网络安全之网站常见的攻击方式

这是作者自学的哈，不算课程内容。

网页中出现大量黑链

网站看着很正常，但是会隐藏一些链接。网页的链接几乎都是标签，这种黑链就是通过链接标签<a></a>或者script在里面链入恶意脚本，等待浏览者的访问，通过XSS或者其他方式获取浏览器的信息，扫描漏洞，攻击系统。

黑链特点

隐藏性

黑链是隐藏在网站源代码中的恶意链接，它们通常对人眼不可见。可以通过在网页源码中设置字体大小为零、使用与背景相同的字体颜色或将其位置偏移到屏幕外（极限偏移）来隐藏。很有可能在网页上误触。

广告和获取流量

黑链常用于弹出不必要的广告和获取用户流量，从而实现通过欺骗和非法手段获取利益。

挖矿与数字货币

挖矿

黑链还可能用于非法挖矿。当用户访问包含黑链的网页时，其计算机资源（CPU和GPU）可能会被恶意软件使用，用于无许可的加密货币挖矿。看不懂挖矿的读者千万不要着急，先理解意思哈。

• 当电脑或手机被挖矿病毒感染时，病毒会利用这些设备的处理能力（CPU或GPU）来进行加密货币的挖矿，这通常是在设备所有者不知情的情况下进行的。
• 这可能导致设备性能下降、过热和电池寿命减少。

加密数字货币

加密数字货币是一种数字或虚拟货币，使用密码学的原理来保护交易、控制新货币的产生和验证资产转移。它是一种去中心化的货币，不受任何中央银行或政府的控制。比如比特币，现实生活中谁看到过啊？那是虚拟的，但是在某些国家是能够进行交易的。

加密数字货币的影响

• 交易的匿名性：虽然这为用户提供了隐私，但也可能被用于非法交易，如洗钱和购买非法商品和服务。
• 投资风险：加密货币价格波动剧烈，投资者可能面临重大损失。
• 安全问题：虚拟货币交易和钱包容易受到黑客攻击。

能否使用加密数字货币？

在许多国家和地区，使用加密数字货币是合法的。它可以用作商品和服务的支付方式，也可以作为一种投资工具。然而，一些国家已经禁止或限制了加密货币的使用，比如中国。

为什么要加密货币？

• 隐私保护：通过加密技术，用户的交易可以得到更好的保护。
• 去中心化：加密货币不受传统金融机构控制，有助于减少交易成本和时间。其交易成本低于银行。
• 金融包容性：为那些无法使用传统银行服务的人提供金融服务渠道。

加密货币和挖矿的关系？

挖矿是一种通过使用计算能力解决复杂数学问题来验证和记录加密货币交易的过程。挖矿者作为报酬，会得到新产生的加密货币和交易费用。

挖矿不是挖加密货币，是挖一个问题的答案，这个答案一旦挖出来，就能验证一些重要的东西，从而得到加密货币的奖励，就能在之后将加密货币转化为实际的货币，也就是能挣到钱。

门罗币为什么受欢迎，它是干什么的？

门罗币（Monero, XMR）是一种注重隐私的加密货币。它使用复杂的密码技术确保所有交易的匿名性和不可追踪性。这使得它在一些用户和群体中特别受欢迎，特别是那些非常重视隐私的用户。

矿池是用来干什么的？

在区块链和加密货币的语境中，术语“矿工”可以指两个方面：

扫描二维码关注公众号，回复： 17129228 查看本文章

1. 个人或实体：矿工可以是指参与挖矿活动的个人或组织（如挖矿公司或矿池）。他们配置和运行硬件，选择要挖掘的特定加密货币，并决定如何优化他们的操作。

2. 计算机或硬件设备：矿工也可以指的是执行挖矿运算的计算机或特定硬件（如ASIC矿机）。这些设备不断地执行计算，试图解决区块链网络上的数学难题。

在大多数上下文中，当人们提到“矿工”时，他们通常是指参与挖矿活动的个人或实体。然而，根据上下文，它也可能指的是执行实际计算的硬件设备。

矿池是一群矿工（挖矿者）的集合，他们合并他们的计算力来提高解决加密货币网络哈希问题的几率（其实这个问题就是之前说的问题，挖矿就是要挖这个问题的答案，不了解这个问题也不要着急，作者会另写一篇详细的文章）。通过加入矿池，矿工们可以更稳定地获得收益，尽管这些收益必须与矿池中的其他矿工共享。

总结

总的来说，挖矿包括尝试不同的输入值以找到满足特定条件的哈希输出，其主要目的是验证和记录网络上的交易，确保交易的安全和完整。成功的挖矿者会得到新生成的加密货币和交易费用作为奖励（就是所谓的“区块奖励”）。然而，不法分子也可能通过病毒非法利用他人的计算资源进行挖矿，这种行为是不被允许的，并可能对被感染设备的性能和寿命造成负面影响。

作者为了稍微搞明白一点，花了近两小时，具体内容太多了，放在新的《区块链》篇中进行讲解。读者朋友们可以先这样理解：挖矿就是解题，找到问题的解，再经过各路人马的检验，就能够保证交易过程中网络的安全性和稳定性，最后将交易记录和之前记录的某些信息组合成新的区块，安置到区块链上，最后获得货币的奖励。

---

网站根目录中出现大量植入网页

1.通常见于：网页开发完了之后往服务器上一扔，没有运维管理的情况（这不就是我吗）；

2.也见于上传或下载漏洞，比如zip压缩炸弹，压缩文件是4KB，解压出来是4PB，直接占满磁盘。比如，可以搞一下你不喜欢的人的……，还有邮件炸弹；

3.也见于网站目录内容暴增，通常用于大型流量网站。

---

网站网页挂马（木马）

挂马通常是指黑客在正常的网站上植入恶意代码或者恶意软件的链接，当用户访问这个网站时，恶意代码会自动执行，可能会盗取用户的个人信息，或者利用用户的计算机资源进行不法行为，例如挖矿。

1. 挂马的类型:

   • iFrame注入: 在网页中嵌入一个不可见的框架，加载恶意网站。
   • JavaScript挂马: 插入恶意JavaScript代码，实现重定向或下载恶意软件。
   • SEO挂马: 插入垃圾链接或关键词，破坏网站的SEO。

2. 挂马的方式:

   • 利用CMS漏洞: 攻击者利用CMS（如WordPress、Joomla）的已知漏洞插入恶意代码。
   • FTP/SSH密码盗取: 通过盗取FTP或SSH凭证来修改网站代码。

3. 挂马的目的:

   • 分发恶意软件: 利用挂马将恶意软件传播到访问者的计算机上。
   • 盗取个人信息: 利用挂马盗取用户的私人数据。
   • 利用计算资源: 利用挂马利用用户的计算资源进行加密货币挖矿。

4. 挂马的检测与防御:

   • 定期更新软件: 确保所有软件和插件都是最新版本，以修复已知漏洞。
   • 使用安全插件: 使用安全插件来检测和阻止恶意行为。
   • 监控网站代码: 监控网站代码的更改，以便及时发现恶意代码的插入。
   • 定期进行安全扫描: 使用网站安全扫描工具定期扫描网站以发现潜在的安全问题。

---

网站服务器运行缓慢

本质上是服务器被植入了蠕虫病毒，即一段特定的计算机程序、恶意代码。

蠕虫病毒 (Worm)

• 定义: 蠕虫病毒是一种恶意软件，它能够自我复制并传播到其他计算机或服务器，无需人为干预。
• 影响: 蠕虫病毒会消耗大量系统资源（如CPU和内存），导致服务器变得异常缓慢。
• 示例: 一个蠕虫病毒可能会搜索网络上的漏洞并自动将自己复制到这些系统上。

Worm通常因为下载非官方软件导致，比如自动化运维工具。这个就涉及到了社会工程学，肯定不是明显让你知道我这里有病毒，而是伪装正常需求，诱骗你下载。

社会工程学 (Social Engineering)

• 定义: 社会工程学涉及使用心理操纵来诱使个人进行不安全的行为，例如下载和安装恶意软件。
• 影响: 用户可能被欺骗下载看似正常但实际含有恶意代码的软件。
• 示例: 一个假冒的自动化运维工具网站可能诱使访问者下载并安装含有蠕虫病毒的软件。

可以通过后台监控发现CPU占用率，过高的一定是被攻击了，导致内存、磁盘资源被耗尽。

tmd蠕虫病毒可能设置定时任务，周期性调用某一个脚本（Shell or Python），也就是定时检查自己是否被删除，如果没了会死而复生，偷偷通过远程服务器再下载回来。

肉鸡，可能会被复制传播，为DDOS做准备，能够进行“围殴”，是一种流量破坏的手段。

肉鸡 (Botnet)

• 定义: 肉鸡或僵尸网络是由被恶意软件感染的大量计算机组成的网络。
• 影响: 被感染的计算机（也称为“僵尸计算机”或“肉鸡”）可以被黑客远程控制用于进行各种恶意活动。
• 示例: 一个被感染的服务器可能被用作部署DDoS攻击的一部分。

DDoS攻击

• 定义: 分布式拒绝服务攻击（DDoS）是一种通过大量流量来使目标服务器无法响应合法请求的攻击。
• 影响: 服务器可能无法处理合法的用户请求，导致服务中断。

---

网站域名DNS劫持

DNS劫持，也称为DNS重定向，是一种网络攻击类型，攻击者通过非法手段修改DNS服务器的设置，导致用户访问到错误的网站地址。简单来说，你想访问这个域名对应的网站IP，但是我不让你访问，我把我的IP换成这个域名了，这样就能够为我的盗版网站进行引流。你会发现，这个盗版的网站就是境外、境内的网站。试图Ping自己的服务器，结果返回的不是自己网站的IP。下面是对DNS劫持的详细介绍：

这种攻击的特点和用户体验：

1. 重定向到错误网站：用户尝试访问一个合法网站（如银行网站），但由于DNS记录被篡改，他们被重定向到一个恶意网站。

2. 看似正常的网站：劫持后的网站通常外观上与原网站非常相似，使用户难以察觉。

3. 信息泄露风险：用户可能在这些恶意网站上输入敏感信息（如用户名、密码、信用卡信息等），导致信息泄露。

4. 无法察觉的篡改：用户可能完全不知道DNS记录已被篡改，因为网址本身没有变化，只是内容和目标服务器变了。

1. 原理与执行

a) DNS 系统

• DNS (Domain Name System)是互联网的一项核心服务，它作为将域名和IP地址相互映射的一个分布式数据库，能够使用户更方便地访问互联网。

b) 劫持过程

• 攻击者通过各种手段篡改DNS服务器的数据，当用户试图访问某个特定网站时，篡改后的DNS服务器返回错误的IP地址，将用户重定向到攻击者控制的服务器。

2. 攻击方法

a) 篡改DNS服务器

• 攻击者入侵并控制DNS服务器，直接修改域名与IP地址的映射关系。

b) 本地劫持

• 通过恶意软件修改用户计算机的DNS设置，导致用户请求的域名解析到错误的IP地址。

3. 影响

• 用户被重定向到假冒网站，这些网站可能盗取用户的个人和敏感信息。
• 假冒网站可能强制用户下载恶意软件，从而控制用户的计算机。
• 通过重定向，攻击者可以将大量流量引导到他们控制的网站，从而获利。

4. 防护措施

• 定期检查DNS设置，确保计算机和网络设备的DNS设置没有被非法修改。
• 使用安全的DNS服务器，使用知名和安全的DNS服务提供商，比如Google DNS或Cloudflare DNS。

• 使用DNS加密，使用DNS over HTTPS或DNS over TLS技术，确保DNS查询的安全和私密性。

---

网站和服务器密码被篡改

1. SSH服务---22端口

SSH（安全外壳协议）通常在22端口上运行。如果它配置不当（例如使用弱密码或未禁用根远程登录），攻击者可能会尝试使用暴力攻击猜测密码，从而非法访问SSH服务。

防护方法

• 使用强密码和公钥认证。
• 更改SSH服务的默认端口。
• 使用防火墙限制访问22端口。
• 使用失败锁定策略来阻止多次失败的登录尝试。

2. 远程连接---3389端口

• 3389端口是Windows的远程桌面服务（Remote Desktop Services, RDS）的默认端口。
• 如果服务器的RDP服务暴露在互联网上，并且使用了弱密码或有其他安全漏洞，那么攻击者可以利用这些漏洞获得对服务器的远程访问权限。
• Windows现在有连续点击五次shift会有粘连键提示，而粘连键漏洞通常用于获得对系统的未授权访问权限。如果攻击者能够在远程系统上激活粘连键，他们可能会尝试利用这个功能以其他用户的身份运行命令。

---

网站的数据库被植入内容

当我们讨论到“网站的数据库被植入内容”，通常是指未经授权的第三方通过各种手段访问并修改数据库的内容。这种攻击对于任何组织来说都是一个重大的安全威胁，因为它们可能会导致数据的损坏、丢失或泄露。这个过程可能涵盖了一系列攻击，包括SQL注入、恶意软件感染、以及其他通过网络漏洞实施的攻击。

1. 数据库植入内容

• 攻击者利用数据库的漏洞或者缺陷，将恶意内容插入到数据库中。这可能包括恶意脚本、恶意软件链接或其他用于进一步攻击或窃取信息的代码。
• 数据库被植入内容意味着攻击者已经成功地访问了数据库，不仅可能导致数据的完整性和真实性受到损害，还可能使整个应用程序或系统失效。

2. SQL爆库

• SQL爆库是指通过利用数据库的安全漏洞获取数据库访问权限，并窃取或破坏其中的数据。针对MySQL等常用数据库系统，这种攻击特别常见。
• SQL爆库通常是通过SQL注入实现的。SQL注入是一种在查询中注入恶意SQL代码的方法，从而绕过应用程序的安全机制，直接与数据库交互。成功的SQL注入可以给攻击者数据库的完全访问权限，从而允许他们执行任意SQL代码，包括插入、修改和删除操作。

3. 勒索攻击

• 勒索攻击: 攻击者锁定数据库的数据，并要求支付赎金以解锁数据。这种攻击特别对那些对数据安全性和可用性有严格要求的机构（例如银行、学校、政府）造成威胁。
• 勒索攻击通常是作为其他类型攻击（例如SQL爆库）的一部分进行的。一旦攻击者获得了数据库的访问权限，他们可以使用各种技术锁定数据。

数据库优化涉及到如何最有效地存储、检索和管理数据库中的数据。优化未做好的数据库可能会暴露出性能瓶颈、不稳定的应用程序响应时间，以及潜在的安全风险。下面是一些数据库的防护措施：

• 遵循安全的编程实践，比如使用参数化查询来预防SQL注入。
• 定期更新和修补数据库软件来关闭已知的安全漏洞。
• 使用强密码和多因素身份验证来增加数据库的安全性。
• 限制数据库访问权限，确保只有需要访问的人员或系统拥有相应的权限。

---

DDOS

1. 概念:

DDoS（Distributed Denial of Service，分布式拒绝服务攻击）是一种让目标网络资源因超负荷而无法正常提供服务的攻击方式。在这种攻击中，攻击者利用众多的“肉鸡”（被控制的计算机）同时向目标发送大量的数据请求，超出目标服务器的处理能力，从而让正常用户无法访问。

2. 工作机制:

1. 肉鸡网络: 攻击者首先通过各种手段感染大量的计算机，将这些计算机组合成一个“肉鸡网络”。
2. 发动攻击: 攻击者通过指令让这些肉鸡同时向目标服务器发送大量的请求，导致服务器超载。
3. 服务中断: 服务器无法处理如此巨大的流量，正常用户的请求因此无法得到响应，实现对服务的拒绝。

3. 实际应用场景:

• 游戏公司或大型网站是DDoS攻击的常见目标。例如，一个新上线的游戏可能会受到DDoS攻击，导致玩家无法访问游戏服务器。
• 有些攻击者使用DDoS攻击作为勒索的手段。他们攻击目标网站，然后要求付款以停止攻击。

4. 防护措施:

• 虽然防御DDoS攻击有一定的难度和成本，但采取一些措施，如使用DDoS防护服务，可以有效缓解攻击的影响。

5. 法律问题:

• 发动DDoS攻击在许多国家都是非法的，被视为一种网络犯罪行为。DDoS攻击不仅会导致服务中断，还可能造成企业的经济损失和声誉损害。

---

非法桥页

非法桥页，也被称作门户站点或者门户页面，主要是用来转发或重定向网络流量到特定网站或网页的一种方式。

桥页是为搜索引擎优化（SEO）而创建的，其主要目的是为了在搜索引擎中获得高排名，进而为背后的广告或者其他服务获取益处。这些页面为搜索引擎提供特定的关键词和内容，但当用户点击搜索结果链接时，他们可能会被重定向到与搜索查询不相关的其他页面。通常用于黑帽SEO策略，目的是欺骗搜索引擎，获得高排名，然后将流量重定向到可能与原始搜索查询不相关的其他网站。

换句话说，非法桥页的主要作用是将用户不知不觉地从一个网站自动跳转到另一个网站。比如说，你可能点击了一个关于健康饮食的链接，但突然发现自己被带到了一个完全不相关的销售网站上。这就是非法桥页在作怪，它在背后悄悄地改变了你的浏览方向，可能是为了给不相关的网站增加访问量或者推销产品。

1. 搜索结果误导：用户在搜索引擎上搜索信息时，可能会遇到这些桥页，它们通常包含大量关键词，但内容质量低下。

2. 重定向：点击这些桥页后，用户可能被重定向到与搜索内容无关的其他网站，如广告页面或其他欺诈性网站。

3. 内容不相关或低质量：桥页的内容通常与用户的搜索查询不相关，或者是低质量、复制粘贴的内容。

4. 用户体验差：这种类型的攻击对用户体验影响较大，因为它妨碍了用户获取他们真正需要的信息。

---

通过JS实现

非法桥页通常通过插入恶意JavaScript代码到合法网站中实现。当用户访问这个被植入了JS代码的页面时，JS代码自动执行并将用户重定向到另一个页面。这是一种常见的黑帽搜索引擎优化（SEO）策略。

---

301重定向

301重定向是另一种实现非法桥页的方式。这种重定向是永久性的，并且通常用于将一个URL的流量重定向到另一个URL。非法操作者利用这一点将合法网页的流量重定向到他们自己的或者其他不相关的网页上。

• 示例：一个著名的博客的URL被设置了一个301重定向，所有访问这个博客的流量都被重定向到一个销售假冒产品的网站。

非法桥页利用了用户的信任和不知情，从而为非法或不道德的网站获取流量和收入。通过使用JavaScript或301重定向，他们无声无息地将用户从他们原本想要访问的网站转移到其他地方，这不仅影响了用户的上网体验，也可能将用户暴露于安全风险之中。

虽然非法桥页在短期内可能为操作者带来利益，但是它破坏了整个网络生态，对用户和合法网站造成了伤害，同时也违反了大多数搜索引擎的政策。很多搜索引擎如Google都会定期检查和降低使用这种策略网站的搜索排名。

---

作者亲身经历

之前在阅读文章的时候文章内部有一个文章链接，然后点击之后跳到足球赌博网站了，这个不是通过搜索得来的，是否属于非法桥页？

这实际上是一种广义上的“非法桥页”行为，但更准确地说，它属于“恶意重定向”或“点击劫持”。虽然非法桥页通常与提高搜索引擎排名相关，但它们的核心特征是通过误导用户跳转到与原本内容不相关的网站，这可以发生在多种场景中，包括但不限于搜索引擎结果。

在作者的例子中，文章内的链接看似指向相关内容，但实际上将作者重定向到了一个完全不相关的足球赌博网站。这种行为符合恶意重定向的特点：

1. 误导性链接：链接看起来像是通向相关文章或内容，但实际上指向一个完全不同的目的地。

2. 用户体验受损：这种重定向损害了用户体验，因为用户期待获得的是与原文相关的内容，而不是被送到一个不相关的网站。

3. 可能的恶意目的：这种类型的重定向往往是为了推广特定网站、进行广告欺诈，或者在更糟糕的情况下，是为了散布恶意软件。

虽然这种情况在技术上可能不被严格定义为传统意义上的非法桥页，它确实符合恶意重定向的特征，属于网络安全问题的范畴。对于用户而言，遇到这类情况的最佳做法是谨慎点击不明链接，并使用可靠的网络安全工具来保护自己的设备和信息安全。

---

黑帽搜索引擎优化

黑帽搜索引擎优化（SEO）指使用违反搜索引擎建议准则的技术和策略来优化网站。这些策略的目标是欺骗搜索引擎，以便获得更高的搜索排名，即使这些排名并不是基于网站内容的真实价值或相关性。虽然黑帽SEO方法有时可能会短暂提高排名，但它们很有可能导致网站在长期内受到搜索引擎的惩罚，有时甚至可能从搜索结果中完全移除。

以下是一些常见的黑帽SEO策略：

1. 关键词填充（Keyword Stuffing）：在网页上过度使用或重复关键词，以试图提高页面在搜索结果中的排名。

2. 隐藏文本和链接：在网页上使用与背景相同的颜色隐藏文本或链接，使其对用户不可见，但对搜索引擎可见。

3. 非法桥页（Doorway Pages）：为搜索引擎创建特定的页面，这些页面对用户没有实际价值，但是当用户访问时，他们会被重定向到另一个页面。

4. 链接农场（Link Farms）：创建大量的互相关联的网站或页面，仅仅是为了增加网站的外部链接数量。

5. 内容剽窃（Content Scraping）：从其他网站复制内容，然后发布到自己的网站上。

6. 隐藏重定向（Sneaky Redirects）：使用户和搜索引擎看到不同的内容。例如，当搜索引擎抓取页面时显示的是针对关键词优化的内容，但当用户访问时则会被重定向到不相关的页面。

7. 负面SEO（Negative SEO）：尝试损害竞争对手的搜索排名。这可能包括创建低质量的、垃圾的反向链接到竞争对手的网站。

8. 过度使用锚文本：在外部链接中过度使用相同的、优化过的锚文本。

---

网络安全靶场（非攻击手段部分）

网络安全靶场（也称为攻防实验室或渗透测试实验室）是一种模拟真实世界网络环境的控制环境，用于安全专家、研究人员和学习者实践和测试他们的网络渗透技巧和防御策略。它提供了一个安全的、合法的平台，允许用户在不影响实际生产环境的情况下，学习和了解各种网络安全概念和攻击技术。

靶场的构成和作用

1. 实验环境:

   • 一般包括各种操作系统和应用软件。
   • 包含已知的安全漏洞，用于测试和实验。

2. 模拟攻击:

   • 用户可以模拟真实世界的攻击场景。
   • 可以实践渗透测试、漏洞利用、密码破解等技术。

3. 防御策略:

   • 提供实验环境用于测试和验证防御策略和工具。
   • 帮助用户了解如何检测、防止和应对攻击。

4. 学习和研究:

   • 帮助初学者和专家了解和学习最新的攻击技术和防御策略。
   • 促进网络安全研究和发展。

5. 合规性测试:

   • 允许组织测试他们的系统和网络以确保符合安全标准和规定。

靶场和实际网络环境的关系

靶场提供了一个与实际网络环境非常相似的环境，但它是在一个受控和隔离的环境中运行的，以防止对真实系统和数据的任何意外损害。通过在靶场中进行实验和测试，用户可以更好地了解和评估他们的网络安全态势，并找到潜在的安全问题和漏洞，从而在真实环境中更好地防护这些问题和漏洞。

怎样搭建或使用靶场？

1. 使用公开的靶场平台:
   • 有一些在线平台（如Hack The Box或CTF平台）提供了网络安全靶场服务。
2. 私人搭建:
   • 用户也可以使用开源或商业软件自行搭建靶场。
   • 虚拟化技术（如VMware或VirtualBox）允许用户在单一的物理硬件上创建多个虚拟机，这些虚拟机可以用作靶场环境。如果作者进一步学习，会使用虚拟化技术搭建攻防环境。

总结

网络安全靶场是网络安全领域的重要组成部分，它允许用户实践、测试和学习网络安全技术，无论是攻击技术还是防御策略，都可以在靶场中进行深入的了解和实践，从而提高用户在真实环境中的网络安全能力。