最近我们总能听到,某某国家重要的网页被黑,关键数据被窃取,被加密索要赎金。那么黑客是一般是怎么攻陷服务器或者计算机的。
以网易官网为例吧
www.163.com
这个官网位于网易机房的某个服务器上,或者托管到了公有云上的某个虚拟机上。这个服务器或者虚拟机的网卡地址一般都是私有地址,比如192.168.1.1。那么黑客是怎么攻击到这个服务器呢?
首先先看一下正常的访问是怎么样的,我们访问投票连接,经过域名解析后,变为了一个公网地址:121.29.46.125
这个地址是网易的公网地址,一般都配置在防火墙上,请求到了防火墙后会做NAT地址转换,请求的目的地址就变成了服务器的内网地址。
所以服务器如果是银行的一个保险柜,那么这个公网地址就是强盗要爆破的大门了。所有人都从大门进去,包括正常人和黑客。
这就是攻击的第一步,确定入口,即攻击地址和开放端口。
端口是网络协议中传输层的一个概念,不同的端口对应着不同的应用程序。我们通过网页连接访问的是80和443端口。但是不代表他只开放了这些,端口范围从1到65535都有。黑客就会用特殊的工具进行探测,看看哪些端口是开着的。
这就相当于小偷踩点。
当然我们的安全设备也不是吃干饭的,当我们发现了有探测端口行为的时候就会把这个IP自动拉入黑名单。那黑客只能换一个IP重新踩点了。
第二步,识别程序
找到了开放的端口后,黑客就知道服务器提供了哪些服务了。
很多端口都会固定提供某种服务。比如80说明提供了web服务。53就是个DNS服务器。3306就是个MySQL服务器。
再进一步,还能识别服务的种类版本,比如通过80口,黑客继续发http请求。从服务器回复的数据包里,就能知道这个服务器是nginx还是apache。
这就相当于掌握了作案对象的个人情报,日常作息规律,方便日后下手。
第三步,漏洞攻击
只要是软件,不管版本多新,设计的多精妙,都是有漏洞的。操作系统有漏洞,运行在上面的软件也有漏洞。一般漏洞纰漏出来,厂家就会发布补丁或者新的版本,把漏洞修复。但是总会有来不及打补丁或者漏洞没有被即使修复的情况。这时候黑客就会利用漏洞去攻击服务器。
通过漏洞成功入侵到服务器web服务后,黑客就可以开始搞破坏了。让web执行一些自己的代码,或者挂上其他网页的连接。
这时候我们再登录这个网页链接的时候,可能浏览器会显示一些黑客自定义的内容,
再或者直接跳转到什么澳门赌博网站了。。。
但是这种破坏还是有限,因为即使web服务的权限很低,黑客只能在web服务的范围内搞一搞,如果想干票大,那还得再进一步,进到操作系统层面。
第四步,权限提升
黑客利用操作系统的漏洞,可以提升自己的权限,比如root权限,这时候服务器的所有文件都能访问,所有操作都能执行,从而为所欲为。
第五步,开始搞破坏
如果是一个窃密的黑客,它会偷偷把你的重要文件给传输出去。
如果是一个搞破坏的,它还会篡改数据,黑掉网站。
如果是一个为钱来的,它还会加密你的文件,索要赎金。
如果是一个挖矿的,那他可以植入挖矿进程,大大占据你的硬件资源
还有些高级攻击的木马,并不会立刻对你的计算机做什么破坏,而是潜伏起来,躲在某个角落等待被唤醒。
以上就是黑客的套路,针对这些路数,只要我们针对性的做好防御,就能防患于未然:
防火墙记得开启,关闭不必要的端口。减小暴露面积
软件及时打补丁,有漏洞即使修复。
重要数据定时备份,数据被加密了,咱们也不用去付高额的赎金。
安装杀毒软件,定期杀毒,监控cpu和内存变化。