用户
搜索
  • TA的每日心情
    开心
    2017-5-24 20:08
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    安全团队

    Rank: 7Rank: 7Rank: 7

    6

    主题

    13

    帖子

    154

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2017-5-23

    i春秋认证

    发表于 2017-5-24 11:07:40 1110698
    本帖最后由 226safe_Team 于 2017-5-24 13:38 编辑

    原文地址:https://zhuanlan.zhihu.com/p/27073062
    作者:这次变成了226团队最丑,并且最黑的一位。怪大叔
    ================================================================

    前排的小故事
    作为一头“猿”出身的小王肩负着公司网站正常运作的重任,把公司网站的程序看得死死的出现了新的补丁第一时间修复并且也对公司网站做出了一些安全测试,心想一般的小黑都无从入手了吧,大牛也不会去折腾这种小站吧。想想不用因为这些事情而被老板 骂,扣工资,加班等等,啊~那美好的画面都已经浮现出来了~

    但是他的美梦并没有长久的持续下去。一天,领导打电话来“喂,小王你怎么做的?公司网站都被黑了,黑客都把首页改了,公司请你干嘛的?你拿工资又是干嘛的?”等着拿年终奖的小王瞬间懵逼,立马打开公司网站发现被挂“黑页”了,背已经被冷汗打湿了,想着杀千刀的,TM的年底了给老子玩这出,老子年终奖就tm没了,那一瞬间已经把那“黑客”的祖宗十八代都问候了。回想着该程序近期才看过并没有什么新的漏洞以及补丁啊,密码也是比较复杂的特殊字符、大小写和数字。想着种种被入侵的可能的同时也连接了服务器进行站点关闭以及查看日志溯源找入口点即使的把漏洞补上。但是进行了站点目录移动之后,小王惊奇的发现那“黑页”还杠杠的挂着,这里小王就意识到了,不是web程序出问题;不是服务器出问题,而是让他最意想不到的域名出了问题。这时候领导又来电话“怎么网站首页还是这个页面,你知不知道这对我们公司的形象造成了多大的影响?这个月的奖金扣了,年终奖也没有了,我限你立马解决这件事!”不等小王说话领导就已经把电话挂了,小王真是有气不知道往哪出,一脸憋屈的样子打开了域名商地址,发现果然是域名出了问题,解析ip被改。看了下会员登录日志并没有发现近期有人登录的记录,因为登录记录没有办法被删除所以排除了那“黑客”利用正常手法更改的解析地址。

    小王无奈的笑了笑,想到的攻击者很有可能是“忽悠”客服进行更改的域名解析ip。经过与域名商的对峙,域名商承认了是有人冒充是该域名的使用者让客服改的地址。

    常规性段落
    如今随着互联网的不断壮大,很多网民也开始尝试着搭建起属于自己的站点放点自己喜欢的东西,这些花销也不算太大。一般的网民会更加看重web程序和储存web程序的服务器,或者空间的选择问题上,以为大多数的问题都会在这里出现,故而忽略了选择域名商这块也是重中之重的。
    因为利用“社会工程学”的手段获取域名解析权限掩耳盗铃的“黑”一个网站很多时候比起从web程序或服务器入手会更加方便,虽然可能不能直接获取到网站的数据。

    无论你web程序和服务器做的多么牢不可破攻击者拥有域名更改权,还是被“黑”了。那么看到这里你会说:注册这些只要不是在很小的域名商那就好了呀,在国内知名的 某网,某某数码,某橙等等那些域名商注册就好了呀。对,通常我们都会选择一些知名的域名商去注册,这样会有安全感,但是这些知名的域名商就一定不会犯低级错误而导致你们网站被黑么?可能大多数朋友都不太怎么相信以为上面的纯属虚构,那么这里带给你们一个国内某个知名域名商犯下的错误导致客户网站“被黑”的真实案例。

    滑稽的真实美橙小栗子

    首先攻击者通过whois查询获取有用的信息
    域名注册商的信息
    邮箱信息
    1.png
    2.png

    什么?有这两个信息就可以让域名商改解析地址?没有这么儿戏吧?
    3.png
    不错,就是这么儿戏而且还是国内某域名商。
    接下来攻击者在国内某域名商网站上注册了一个类似的邮箱账号
    4.png
    进行提交工单
    这么吊,不是自己的域名也能提交工单???
    攻击者跟国内某知名域名商客服的对话。
    5.png
    6.png
    小编你的打码技术有待增强啊...
    7.png
    然后....
    8.png
    9.png
    那就不是说客服和技术有没有安全意识了,而且高度近视以及对工作的不负责任,对客户的不负责任啊...

    过程被攻击者发到网上去,小编才得知此事。
    11.png
    说好的没改呢。。。
    12.png
    有效的防御措施
    小编咨询了“226安全团队”的小伙伴们如何有效的避免这类域名被劫持的方案。
    226安全团队:其实对于避免域名劫持其实也没有说多大技巧做好5步骤。
    1.首先域名商要选好,建议新网或GoDaddy。新网是有针对性的单独客服专员;GoDaddy呢,毕竟联系起来也比较繁琐,故而避免类似这么低级的错误。(个人心目中比较好的)
    2.账号密码要繁琐,最好是特殊字符+大小写+数字,不要用常用密码。避免攻击者在“社工库”或组合猜到密码。
    3.注册的邮箱账号密码也得要繁琐,不要用常用密码。避免攻击者在“社工库”或组合猜到密码。
    4.域名需要设置绑定。
    5.做域名信息保护。

    通过几周与域名商的交流处理中得到了两年续费赔偿,这里作为一屌丝开说,好像是赚了…就是后期协调的态度有点???
    关注我们的小密圈~有更多福利哦
    aHR0cDovL3QueGlhb21pcXVhbi5jb20vNk0zYnFWeg== (二维码自动识别)
    作者:这次变成了226团队最丑,并且最黑的一位。怪大叔   亮了
    使用道具 举报 回复
    发表于 2017-5-24 11:34:48
    忠于理想 面对现实
    使用道具 举报 回复
    就剩地板了,我的天
    使用道具 举报 回复
    发表于 2017-5-24 20:13:04
    6666666666666666
    使用道具 举报 回复
    发表于 2017-5-25 09:21:29
    DNS劫持,防止最好的颁发是找一个安全的域名注册商,美橙的客服已经这样很多次了
    不服你TMD来打我啊!
    使用道具 举报 回复
    发表于 2017-5-25 10:40:57
    taro 发表于 2017-5-25 09:21
    DNS劫持,防止最好的颁发是找一个安全的域名注册商,美橙的客服已经这样很多次了 ...

    小编也很绝望
    使用道具 举报 回复
    发表于 2017-5-25 10:54:10
    很正常,我曾经直接找过维护网站的客服要到过管理员密码
    使用道具 举报 回复
    发表于 2017-5-25 16:19:27
    这么随意
    使用道具 举报 回复
    发表于 2017-5-26 00:05:50
    美橙互联.....
    使用道具 举报 回复
    发表于 2017-6-4 09:12:01
    提示: 作者被禁止或删除 内容自动屏蔽
    使用道具 举报 回复
    发表于 2017-7-6 00:11:46
    社工六人装x组经常用的套路
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册