“拯救网站运维经理赵明”—纸上谈兵与草庐对策

此次攻击行为的分析

Web 服务器是一个企业开放性最强的地方，也是暴露安全问题最多的领域，因此容易成为攻击目标。赵明作为技术负责人，要扭转这种局面，就必须知道黑客是如何进入或者攻击Web 服务器的，掌握黑客入侵的手法才能建立对应的保护体系。 在进一步讨论之前，我们先看看这册 Web 服务器遭到入侵的分析。

脚本小子：大多数情况下，这些自动进行的攻击由黑客社区中技能水平最低的人来实施，这些人通常在黑客社区中并不具备较高的知识水平，但这并不意味他们不危险。当脚本小子获得一个向导性的工具，启动一个攻击，他们通常不了解这种行为的后果，如潜在地破坏系统或无意识地执行拒绝服务攻击（DoS）。这类人通常为一些网络新手，他们CGI界面的扫描程序或密码破解器（password cracker）并针对比较大的目标运行这些应用程序以寻求一些 “有趣” 的结果，而赵明负责的网站很有可能因为没有防火墙而成为结果中的一部分。

脚本小子可以利用工具，构建一个当前在线并且可访问的系统数据库，例如： Angry IP scanner 或 Nmap执行一个简单的 ping 扫描，以获得一个列表，然后使用 Nessus 和其他多种工具，利用漏洞数据库扫描发现的每个系统，发现漏洞并利用该漏洞。攻击者可以执行扫描。 一旦通过漏洞，获得了了系统控制权，这些攻击者会胡乱的搞一通，然后使用一项技术掩饰其踪迹或渗透行为的证据，但如果没有配套的删除日志的工具，他们也就暴露了痕迹。

但是在大多数情况下脚本小子不执行该步骤，这从赵明反应出日志被删除的事件可以看出来。因此，如果只针对此次攻击作分析，我认为攻击者的水平要高一些，或者是存在某些恶意商业性进攻。攻击者也很有可能在黑客社区中分享这个成果，这对于赵明来说，如果找不出问题的所在，必然要遭到更多的攻击。

防护架构与代码漏洞的分析

Web 服务器面临许多威胁，大部分威胁与系统中配置的应用程序、操作系统和环境有关，前面主要是操作系统和应用程序，而Web整体环境没有进行过安全检测，一样也会成为Web服务器的“坏邻居”。基本上，攻击赵明的黑客拥有了多个赵明不了解的技术和条件。例如，黑客可以通过探测扫描得到企业网络的完整基础设施，如下图。这样的网络结构如果暴露出来，每个服务器的弱点都可能被挖掘出来，这样就可以组织一次时间长久而又隐蔽的攻击，并且他的欲望也很强。  

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]