為什麼網站才剛上線就被攻擊?

Photo by Arget on Unsplash

# 前言

剛出生的嬰兒最好欺負,網站也是一樣,網站初建時不管是為了方便測試或維護,都會對外開放較多的服務,駭客也容易在此時趁虛而入。
本文會先簡單介紹一下駭客如何找到新建立的網站,並實測一下這個方法可以找出多少 7 天內架設的網站,再從這些網站的掃描結果中整理出 5 種最常見且有弱點的服務,並討論一下弱點可能帶來的風險與防範方式 。

# 工具介紹

這邊介紹兩個測試中用到的工具,第一個工具整理了每天有哪些人來申請新的網域,因為新網域上大多也是新建立的網站,所以這些網域上的網站就是我們的測試對象。另外一個工具則是去掃描這些網站開放了那些服務。

# 1. Whois Data Center

Photo by Arget on Unsplash

# 簡介 :

Whois Data Center 收集了從 1985 年以來全球 Whois 資料庫的數據,更重要的是將些龐大的數據整理與分門別類,像是新註冊的網域、即將過期的網域、已經刪除的網域等等,可惜的是大部份功能與資料都要收費。

# 背景知識 :

# 網域(Domain):

在網路的世界中,網站會有一組 IP 位址,使用者可在瀏覽器輸入 IP 位址來找到對應的網站。不過 IP 位址是一組不容易記憶的數字。為了讓瀏覽網站更容易,網域的概念便應運而生,簡單一點說就是平常在網址列看到除了 http:// 開頭的那一段(ex. google.com)。

# Whois :

網站在申請網域後,負責管理 Domain與 IP 的註冊商會依照 ICANN(註 1) 的規定將資訊公開在 Whois 資料庫。Whois 是非集中管理式的資料庫,註冊數據保存在不同的位置,並由複數註冊商共同管理,所有人都可以藉由 Whois 查詢到域名的擁有者與聯繫信息,聯繫信息中包括郵寄地址、電話號碼和電子郵件。

# 使用方式 :

這次我們會用到的是新註冊的網域,在 Whois Data Center 最近 7 天的新註冊網域資料是免費的,任何人都可以下載,包含駭客。
下載位置 : https://whoisdatacenter.com/free-database

# 2. NMAP

Photo by Arget on Unsplash

# 簡介 :

NMAP(Network Mapper)是一款開源的網絡探測和安全審核的工具。它的設計目標是快速地掃描大型網路。NMAP的功能非常豐富光介紹就可以寫數篇文章,所以這邊只著重在測試中有用到的功能。

# 安裝方式 :

Linux(Debain) 系統可參考下列命令安裝,Windows 則需從到官網下載安裝檔。

sudo apt-get install nmap

# 使用方式 :

NMAP 預設會掃最常見的 1000 個 Port,T4 與 sS 都是加速掃描的選項。

nmap -T4 -sS example.com

# 實例分享

從 Whois Data Center 收集來一週內新註冊網域來當測試對象,實際上總共找到了約 46 萬個不同的網域,接著用 NMAP 對所有找出來的網域進行 Port Scan,最後從結果中整理出 5 個新網站最常見且有弱點的服務,排名方式以網站數量為準。


# NO.5 RDP

# 1. 網站數量 : 7147(約佔總數 1.6%)。

# 2. 服務類型 : 遠端控制。

# 3. 對外 Port : 3389。

# 4. 弱點說明 :

RDP(Remote Desktop Protocol) 是 Windows 內建的遠端控制功能,特點之一是會把登入過的使用者帳號顯示出來,這大幅降低了駭客暴力破解難度,用 Windows Server 來架站比較常出現這個問題。


# NO.4. PostgreSQL :

# 1. 網站數量 : 31983 (約佔總數 7.0%)。

# 2. 服務類型 : 資料庫。

# 3. 對外 Port : 5432。

# 4. 弱點說明 :

PostgreSQL 是一個強大的開源資料庫,一般狀況下該資料庫限制只有本地機器才可存取,但有些人為了方便將其對外開放,對外開放就要特別注意暴力破解的風險跟禁用預設帳號。


# No 3. MySQL :

# 網站數量 : 38458(約佔總數 8.3%)。

# 服務類型 : 資料庫。

# 對外 Port : 3306。

# 弱點說明 :

MySQL 是老牌且有著高市佔率的資料庫,危險的地方在於預設帳號 root 的密碼是空白,資料庫安裝時如果沒有改設定又對外開放,駭客有機會長驅直入。

# 修復建議 :

資料庫安裝完畢後盡快移除 root 帳號,否則就算沒有使用空密碼也有被暴力破解的風險,另外建議限制 IP 來源,下方範例為更改所有現有的用戶只能從指定 IP 登錄。


# No 2. SSH :

# 網站數量 : 65041(約佔總數 14.1%)。

# 服務類型 : 遠端控制。

# 對外 Port : 22。

# 弱點說明 :

SSH 是遠端控制最常見的方法,協議本身安全性很夠,但帳號密碼強度太弱時還是很危險,越常見的功能也越常被駭客盯上。

# 修復建議 :

改用公私鑰登入,駭客偷鑰匙難度比猜密碼難度難上太多了,已經有很多人分享過了,就不重複介紹。


# No 1. FTP :

# 網站數量 : 77899(約佔總數 16.9%)。

# 服務類型 : 檔案傳輸。

# 對外 Port : 21。

# 弱點說明 :

FTP 是最常用的檔案傳輸協議,但它本身的安全性不足,不管是傳輸或登入皆使用明碼傳輸,有很高的資料外洩風險,更不用說 FTP 還支援無帳密登入(anyoneuser),FTP 傳檔雖方便但真的不適合對外開放。

# 修復建議 :

如有對外需求改用 SFTP 或其他有權限控管的檔案傳輸方案,否則盡快關閉對外的 FTP 服務。

# 總結

現在越來越多人將網站架在雲上,減少維運成本的同時還可以讓 CSP 業者幫你把關資安問題,但不管怎麼把關也阻止不了你自己開洞給駭客鑽,網站架在雲上用到遠端服務的機會很多,多花一些時間了解該服務並進行安全性設定,這樣才能保證,不管是資安還是品質,我全都要。

這些問題在成熟的網站上比較少見,因為在網站穩定後大多會關閉這些對外服務,但駭客也知道這個狀況,盯著新建的網站攻擊,想辦法在架站初期植入後門,之後就算網站穩定後關閉對外服務,後門也不會跟著消失。

這 5 個常見問題不以弱點的嚴重程度來排名是因為其安全性與設定完善程度有關,實際測試的過程中有部分的網站已經有做好安全性設定,駭客實際上是打不進去的,但也有找到部分網站使用預設帳號密碼,甚至是開放無帳密登入,這類網站受到攻擊的機率非常高,如果擔心自己的網站也屬於這一類的話,還未上線的網站可用前面提到的 NMAP 指令在內網進行測試,已上線的網站可以參考前一篇文章用 Shodan 或 FOFA 從外網進快速進行檢測。

文章連結 : 駭客的起手式工具 : Shodan & Fofa

Tag

Recommendation

  1. 當 Google Hacking 遇到 reCAPTCHA
  2. 駭客起手式 : Shodan & Fofa
  3. 淺談 XSS 攻擊與防禦的各個環節
  4. 零基礎資安系列(二)-認識 XSS(Cross-Site Scripting)
  5. 從Indexing的角度切入MySQL-Innodb與PostgreSQL的效能比較

Discussion(login required)