Gli attacchi ai server si verificano ogni giorno. Gli hacker sono a conoscenza di centinaia di scappatoie attraverso le quali è possibile ottenere l'uno o l'altro livello di accesso al server. In alcuni casi, le vulnerabilità consentono di accedere ai dati riservati degli utenti e talvolta l'hacker ottiene il pieno controllo della risorsa. Come proteggersi dagli attacchi degli hacker?
Istruzioni
Passo 1
Per proteggere il tuo server dall'hacking, devi conoscere i metodi di base degli attacchi degli hacker. Chiudendo possibili scappatoie, aumenti significativamente la sicurezza della tua risorsa. Tutto quanto segue non interessa agli hacker (lo sanno tutti molto bene), ma può essere utile ai proprietari di server.
Passo 2
Come viene attaccato il server? Prima di tutto, un hacker cerca di capire quale software è installato su di lui. Per fare ciò, può aprire un sito situato sul server e inserire una richiesta errata. In risposta a tale richiesta, un server configurato in modo errato emette un messaggio di errore e lo accompagna con qualcosa del genere: Apache / 2.2.14 (Unix) mod_ssl / 2.2.14 OpenSSL / 0.9.8e-fips-rhel5 mod_auth_passthrough / 2.1 mod_bwlimited / 1.4 FrontPage / 5.0.2.2635 Server su www.servername.com Porta 80.
Passaggio 3
Per un hacker, le informazioni di cui sopra possono essere molto utili: vede la versione del server HTTP installato (Apache / 2.2.14) e le versioni di altri programmi e servizi. Ora può cercare exploit (codici dannosi) per vulnerabilità nelle versioni di questi servizi. E se l'amministratore di sistema non ha chiuso le scappatoie esistenti, l'hacker sarà in grado di accedere al computer. Un server correttamente configurato non dovrebbe fornire informazioni dettagliate su se stesso o potrebbe visualizzare informazioni deliberatamente distorte.
Passaggio 4
Uno dei modi più semplici per hackerare, dando spesso risultati, è visualizzare le cartelle sul server. Molto spesso, gli amministratori dimenticano di impostare i diritti per visualizzarli, quindi un hacker, avendo determinato la struttura del sito con l'aiuto di utilità appropriate, apre facilmente le cartelle che non sono destinate alla visualizzazione. Se l'amministratore è un principiante, un hacker può trovare molte informazioni utili in tali cartelle. Ad esempio, login e password dell'amministratore. La password è solitamente crittografata con l'algoritmo md5, ma ci sono molti servizi sulla rete da decifrare. Di conseguenza, l'hacker ottiene il controllo completo del sito. Conclusione: imposta i diritti per leggere file e aprire cartelle.
Passaggio 5
Molto spesso, gli hacker entrano nei database utilizzando le vulnerabilità sql trovate. Esistono utilità speciali che facilitano notevolmente il "lavoro" di un hacker. Con il loro aiuto, in pochi minuti, viene determinata la presenza di una vulnerabilità, quindi viene determinato il nome del database, vengono calcolate tabelle e colonne, dopodiché l'hacker ottiene pieno accesso alle informazioni memorizzate nel database, ad esempio, login e password, dati della carta di credito, ecc.
Passaggio 6
Assicurati di testare le tue risorse per le vulnerabilità sql, per questo puoi usare programmi di hacker. Ad esempio, NetDeviLz SQL Scanner. Inserisci l'indirizzo del tuo sito nel programma, fai clic sul pulsante. Se c'è una vulnerabilità, l'indirizzo del sito apparirà nella finestra in basso.
Passaggio 7
È abbastanza comune per un amministratore utilizzare una password molto semplice e facile da indovinare. Per questo vengono utilizzati programmi speciali: brute-forcer, che raccolgono una password utilizzando dizionari o utilizzando algoritmi speciali. La tua password deve essere lunga almeno 8 caratteri, inserita in casi diversi e includere lettere, numeri e caratteri speciali - @, $, ecc.
Passaggio 8
Controlla le tue risorse per le vulnerabilità XSS, sono molto comuni. Utilizzando una tale scappatoia, un hacker può ottenere i tuoi cookie. Sostituendoli al suo posto, entrerà facilmente nel sito sotto il tuo account. Per controllare la tua risorsa per possibili vulnerabilità, usa un programma completamente legale XSpider.
