Security

چگونه یک وب سرور هک می شود؟

افراد در زندگی روزمره معمولاً برای کسب اطلاعات و خرید محصولات و خدمات، به اینترنت مراجعه می کنند. به همین منظور اکثر سازمان ها دارای وب سایت هستند. بیشتر وب سایت ها اطلاعات ارزشمندی مانند شماره کارت اعتباری، آدرس ایمیل و رمز های عبور و غیره را ذخیره می کنند و این باعث شده است که مهاجمان افراد بیشتری را مورد هدف قرار دهند. در این مقاله ما روش های هک وب سرور ها و نحوه محافظت از سرور ها در برابر چنین حملاتی را به شما معرفی خواهیم کرد.

آسیب پذیری های وب سرور

وب سرور برنامه ای است که فایل ها را ذخیره می کند (معمولاً صفحات وب) و از طریق شبکه یا اینترنت امکان دسترسی به آن ها را فراهم می کند. وب سرور به سخت افزار و نرم افزار نیاز دارد. مهاجمان معمولاً سوء استفاده در سطح نرم افزاری را هدف قرار می دهند تا ورود مجاز به سرور را بدست آورند. بیایید برخی از آسیب پذیری های رایج را که مهاجمان در زمینه هک وب سرور از آن ها استفاده می کنند، بررسی کنیم.

  • تنظیمات پیش فرض: در این تنظیمات مهاجمان اطلاعاتی مانند شناسه کاربری و گذرواژه پیش فرض را به راحتی می توانند حدس بزنند. تنظیمات پیش فرض همچنین ممکن است انجام برخی وظایف مانند اجرای دستورات روی سرور را که می توانند مورد سوء استفاده قرار گیرند، ممکن سازد.
  • پیکربندی نادرست سیستم عامل ها و شبکه ها: اگر کاربر رمز عبور خوبی نداشته باشد، بعضی پیکربندی ها مانند اجازه دادن به کاربران برای اجرای دستورات روی سرور می تواند خطرناک باشد.
  • اشکالات موجود در سیستم عامل و وب سرور ها: اشکالات کشف شده در سیستم عامل یا نرم افزار وب سرور نیز می توانند برای دستیابی غیر مجاز به سیستم و هک سیستم مورد سوء استفاده قرار گیرند.
  • عدم داشتن سیاست امنیتی و روند ها: فقدان سیاست امنیتی و روند هایی مانند به روزرسانی نرم افزار آنتی ویروس، patch نرم افزار سیستم عامل و وب سرور می تواند حفره های امنیتی برای مهاجمان ایجاد کند.

انواع وب سرور ها

در زیر لیستی از وب سرور های رایج آمده است:

  • Apache: این وب سرور معمولاً بیشتر از سایر موارد در اینترنت استفاده می شود. کراس پلتفرم است اما معمولاً روی لینوکس نصب می شود. بیشتر وب سایت های PHP در سرور های Apache میزبانی می شوند.
  • سرویس های اطلاعات اینترنتی (IIS): توسط مایکروسافت ساخته شده است. روی ویندوز اجرا می شود و دومین وب سرور پر کاربرد در اینترنت است. بیشتر وب سایت های asp و aspx در سرور های IIS میزبانی می شوند.
  • Apache Tomcat: بیشتر صفحات وب سرور جاوا (JSP) در این نوع وب سرور میزبانی می شوند.
  • وب سرور های دیگر: این شامل وب سرور Novell و سرور های IBM’s Lotus Domino است.

انواع حملات علیه وب سرور ها

انواع هک وب سرور

حملات پیمایشی دایرکتوری: این نوع حملات از اشکالات موجود در وب سرور برای دستیابی غیر مجاز به پرونده ها و پوشه هایی که در دامنه عمومی نیستند، سوء استفاده می کند. پس از دسترسی مهاجم به وب سرور، آن ها می توانند اطلاعات حساس را دانلود کنند، دستورات را بر روی سرور اجرا کنند یا نرم افزار مخربی نصب کنند و به روند هک خود ادامه دهند.

  • حملات انکار سرویس (Denial of Service): با این نوع حمله ممکن است وب سرور خراب شود یا در دسترس کاربران قانونی نباشد.
  • ربودن نام دامنه سیستم (Domain Name System Hijacking): این نوع مهاجم تنظیمات DNS را تغییر می دهد تا به وب سرور را مورد هدف قرار دهد. تمام ترافیکی که قرار بود به وب سرور ارسال شود به یک آدرس اشتباه هدایت می شود.
  • Sniffing: داده های رمزگذاری نشده ای که از طریق شبکه ارسال شده اند، ممکن است رهگیری شوند و برای دستیابی غیر مجاز به وب سرور مورد استفاده قرار گیرند.
  • فیشینگ: در این نوع حمله، جعل هویت وب سایت ها و هدایت بازدید به وب سایت جعلی انجام می شود. کاربران بی خبر ممکن است با ارسال اطلاعات حساس مانند جزئیات ورود به سیستم، شماره کارت اعتباری و غیره فریب خورده باشند.
  • Pharming: در این نوع حمله، مهاجم سرور های Domain Name System (DNS) یا رایانه کاربر را به خطر می اندازد تا بازدید به یک سایت مخرب هدایت شود.
  • Defacement: مهاجم وب سایت سازمان را با صفحه دیگری جایگزین می کند که شامل نام و تصاویر هکر است و ممکن است شامل موسیقی و پیام های پس زمینه باشد.

اثرات حملات موفق

  • اگر مهاجم محتوای وب سایت را ویرایش کند به طوری که شامل اطلاعات مخرب یا لینک به یک وب سایت غیر قانونی باشد، می تواند اعتبار یک سازمان را از بین ببرد.
  • از وب سرور می توان برای نصب نرم افزار مخرب بر روی سیستم کاربرانی که از وب سایت آسیب دیده بازدید می کنند، استفاده کرد. نرم افزار مخربی که روی رایانه بازدید کننده دانلود می شود می تواند یک ویروس، تروجان یا نرم افزار Botnet و غیره باشد.
  • داده های هک شده در سیستم کاربر ممکن است برای فعالیت های کلاهبرداری که ممکن است منجر به از دست دادن بیزینس می شود، استفاده شوند یا می تواند منجر به ایجاد پرونده های قضایی از کاربرانی شود که اطلاعات خود را به وب سرور سازمان واگذار کرده اند.

ابزار حمله به وب سرور

ابزار های هک وب سرور

برخی از ابزار های معمول هک وب سرور عبارتند از:

  • Metasploit: این یک ابزار متن باز برای توسعه، آزمایش و استفاده از کد استخراج شده است. این ابزار می تواند برای کشف آسیب پذیری در وب سرور ها و ایجاد سوء استفاده هایی باشد که می تواند برای به خطر انداختن سرور مورد استفاده قرار گیرد.
  • MPack: این یک ابزار بهره برداری از وب است. به زبان PHP نوشته شده و توسط MySQL به عنوان موتور پایگاه داده پشتیبانی می شود. هنگامی که یک وب سرور با استفاده از MPack به خطر بیفتد، تمام ترافیک به آن به وب سایت های مخرب هدایت می شود.
  • Zeus: از این ابزار می توان برای تبدیل یک کامپیوتر در معرض خطر به یک بات یا زامبی استفاده کرد. بات در واقع یک کامپیوتر در معرض خطر است که برای انجام حملات مبتنی بر اینترنت استفاده می شود. botnet مجموعه ای از رایانه های آسیب دیده است. پس می توان از botnet در حمله انکار سرویس یا ارسال نامه های ناخواسته استفاده کرد.
  • Neosplit: از این ابزار می توان برای نصب برنامه ها، حذف برنامه ها، تکثیر آن و غیره استفاده کرد.

چگونه می توان از حمله به وب سرور جلوگیری کرد؟

یک سازمان می تواند برای محافظت از خود در برابر حملات وب سرور، سیاست های زیر را اتخاذ کند.

  • مدیریت Patch: این کار شامل نصب Patch هایی برای کمک به امنیت سرور است. Patch یک نوع به روزرسانی است که اشکال نرم افزار را برطرف می کند. Patch ها را می توان روی سیستم عامل و سیستم وب سرور اعمال کرد.
  • ایمن سازی نصب و پیکربندی سیستم عامل
  • ایمن سازی نصب و پیکربندی نرم افزار وب سرور
  • سیستم بررسی آسیب پذیری: شامل ابزار هایی مانند Snort ،NMap ،Scanner Access Now Easy (SANE) است.
  • فایروال ها: از فایروال ها می توان برای جلوگیری از حملات ساده DoS استفاده کرد.
  • آنتی ویروس: از نرم افزار آنتی ویروس می توان برای حذف نرم افزار های مخرب در سرور استفاده کرد.
  • غیرفعال کردن مدیریت از راه دور
  • حذف حساب های پیش فرض و حساب های استفاده نشده از سیستم
  • پورت ها و تنظیمات پیش فرض (مانند FTP در پورت 21) باید به پورت و تنظیمات سفارشی تغییر یابد (پورت FTP در 5069)

نحوه هک کردن وب سرور

در این سناریوی عملی، ما قصد داریم آناتومی حمله به وب سرور را بررسی کنیم. فرض خواهیم کرد که www.techpanda.org را هدف قرار داده ایم. در واقع قصد هک کردن آن را نداریم زیرا این کار غیرقانونی است. فقط از این دامنه برای اهداف آموزشی استفاده خواهیم کرد. آنچه نیاز خواهیم داشت:

  • یک هدف www.techpanda.org
  • موتور جستجوی بینگ
  • ابزار تزریق SQL
  • PHP Shell، ما از پوسته dk استفاده خواهیم کرد http://sourceforge.net/projects/icfdkshell/

جمع آوری اطلاعات

ما باید آدرس IP هدف را دریافت کنیم و وب سایت های دیگری را پیدا کنیم که از همان آدرس IP مشترک برخوردار باشند. از یک ابزار آنلاین برای یافتن آدرس IP هدف و سایر وب سایت های مشترک با آن آدرس IP استفاده خواهیم کرد. آدرس https://www.yougetsignal.com/tools/web-sites-on-web-server/ را در مرورگر وب خود وارد کنید. www.techpanda.org را به عنوان هدف وارد کنید.

مثال هک وب سرور

روی دکمه Check کلیک کنید. به نتایج زیر خواهید رسید.

چک کردن آی پی مورد حمله وب سرور

بر اساس نتایج فوق، آدرس IP هدف 69.195.124.112 است. ما همچنین دریافتیم که 403 دامنه دیگر در همان وب سرور وجود دارد. مرحله بعدی بررسی سایر وب سایت ها برای آسیب پذیری تزریق SQL است. توجه: اگر بتوانیم یک آسیب پذیری SQL در هدف بیابیم، بدون در نظر گرفتن سایر وب سایت ها مستقیماً از آن بهره خواهیم برد.

آدرس www.bing.com را در مرورگر وب خود وارد کنید. این آدرس فقط با Bing کار می کند بنابراین از موتور های جستجوی دیگر مانند گوگل یا yahoo استفاده نکنید. کوئری جستجوی زیر را وارد کنید.

=ip:69.195.124.112 .php?id

در اینجا:

  • “ip: 69.195.124.112” جستجو را به همه وب سایت های میزبانی شده در وب سرور با آدرس IP 69.195.124.112 محدود می کند.
  • “.php؟ id =” برای متغیر های GET که از پارامتر هایی برای عبارات SQL استفاده کرده اند، جستجو می کند.

با انجام دستورات فوق به نتایج زیر خواهید رسید.

پیدا کردن آدرس IP های موجود در وب سرور هدف

همانطور که در نتایج بالا مشاهده می کنید، تمام وب سایت هایی که از متغیر های GET به عنوان پارامتر تزریق SQL استفاده می کنند، لیست شده اند. مرحله بعدی بررسی وب سایت های ذکر شده برای آسیب پذیری های تزریق SQL است. می توانید این کار را با استفاده از تزریق دستی SQL انجام دهید یا از ابزار های مناسب استفاده کنید.

بارگذاری پوسته PHP

ما هیچ یک از وب سایت های ذکر شده را اسکن نمی کنیم زیرا این کار غیرقانونی است. بیایید فرض کنیم که ما موفق به ورود به یکی از آن ها شده ایم. شما باید پوسته PHP را که از http://sourceforge.net/projects/icfdkshell/ دانلود کرده اید بارگذاری کنید.

آدرسی را که فایل dk.php را در آن بارگذاری کرده اید باز کنید. موارد زیر را دریافت خواهید کرد.

بارگذاری پوسته PHP در هک وب سرور

با کلیک بر روی URL Symlink به پرونده های موجود در دامنه هدف دسترسی خواهید یافت. پس از دسترسی به پرونده ها، می توانید اطلاعات کاربری ورود به پایگاه داده را دریافت کرده و هر کاری را که می خواهید مانند defacement، بارگیری داده مانند ایمیل و غیره انجام دهید.

منبع: guru99.com

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا