- 网络IT
-
黑客留下的网站后门能做什么?
时间:2022-01-28 02:00:06 作者:缘北 来源:小风教程网 阅读:273 评论:0内容摘要:今天来聊一聊服务器安全的问题。这几天一直在着手服务器攻防问题,修复一些漏洞,写代码的人真的要注意安全问题。千万不要相信用户的输入!今天用PHP代码展示一下危险。测试准备为了模拟,我在本地搭建了服务器环境,展示一个正常网站如何被攻击。首先修改电脑本地host文件。改了之后就可以用test.com虚拟域名访问本地文件了。文...今天来聊一聊服务器安全的问题。这几天一直在着手服务器攻防问题,修复一些漏洞,写代码的人真的要注意安全问题。千万不要相信用户的输入!今天用PHP 代码展示一下危险。
测试准备
为了模拟,我在本地搭建了服务器环境,展示一个正常网站如何被攻击。
首先修改电脑本地host文件。改了之后就可以用test.com虚拟域名访问本地文件了。文件目录在“C:\Windows\System32\drivers\etc”
网站目录很简单,如下:
在网站入口中,引用了数据库配置文件,然后输出一句话来模拟网站首页。
在数据库配置文件中,我参照当前流行的框架ThinkPHP数据库配置文件,返回一个数据库基本信息数组,包括数据库的端口和密码。
接下来就是我们的重头戏,黑客后门文件。
你可能会觉得,就这?就这几行代码能干什么?
开始模拟攻击
我们访问一下我们的网站
网站可以正常访问,没有任何问题
访问一下黑客文件,好像也没有问题
1、输出php版本信息
现在黑客已经知道你后台php版本,装了那些插件,数据库用的是什么数据库
2、网页重定向
可以跳转到 百度了,这表示,黑客已经搭好了一个运行代码的环境。现在通过你的网站,已经可以随便写一行代码都可以执行了
3、读取数据库配置信息
已经把你的密码什么的都弄到手了,你的网站什么数据,都可以修改了,怕不怕。甚至可以“删库跑路”!!
4、删除文件
看:1.txt文件被删除了
可以删除你网站上的文件了
5、修改文件
?config= // 读取数据库配置文件 $info=file_get_contents("Conf/db.php"); // 设置很多个换行符号 $change=str_repeat("\r\n",50); // 用空格代替<?php $file= str_replace("<?php","",$info); // 你想添加的任何功能都可以写在下面 $extCode="header('location:http://www.baidu.com');"; ... // 最后组合起来,保存回去 file_put_contents("Conf/db.php","<?php".$change.$extCode.$file);
来看看你的db.php文件是怎么改变的
在文件头加入很多换行,你以为文件是空的,其实他已经在文件里加入一行跳转代码,无论别人怎么访问你的网站.都会跳到他写的网站去
攻击 End
看完是不是大吃一惊?别慌:我们要如何防备呢?
- 不要相信用户的输入!不要相信用户的输入!不要相信用户的输入!
- 在获取用户输入前一定要做过滤处理;
- 在服务器上,设置文件的权限,不要每个文件都可以执行脚本权限;
- 或者增加防篡改功能;
- 或者修改你服务器的安全组,修改22,21等默认端口,不要端口全开;
- 对整个站点进行扫描木马。
网站不盈利不挣钱,若有侵犯你的利益请联系删除,给你带来的不便,我们非常重视版权问题
#免责声明#
【声明】:缘北网(https://52ybkj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱1665545192@qq.com,我们会在最短的时间内进行处理。
【声明】 本站提供的一切软件、教程和内容文章信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!
本站资源均从互联网上收集,仅供学习和交流使用;请遵循相关法律法规;
本站一切资源不代表本站立场,如有侵权、后门、不妥,请联系删除,敬请谅解!本站所有文章,软件,源码,来源 互联网的搬运收集,只提供学习教程,请勿非法使用,后果自负!
不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。敬请谅解!
- 相关文章
-
-
06-11互站卖180元的fz网站源码
-
01-28Seo优化|网站外链发布工具|免费蜘蛛池
-
01-07七夕黑客黑猫博客
-
01-07关于王者荣耀玩家被钓鱼网站盗号防范知识
-
01-06小姐姐写Z网站源码自带数据
-
01-06在线放烟花网站源码
-
12-31公司网站发展史
-
12-31高仿腾讯视频网站源码自动采集观看免会员看电影
-
- 相关评论
- 本栏最新更新
-
-
01-31您的密码是如何落入坏人之手的?
-
01-28又酷又有趣!网络安全领域即将出现的新职业
-
01-20一文解读数据安全法规
-
01-12福布斯:组织为2023年制定的六项网络安全预测
-
01-12Kinsing Crypto恶意软件通过错误配置的PostgreSQL攻击Kubernetes集群
-
01-10聊聊物流业的网络安全
-
01-10全球知名汽车品牌全面沦陷,API应用安全再次敲响警钟!
-
12-02如何为快速变化的世界做好安全准备
-
12-02SaaS蔓延:含义、危害、现状及缓解方案
-
11-02多因素身份验证疲劳攻击:如何保护用户?
-
- 本栏推荐