不要温和的走进那个良夜
Do not go gentle into that good night

网络安全——如何保护自己

        每个操作系统都差不多 我们都一样的烂.(微软的高级副总裁布莱恩瓦伦蒂尼这样描述操作系统的安全状况)

hack

        – -今天时间紧,突然看了一下安全日志,不看不要急啊,一看吓一跳。回想起以前看过的一部电影《防火墙》,顿时觉得有必要写篇文章啦,嘿嘿,看似日记不像日记,技术文不像技术文的风格就是小林子的啦- -(怎么感觉台下不太对劲),废话不多说直接开始。

       看了详细日志我发现攻击有以下几个类型,第一个是/plus/download.php,但是据我所知这是利用织梦dedecms的重定向漏洞,而我这个是wordpress啊。这有点牛头不对马嘴的感觉,而且还居然攻击了60多次.第二种是/logins.asp的SQL注入,但是我是PHP啊,不理解- -。还有这一种/.htaccess我不发表意见,为啥待会说。还有利用到ascii码的,这种就属于比较专业的啦,还看我是否屏蔽了某些功能,然后后面有几个威胁比较大的我就不发了,确实挺危险的。比如利用某些插件- -汗!按照这个频率来看,我的博客访问量不是很大啊,干嘛这么多攻击的呢?不过就从上面分析来看,好些个是工具注入,这种就没啥威胁了,不过我要说的是另外一种!

       别人不都说不怕贼偷就怕贼惦记,当然这里黑客不属于贼,真正的高手不在乎数量而在乎质量,他们会为了一个目标做万全准备,然后一次拿下。这种对于我而言就是灾难了。所以还有一句话,在网上咱要低调不能得罪人,一山还有一山高!一般这种攻击都非常具有针对性,他们会获取很多相关信息,然后对你实施爆破。

       今天的主题来了,类似于社会工程学的混合攻击。举个例子。这是一个我身边的真实例子。某个论坛后台是2个人同时创立的。可是因为某些原因有一个提出分裂然后擅自把论坛后台的密码修改了。然后没办法只能那啥了。入侵官方服务器肯定是不现实的,那时候mysql数据库也没法下载(5D6D)。当时他就尝试利用社工,通过观察他发现了一个很特别的163邮箱。而那个年代163有个安全隐患,就是只需要知道当事人的生日以及一个验证问题的答案就可以重新修改密码,而且没有保护邮箱,可以无限次尝试。通过观察他的QQ资料输入生日发现居然是假的- -看来还是有点保护。但是通常人们只是注意到了自己的QQ资料,却没有注意自己其他地方类似空间、校友录、博客等等(也就是说生日填写假的也要假的一致)果断发现有个4月15日的,输入进去发现是对的了。然后是验证信息,很有意思验证问题是123456,在尝试了密码123456以及654321之后。。。最后的红字闪亮闪亮的。。

恭喜您!密码修改成功!这里是多么讽刺啊。然后进去发现有个5D6D的验证邮件,果断在论坛提交忘记密码,邮箱找回。于是论坛所有权又回来了。

         这个故事近乎于没有用到任何计算机相关技术,就轻而易举拿下了论坛,都没有用过暴力破解以及密码破解。不得不说安全性值得商榷啊(后来163的问题被修复了。)这样说来好像挺严重的。特别是小林子也不能做到全部顾忌,这样也挺累的。不过有点适当性的防范还是有必要的。

        再有一个例子:John这人想加入一个顶尖的黑客论坛,于是他把自己的用户名(标识符)设定为“Lulz0r”。John还有一个社交网络帐号以及一个Email地址,他是用同一个Email地址来注册Facebook和那个黑客论坛的。John不知道关于“匿名”的任何事情,他不用任何代理就上了那黑客论坛。John也不知道那个黑客论坛是被一个未知的机构所监控及记录的。那个机构掌握了那个论坛的数据库,他们发现John的帐号叫做Lulz0r。

那个机构从他的个人资料得到了以下信息:

名字:  Lulz0r

IP:  192.168.1.1

Email:  john@hotmail.com

当那个机构得到了John的ip,他们看到John没有用任何代理,所以他们很容易的就通过John的ip定位到他。首先他们从网上找到了他的Email以及其他信息,他们找到了他的Facebook以及MSN帐号。

John的Facebook帐号有他的全部的真实个人信息,所以那个机构知道了John的真实身份。他们可以用John的ip或MAC来定位他的地址。(在他们有John的真实名字的条件下)

这是个很差的“隐藏自己”例子(我们甚至不应该用“匿名”这个词语来形容这个在一开始就“挂掉”的人)。John用了标识符,但他没有隐藏自己,从这个例子你就知道“匿名”是什么意思了。

         这里简单说些我能总结的一些保护方案:

1.任何时候不要透露自己的真实信息给别人,比如聊天的时候,QQ资料,空间资料等等。主要是家乡以及生日重点关注。

2.不要透露自己常见的邮箱,比如我们一般用博客都需要留邮箱,所以我们可以专门注册一个邮箱。

3.做好安全工作,一般类似于本站的文章wordpress防黑,当然这都是一些基本的防范。

4.关于博客不要透露个人隐私,以及个人信息。比如我刚才说的,举个例子,我诧异人用asp的时候本身就说明了我很可能用的是PHP,而之前说的/.htaccess是只有linux系统安装了apache才有的,类似的还有http.ini等等,还有我的一篇文章告诉大家如何隐藏后台,我肯定不能举个例子吧我的隐藏值以文章的形式写出来(写出来了还隐藏毛线啊)像这些就等于是我自己把我的相关信息透露出来了(虽然这些信息都可以通过某种方式查到)。

5.设计一些自相矛盾的东西迷惑对手。比如动态网页设置伪静态,IIS服务器使用/.htaccess等等。

6.隐藏自己,如使用代理访问某些页面,修改MAC address以及资源分开,例如某些人两个QQ一个生活一个网络,又或者2个邮箱,一个工作一个生活。总之要分开。以及不同的网站密码不一样,这样才安全,笔者就有几套加密算法用来管理密码。

7.安装可信任的、最基本的防护软件,比如知名杀毒软件,网站采用安全保护工具等。

8.低调!这里低调是最重要的!你不得罪人,别人不会平白无故得罪你,这样省事不少。

就写这么多啦,我的水平有限!同时大家也注意安全咯~

 

赞(0)
未经允许不得转载:林枫紫涵 » 网络安全——如何保护自己

评论 13

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #5

    先给自己的评论注册个专门的邮箱~博主的建议真的很好

    无纯洁5年前 (2013-11-24)回复
  2. #4

    假如这条能够发表成功就说明是因为没有重新从 QapTcha 那里获取 Cookie ……=_=

    Jak Wings5年前 (2013-09-14)回复
    • @Jak Wings: 粗糙的解决方法(可看出这个安全锁有多烂):生成新的评论框后执行 jQuery.post(‘https://www.lfzh.org/wp-content/Qaptcha.jquery.php’, {action:’qaptcha’}) 。
      更好的方法:给新评论框绑定 QapTcha 事件。

      Jak Wings5年前 (2013-09-14)回复
      • 高端啊,我要向你学习,前一段时间病了,就没回复你的

        admin5年前 (2013-09-20)回复
  3. #3

    /plus/download.php 这个攻击真的很猖狂呢,某些人不隐藏好自己的域名信息就用来攻击别人了,傻得可以啊……
    比较好奇 .htaccess 的攻击是怎么样的,是因为没有禁止访问文件? 😡

    PS:那个安全锁在同一页面只能使用一次,下次会提示未解锁但滚动条已经无法再滚了。

    Jak Wings5年前 (2013-09-14)回复
    • 我也发现了这个问题,可能是我技术问题额- -往好的方面想就是可以防止乱刷信息,我可以这样安慰自己么- –

      admin5年前 (2013-09-14)回复
      • @admin: 稍微研究了一下(不是研究解锁问题 = =),发现这个安全锁对于抓包党好像没有什么压力,设计上有严重缺陷。

        Jak Wings5年前 (2013-09-14)回复
      • @admin: 导致提示未解锁错误的原因,好像不在安全锁那里,而是评论框的评论状态(class)没有更新。

        Jak Wings5年前 (2013-09-14)回复
        • @Jak Wings: 你说的很对,这个安全锁确实是后面加上去的额

          admin5年前 (2013-09-14)回复
  4. #2

    应该不会有人来黑我的吧。去百度一下试试看

    欣欣5年前 (2013-09-02)回复
  5. #1

    最近在看《删除:大数据取舍之道》,开头讲了谷歌的例子:只要你在网上发表了信息,被谷歌索引之后,就算是删了,也会被找到。最简单的例子:我用一个朋友曾经的QQ名字找到了她的豆瓣,然后就是微博等一系列社交工具,毫无隐私而言。用谷歌关键词搜自己。。。

    lunzi5年前 (2013-08-31)回复
    • @lunzi: 我发现我用搜索引擎搜索自己只有3条消息,就是我大学的一则新闻,嘿嘿,很开心是因为原来叫这个名字的人这么少,而且我的私人信息没暴露。不过知道名字已经是很严重的事情了。至于QQ名字,这个略多,如果是非主流的那种你就不好找啦。

      admin5年前 (2013-08-31)回复
    • @lunzi: 可以恢复那个文章,不带文章内容,然后加上 noindex 的说明,谷歌就会采集并取消索引了。

      Jak Wings5年前 (2013-09-14)回复