Форум города Днепр (Днепропетровска)
Форум города Днепр

Вернуться   Форум города Днепр (Днепропетровска) > КОМПЬЮТЕРЫ и программы > Программы и ОС

Программы и ОС Ищем программы, лекарства

Ответ
 
Опции темы Опции просмотра
Старый 25.05.2009, 01:07   #1
Ковтяжка
Бессмертный
 
Аватар для Ковтяжка
 
Регистрация: 22.05.2008
Сообщений: 2,042
Сказал(а) спасибо: 15
Поблагодарили 6 раз(а) в 6 сообщениях
Вес репутации: 330
Ковтяжка на пути к лучшему
Вопрос взломать сайт

Существуют ли методы взлома сайта? Нужно взломать ФТП одного сайта, реально ли?
Ковтяжка вне форума   Ответить с цитированием
Старый 26.05.2009, 20:05   #2
Strelok
Бессмертный
 
Аватар для Strelok
 
Регистрация: 22.01.2009
Адрес: Ф жДуНгЛяХ
Сообщений: 1,388
Сказал(а) спасибо: 134
Поблагодарили 614 раз(а) в 333 сообщениях
Настроение: Angelic
Вес репутации: 370
Strelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспоримаStrelok репутация неоспорима
По умолчанию Ответ: взломать сайт

Как взломать сервер

Нередко встречаются в сети, на разных форумах, истории, где юные "хакеры" хвастаются о том, как они взломали очередной сервер.
Чаще всего, такие сказки вызывают улыбку, поскольку взлом сервера описываемыми методами давным-давно практически невозможен... Но сервера взламывают и сейчас, а значит есть методы - методы о которых пойдет речь в данной статье.

Данная статья не будет для вас учебным пособием по взлому серверов. Предоставленная здесь информация полезна скорее для защиты как сайта, так и сервера, однако используя эту информацию можно не только защитить, но и взломать сервер.
Опять же, не ждите точных инструкций - информация представлена в довольно сжатом виде и больше для общей, так-сказать, эрудиции.

Существует множество путей для взлома, и выбор конкретного пути скорее зависит от цели.
Здесь будет рассмотрено всего лишь несколько примеров из большого количества вариантов.

Вариант первый - если нужен любой хостинговый аккаунт.
Наиболее часто, такие варианты используются для спама или для других нелегальных действий с чужого сервера.
Самое простое, что можно сделать - найти недавно появившийся мелкий хостинг с Cpanel.
Почему недавно появившийся и мелкий - всё банально просто, есть шанс что админ не достаточно опытный и не закрыл дыру, которая буквально несколько месяцев назад была открыта чуть-ли не на любом существующем хостинге.
Дыра заключается в демо-аккаунте Cpanel.
Если хостер предоставляет демо-доступ к своей Cpanel, то используя логин и пароль для демо-логина в панель, вы соединяетесь с FTP-сервером хостера.
Если авторизироваться удалось - полдела сделано.
Далее вы заливаете любой свой php-скрипт в папку /public_html/.
Если и это получилось, то осталось последнее - запустить скрипт.
Для этого набираете домен хостера/~демо-логин/название вашего скрипта.

Например, для хостера hoster.tu, демо-логина demo и скрипта script.php, это будет выглядеть так
http://hoster.tu/~demo/script.php
Если скрипт запустился - аккаунт в вашем распоряжении, можете делать с ним что захотите...

Автор данной статьи именно таким образом "взломал" сервер одного из знакомых достаточно крупных хостинг-провайдеров, но только с целью выявить эту уязвимость и сообщить о ней администратору сервера.

Закрыть эту дыру достаточно просто, для этого существует несколько вариантов.
1. Использовать "псевдо-панель", т.е. скопировать страницу Cpanel, удалить из неё все ссылки и выставить на сайте в качестве образца.
2. Запретить на сервере просмотр содержимого других пользователей через конструкцию /~пользователь
3. Самый грамотный на мой взгляд - запретить авторизацию через FTP для демо-аккаунта.


Другой способ получения хостингового аккаунта, самый "прибыльный" и самый эффективный - это распространение "модифицированных скриптов". От этого способа, пожалуй, нет хорошей защиты.
Идея в том, что вы берете известные, широко распространяемые скрипты и модифицируете их код таким образом, что бы через любую установленную копию модифицированного скрипта, можно было загрузить на сервер собственные файлы.
Для этого добавляется обычно всего две функции:
первая - посе установки, скрипт должен сообщить вам адрес, на который он установлен
вторая - при вводе определенного GET-запроса, скрипт должен скопировать указанный вами в GET-запросе файл на сервер (в качестве файла может использоваться ваш php-скрипт).
Модифицированный скрипт можно распространять в Интернет и при грамотном распространении, уже через пару месяцев, в вашем распоряжении будет немалое количество "ваших" серверов, с правами на уровне скриптов отдельного акаунта.

Защититься от этого на 100% можно только используя самописные скрипты, либо пользуясь только популярными известными скриптами и скачивая их только с официальных сайтов.

Существует множество других способов получения "случайных" хостинговых аккаунтов. Рассмотрены здесь они не будут, поскольку автор не ставил своей целью создать эдакое учебное пособие "Как взломать сервер", а попытался лишь показать, насколько неочевидными и простыми могут быть пути и как далеки они от легендарных взломов "брутофорсом".
Эффективность как защиты, так и нападения зависит исключительно от умения нестандартно мыслить.

В этой статье мы рассматривали методы взлома неконкретных ("случайных") серверов, с получением доступа на уровне пользователей
В следующей статье, речь пойдет о том, как взломать конкретный сервер - о методах взлома и защиты конкретных сетевых целей.

Источник
__________________
Strelok вне форума   Ответить с цитированием
Ответ

Метки
взлом, сайт


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Вкл.

Быстрый переход


Текущее время: 20:57. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.7.0
Copyright ©2000 - 2024, vBulletin Solutions Inc. Перевод: zCarot