25.05.2009, 01:07 | #1 |
Бессмертный
|
взломать сайт
Существуют ли методы взлома сайта? Нужно взломать ФТП одного сайта, реально ли?
|
26.05.2009, 20:05 | #2 |
Бессмертный
|
Ответ: взломать сайт
Как взломать сервер
Нередко встречаются в сети, на разных форумах, истории, где юные "хакеры" хвастаются о том, как они взломали очередной сервер. Чаще всего, такие сказки вызывают улыбку, поскольку взлом сервера описываемыми методами давным-давно практически невозможен... Но сервера взламывают и сейчас, а значит есть методы - методы о которых пойдет речь в данной статье. Данная статья не будет для вас учебным пособием по взлому серверов. Предоставленная здесь информация полезна скорее для защиты как сайта, так и сервера, однако используя эту информацию можно не только защитить, но и взломать сервер. Опять же, не ждите точных инструкций - информация представлена в довольно сжатом виде и больше для общей, так-сказать, эрудиции. Существует множество путей для взлома, и выбор конкретного пути скорее зависит от цели. Здесь будет рассмотрено всего лишь несколько примеров из большого количества вариантов. Вариант первый - если нужен любой хостинговый аккаунт. Наиболее часто, такие варианты используются для спама или для других нелегальных действий с чужого сервера. Самое простое, что можно сделать - найти недавно появившийся мелкий хостинг с Cpanel. Почему недавно появившийся и мелкий - всё банально просто, есть шанс что админ не достаточно опытный и не закрыл дыру, которая буквально несколько месяцев назад была открыта чуть-ли не на любом существующем хостинге. Дыра заключается в демо-аккаунте Cpanel. Если хостер предоставляет демо-доступ к своей Cpanel, то используя логин и пароль для демо-логина в панель, вы соединяетесь с FTP-сервером хостера. Если авторизироваться удалось - полдела сделано. Далее вы заливаете любой свой php-скрипт в папку /public_html/. Если и это получилось, то осталось последнее - запустить скрипт. Для этого набираете домен хостера/~демо-логин/название вашего скрипта. Например, для хостера hoster.tu, демо-логина demo и скрипта script.php, это будет выглядеть так Если скрипт запустился - аккаунт в вашем распоряжении, можете делать с ним что захотите... Автор данной статьи именно таким образом "взломал" сервер одного из знакомых достаточно крупных хостинг-провайдеров, но только с целью выявить эту уязвимость и сообщить о ней администратору сервера. Закрыть эту дыру достаточно просто, для этого существует несколько вариантов. 1. Использовать "псевдо-панель", т.е. скопировать страницу Cpanel, удалить из неё все ссылки и выставить на сайте в качестве образца. 2. Запретить на сервере просмотр содержимого других пользователей через конструкцию /~пользователь 3. Самый грамотный на мой взгляд - запретить авторизацию через FTP для демо-аккаунта. Другой способ получения хостингового аккаунта, самый "прибыльный" и самый эффективный - это распространение "модифицированных скриптов". От этого способа, пожалуй, нет хорошей защиты. Идея в том, что вы берете известные, широко распространяемые скрипты и модифицируете их код таким образом, что бы через любую установленную копию модифицированного скрипта, можно было загрузить на сервер собственные файлы. Для этого добавляется обычно всего две функции: первая - посе установки, скрипт должен сообщить вам адрес, на который он установлен вторая - при вводе определенного GET-запроса, скрипт должен скопировать указанный вами в GET-запросе файл на сервер (в качестве файла может использоваться ваш php-скрипт). Модифицированный скрипт можно распространять в Интернет и при грамотном распространении, уже через пару месяцев, в вашем распоряжении будет немалое количество "ваших" серверов, с правами на уровне скриптов отдельного акаунта. Защититься от этого на 100% можно только используя самописные скрипты, либо пользуясь только популярными известными скриптами и скачивая их только с официальных сайтов. Существует множество других способов получения "случайных" хостинговых аккаунтов. Рассмотрены здесь они не будут, поскольку автор не ставил своей целью создать эдакое учебное пособие "Как взломать сервер", а попытался лишь показать, насколько неочевидными и простыми могут быть пути и как далеки они от легендарных взломов "брутофорсом". Эффективность как защиты, так и нападения зависит исключительно от умения нестандартно мыслить. В этой статье мы рассматривали методы взлома неконкретных ("случайных") серверов, с получением доступа на уровне пользователей В следующей статье, речь пойдет о том, как взломать конкретный сервер - о методах взлома и защиты конкретных сетевых целей. |
Метки |
взлом, сайт |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
Опции просмотра | |
|
|