扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNET至顶网安全频道 2月9日 北京报道(文/Grant):昨日,瑞星发布《2011年度企业安全报告》,报告对2011年的企业安全形势作出全面总结,其中重点剖析了对2011造成极大影响的“拖库攻击”。
“‘拖库’本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。”瑞星安全专家王占涛说到。
“拖库”的通常步骤为:第一,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。
第二,通过该漏洞在网站服务器上建立“后门(webshell)”,通过该后门获取服务器操作系统的权限。
第三,利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。
黑客“拖库”攻击的常用方法
王占涛表示,根据瑞星互联网攻防实验室的统计,目前针对服务器端的黑客攻击,主要分为漏洞利用、弱口令及默认配置利用、远程运维风险、内部运营疏忽等。
1、漏洞利用是最容易出问题的大类。由于Web应用的开放性,Web应用程序越来越多,其带来的安全漏洞必然会随之增加,而且这些漏洞通过传统的网络安全设备无法识别,使得企业即使配置了传统的防火墙等设备,也无法阻止黑客针对这些漏洞的攻击。
2、弱口令和默认配置带来的危险。由于安全涉及到的软硬件设备非常庞大,包括操作系统、数据库、应用程序、路由器、移动终端等等,几乎所有的部分都可能有默认密码、默认账户权限等,如果安装部署的时候未改动,这些默认密码和设置就会被黑客利用,进而发动攻击。
3、远程运维风险。事实上,很多企业、网站都会给员工开通远程维护权限,比如网络编辑可以在家里发布文章、网络管理员可以远程维护服务器,由于在远程维护中涉及到多个环节,根本没办法做到像公司环境下那样的安全。例如,家里使用的PC经常会上不同的网站,可能被木马入侵,而公司里只允许安装商业程序的PC相对而言就会好很多。在这种情况下,远程运维就会存在一定风险。
4、内部运营风险。这包括内部员工的权限分配疏忽、不适当地服务器维护制度、数据库备份被滥用等等。事实上,CSDN外泄的数据库,就是因为未曾加密的数据库备份被放在服务器上,使得黑客可以进行直接下载。
不同数据泄露带来的多种攻击危害
企业分为多种类型,“拖库”成功之后,黑客会对数据库进行深加工处理。王占涛表示,黑客根据其实用程度、透露信息的多少出售给相关需求方,各种数据的利用方式是不同的。
· 媒体型互联网站如果到拖库攻击,泄漏的是邮箱账户和密码的组合。这样的数据库,黑客通常会利用其猜测其它网站的密码,或者收集邮箱账户做成数据库,卖给垃圾邮件发送者。
· SNS网站会有较多的个人信息,黑客可以利用这些资料进行网络诈骗、网络钓鱼、“QQ借钱诈骗”等。
· 电商网站的数据库主要包含了用户的购买行为、住址、手机号、支付账号等信息,主要用于网络诈骗、网络营销等。黑客可以攻击大型网站,将那些具有购买能力、经常购物的用户资料出售给其竞争对手。
· 旅行、酒店类网站的数据更加全面,由于我国的酒店业要求身份证登记,所以一旦数据库外泄,会造成几乎所有的个人隐私曝光。
· 银行和证券类网站属于安全等级较高的类型,他们一旦出现安全漏洞,在短时间内就会被黑客疯狂利用,造成巨大的金额损失。
· 还有一类专门针对企业内部网络数据库的攻击,尽管有些单位采用了“核心业务与互联网物理隔离”的方式预防黑客攻击,但该网在有些情况下对公众有限度开放,尤其是带有WIFI节点的网络,极其容易遭到黑客通过WIFI接入企业内网,窃取内网数据库。
企业应对“拖库”攻击
王占涛表示,针对上述风险,应对企业传统安全产品、流程及运营进行全方位改造,以适应越来越恶劣的安全形势。
1、企业安全涉及多个部分,包括操作系统、数据库、WEB应用等软件,也包括服务器、路由器、网关等硬件,在部署如此庞杂繁复的IT系统时,应把安全作为首要考虑因素。
2、安全管理的动态化和长期化。作为整个系统中最薄弱的环节,应用安全是最需要网络管理者关注的部分。网络管理者应该把安全管理作为一种动态的行为,从系统建设开始生命周期,风险评估、安全加固、风险审计应该贯穿于整个过程中。
3、利用自动化工具来提升安全检测效率。对网站密码库的安全性进行深度检测,扫描包括SQL注入、弱口令、XSS跨站攻击等弱点,并给出专业的分析报告和修复建议,帮助网站保护用户密码库。
4、在关键业务模块和核心领域,应做专业安全风险检测。在关键业务启动前,可以先由专业团队进行渗透性攻击测试,根据测试结果优化安全管理流程,对于容错性、安全风险等做出全面评估和修改。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者