我们都知道互联网上总是存在安全问题,比如DDOS攻击、域名劫持、木马控制主机、网页篡改、网络钓鱼等。其中,域名劫持对网站的影响和危害最大。搜索引擎是我们日常网络信息检索的重要工具。你只需要输入关键词就可以检索到所需的信息。这些信息其实是搜索引擎对网站的快照,而快照本身其实是有安全问题的。所以我们会发现一些网站快照的标题和描述其实和网站本身是不一样的。在这篇文章中,我将分析和总结域名劫持的一些原因和对策。
** 1.域名劫持* *
目前,提供搜索引擎服务的产品有很多,如Google、搜狗、有道等。,它们的应用技术也大相径庭。核心技术一般被认为是公司的技术秘密,我们不知道,但都有一个数据快照,存储在搜索引擎服务器上。当用户输入关键字时,搜索引擎通过搜索功能在快照服务器上进行搜索,并根据包含的时间或其他索引对结果进行排序和列出,为用户提供信息。
但在使用过程中,如果某网站被植入木马程序,则显示搜索结果中的网站名称和域名与实际情况一致。打开这个网站,前1 ~ 2秒是网站域名的解析,没有异常。但是又过了一秒左右,出现的网站是其他网站或者非法网站,域名解析的ip地址完全正确,没有任何异常。
类似的问题也会发生,也就是常说的“域名劫持”。这有很多原因。随着互联网在人们社会生活中的日益普及,网络环境变得更加复杂多变。这种现象警示站长必须高度重视网络安全,不断提高应对新的安全威胁的能力。
** 2.注射代码* *
注入代码、植入木马文件是黑客常用的手段。在注入代码时,当注入的文件被任何浏览器访问时,这个注入的代码就开始工作了。利用系统的FSO功能,形成一个木马文件,然后黑客利用这个木马文件控制服务器,而不仅仅是网页所在的文件夹。当然,有些黑客并不需要控制服务器,只是在网页文件中注入一些黑色链接。打开网站时不会有任何多余的内容,只是打开速度比正常情况慢了很多倍,因为整个网站要等这些黑链接全部生效后才能完全打开。如果是黑链接,只需要清除即可,但是如果文件被植入了木马或者字符,就很难找到了。
** 3.主要特点* *
反复查找原因后,发现了域名劫持的主要特征。对黑客植入的字符进行分析后发现,他们使用了“window.location.href'js”语句,也会导致网站管理无法登录。管理员在登录窗口输入用户名和密码后,用户的一些信息一般会通过会话传递给其他文件使用,但是“window,location.href”语句使得认证链接无法实现。用户表单无法正常提交到验证文件。如果验证码被系统使用,“window . location . href’”语句可以使验证码失效,输入的验证码无效,导致网站无法正常登录。
* *这些功能主要有几个特点:* *
隐蔽性强
生成的木马文件名与web系统的文件名非常相似。如果从文件名识别,根本无法判断。而且这些文件通常放在Web文件夹下的很多子文件夹里,管理员根本找不到。文件中嵌入的字符也非常隐蔽,只有几个字符,一般是检测不出来的。
强大的技术
充分利用MSWindows的特点,将文件存储在文件夹中,并对文件进行特殊字符处理。正常的方法是不能删除和复制的,有的甚至看不到。只是在这个文件夹中检测到了木马文件,但是无法查看,甚至无法删除和复制。
有害的
如果一个网站被植入了木马或者字符,整个服务器完全被黑客控制,可以认为是毁灭性的。然而,这些黑客的目的并不是破坏系统,而是利用web服务器劫持他们想要显示的网站。因此,如果一些网站被劫持,就会被转移到一些非法网站,造成不良后果。
** 4、应对方法**
通过原因分析,主要是获取网站服务器的文件和文件夹的读写权限。针对问题产生的主要原因和途径,利用服务器的安全设置,提高网站程序的安全性,可以预防和消除域名劫持问题。
加强网站的反SQL注入功能
SQL注入是一种利用SQL语句的特性将内容写入数据库,从而获得权限的方法。访问MSSQLServer数据库时,不要使用大权限的sa默认用户,而是建立一个只访问本系统数据库的专用用户,并配置为系统要求的最小权限。
配置网站文件夹和文件操作权限。
在Windows的网络操作系统中,超级管理员权限用于配置网站文件和文件夹的权限,且大多设置为读权限,所以写权限要慎用。如果不能获得超级管理员的权限,木马程序就无法扎根,网站域名劫持的可能性就可以降低很多。
检查事件管理器以清除网站中的可疑文件。
Windows的网络操作系统中有一个事件管理器。无论黑客如何获得操作权限,事件管理者都能看到异常。通过异常事件和日期,找出网站中该日期文件的变化。对于可执行文件,需要检查代码是否被注入或修改,清理新增的可执行文件。
