俄罗斯黑客攻击我网站的六种方式

俄罗斯黑客攻击我网站的六种方式

俄罗斯黑客攻击我网站的六种方式

直到今天，“俄罗斯黑客”这个说法还像是新闻炒作的臆想。结果发现，事实并非如此。他们是真实存在的。他们攻击过我，他们也能攻击你。

首先我要明确一点，这篇文章提供了这名俄罗斯黑客的文件以及我追踪到他的所有信息的真实链接。我没有粉饰任何内容。如果您觉得点击这些链接不舒服，请不要点击。如果您选择点击这些链接，请使用VPN，避免在您的电脑上运行他的文件，注意安全。如果您与他的内容互动，我对此不承担任何责任。

看到我的简介图片后，你可能已经猜到了，黑客通过我网页上的一个输入框对我进行了注入攻击。简单来说，他在搜索栏里输入代码，看看能否让我的服务器按照他想要的方式运行，而不是按照我的指令运行。如果我没有妥善处理从这个输入框收集的数据，他可能就得逞了。

现在，我不想绕圈子，也不想抽象地告诉你任何事情。我认为了解黑客们现在的攻击手段很重要，这样我们才能更好地保护自己。所以，我决定在这里放一张这位黑客在我的搜索栏里输入的“搜索”的实际截图。

您可以忽略每行末尾的 0 和每行开头的“groupSites0”。这些是搜索过滤器，与每次搜索的恶意方面无关。让我们来看看这些攻击方法的精髓。

攻击＃1：“etc/group”文件搜索

我刚刚了解到“ etc/group ”文件，这也是本文被列为“讨论”文章的原因之一。我会分享我所知道的内容，如果您有更多建议，请在评论区告诉我。据我所知，这位黑客假设我的服务器使用的是 Linix/UNIX 操作系统。在 Linix/UNIX 操作系统中，etc/group 文件包含所有拥有服务器权限的用户列表，如果您想冒充我并访问我的后端，这将非常有用。这里的“../”只是表示他试图访问我后端文件系统中的父目录。这与此处的攻击方法关系不大。

攻击＃2：FTP文件注入

这是迄今为止我最喜欢的黑客攻击方式。他试图从自己的服务器上传一个文件到我的服务器，但他没想到我会记录他的搜索记录以便备份数据库。他试图将他的FTP连接到我的服务器，结果却让我访问了他的文件。你看到上面第671行的URL了吗？那是他真正的FTP服务器，你可以访问ftp://ref:ref@dahli.rosinter.ru:21，不过如果你比较谨慎的话，我可以帮你省去这个麻烦。我附上了他的文件截图，可以在这个链接里找到。

他有很多关于一家名为Qlik的公司的文件，而他的 FTP主域名要么是俄罗斯食品公司，要么假装是一家俄罗斯食品公司。你看到的那个test.txt文件就是他试图上传到我服务器的文件。里面有什么？其实没什么危害，只是有点不祥。

攻击＃3：“phpinfo”探测

phpinfo基本上能告诉你关于我 PHP 设置的所有信息。它会告诉你我运行的 PHP 版本、脚本在自动终止前运行了多长时间、我试图隐藏哪些环境变量以免被窥探，以及其他大量有用的信息。但实际上，黑客在这里寻找的只是看看他能否从我这里获取任何信息。在试图弄清楚我成千上万个用户的密码之前，更容易的做法是先使用 phpinfo 看看我是否容易受到攻击。

攻击＃4：Base64注入

这是另一个伪装的 phpinfo 探测器。Base64 字符串通常用作图像的文本格式版本，但这个是 PHP 文件的文本格式。当你解码data:;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==时，猜猜你会得到什么命令？没错，就是 <?php phpinfo(); ?>。欢迎在这里亲自尝试一下。

攻击＃5：进一步搜索“etc/group”文件

攻击者第一次搜索“etc/group”文件时失败了，所以他想再尝试一下其他目录。这次同样没有成功，但尝试得不错。

攻击 #6：w;w;w

我实在搞不懂这个。他好像在给自己设置写权限？如果社区里有人能在评论区留言告诉我这是什么问题就好了。

最可怕的部分...

我给搜索栏里的所有搜索都加了时间戳。这六次搜索都是在30秒内执行的（从早上6:36:32到早上6:36:59）。这意味着这个人的整个过程都是自动化的。他从一个网站到另一个网站，四处寻找可以利用的漏洞，一旦找到，他就知道很多利用漏洞的方法，从而得到他想要的东西。而且，他所做的一切都是通过无法追踪到他的VPN连接进行的。如果你感兴趣的话，以下是他使用的IP地址：

• 82.150.140.160（未列入黑名单，位于荷兰阿姆斯特丹）
• 79.170.40.224（黑名单，位于英国伦敦）
• 79.170.40.225（英国伦敦，被列入黑名单）

请以此为契机，认真学习，谨慎发展。并非所有人都遵守规则。

--

纳斯蒂牛