果。搜索结果将充满讨论WordPress技术故障的论坛链接,但深入研究堆可以找到允许您更改网站设置的工作选项。

可以使用以下查询来查看WordPress中脚本的结构:

inurl: repair.php?repair=1

通过使用查询搜索被遗忘的脚本,还有机会找到很多有趣的东西:

inurl:phpinfo.php

可以使用诸如intitle:Joomla之类的网页的特征标题找到用于安装流行的Joomla引擎的工作脚本。 Web安装程序。如果您正确使用特殊的搜索运算符,则可以找到未完成的安装或忘记的服务脚本,并帮助不幸的所有者在CMS中创建新的管理员帐户时完成CMS的安装。

为了阻止此类攻击,管理员应清理服务器文件夹或使用容器化。后者通常更安全。

CMS配置错误

黑客还可以搜索其他虚拟主机的安全问题。例如,他们可以寻找配置缺陷或默认配置。 WordPress,Joomla和其他CMS通常具有大量 外挂程式 具有已知的漏洞。

首先,攻击者可能会尝试查找主机上安装的CMS版本。对于WordPress,可以通过检查页面代码并查找诸如<meta name =“ generator” content =“ WordPress 5.2.5” />。可以通过查找诸如http://_websiteurl/wp-content/themes/theme_name/css/main.css?ver = 5.7.2之类的行来获得WordPress主题的版本。

然后骗子可以搜索感兴趣的插件的版本。其中许多包含自述文本文件,该文件位于http://_websiteurl/wp-content/plugins/plugin_name/readme.txt。

安装插件后立即删除此类文件,不要将它们留在好奇的研究人员可以使用的托管帐户中。一旦知道了CMS,主题和插件的版本,黑客就可以尝试利用已知的漏洞。

On some WordPress sites, attackers can find the name of the administrator by adding a string like /?author=1. With the default settings in place, the engine will return the URL with the valid account name of the first user, often with administrator rights. Having the account name, hackers may try to use the 蛮力攻击.

许多网站管理员有时会将一些目录留给陌生人使用。在WordPress中,通常可以找到以下文件夹:

/ wp-content / themes

/ wp-content / 外挂程式

/ wp-content / uploads

There is absolutely no need to allow outsiders to see them as these folders can contain critical information, including confidential information. Deny access to service folders by placing an empty index.html file in the root of each directory (or add the Options All -Indexes line to the site's .htaccess). Many hosting providers have this option set by default.

谨慎使用chmod命令,尤其是在向一堆子目录授予写和脚本执行权限时。这种轻率行动的后果可能是最意外的。

忘记帐号

几个月前,一家公司来找我。他们的网站将访客重定向到诸如 搜索侯爵 每天都没有明显的原因。从备份还原服务器文件夹的内容没有帮助。几天后,坏事不断发生。在脚本中搜索漏洞和后门程序也一无所获。该网站管理员喝了几升咖啡,然后将头撞在服务器机架上。

只有对服务器日志进行详细分析才能找到真正的原因。问题是一位被解雇的员工很久以前创建的一个“被遗弃的” FTP访问,该员工知道托管控制面板的密码,显然,他对解雇不满意,于是决定向他的前老板报仇。删除了所有不必要的FTP之后帐户和更改所有密码后,讨厌的问题消失了。

始终保持谨慎和警觉

网站所有者在争取安全性方面的主要武器是谨慎,谨慎和专心。您可以并且应该使用托管服务提供商的服务,但不要盲目地信任它们。为了安全起见,无论开箱即用的解决方案看起来多么可靠,您都需要亲自检查站点配置中最典型的漏洞。然后,以防万一,再次检查所有内容。

有关:

版权© 2021 IDG通讯,Inc.