Les pirates informàtiques del servidor es produeixen cada dia. Els pirates informàtics són conscients de centenars d’escletxes mitjançant les quals es pot obtenir un o altre nivell d’accés al servidor. En alguns casos, les vulnerabilitats permeten accedir a les dades confidencials dels usuaris i, de vegades, l’hacker aconsegueix el control total del recurs. Com protegir-se dels atacs de pirates informàtics?
Instruccions
Pas 1
Per protegir el vostre servidor de la pirateria informàtica, heu de conèixer els mètodes bàsics d’atacs de pirates informàtics. En tancar possibles escletxes, augmentareu significativament la seguretat del vostre recurs. Tot això no interessa als pirates informàtics (tots ho saben molt bé), però pot ser útil per als propietaris de servidors.
Pas 2
Com s’ataca el servidor? En primer lloc, un pirata informàtic intenta entendre quin programari hi ha instal·lat. Per fer-ho, pot obrir un lloc situat al servidor i introduir una sol·licitud errònia. En resposta a aquesta sol·licitud, un servidor configurat incorrectament emet un missatge d'error i l'acompanya amb alguna cosa així: Apache / 2.2.14 (Unix) mod_ssl / 2.2.14 OpenSSL / 0.9.8e-fips-rhel5 mod_auth_passthrough / 2.1 mod_bwlimited / 1.4 FrontPage / 5.0.2.2635 Server a www.servername.com Port 80.
Pas 3
Per a un pirata informàtic, la informació anterior pot ser molt útil: veu la versió del servidor HTTP instal·lat (Apache / 2.2.14) i versions d'altres programes i serveis. Ara pot cercar exploits (codis maliciosos) per a vulnerabilitats a les versions d’aquests serveis. I si l'administrador del sistema no ha tancat les escletxes existents, el pirata informàtic podrà accedir a l'ordinador. Un servidor configurat correctament no ha de proporcionar cap informació detallada sobre si mateix, ni pot mostrar informació distorsionada deliberadament.
Pas 4
Una de les maneres més senzilles de piratejar, sovint donant resultats, és veure les carpetes del servidor. Molt sovint, els administradors s’obliden d’establir els drets per visualitzar-los, de manera que un pirata informàtic, després d’haver determinat l’estructura del lloc amb l’ajut de les utilitats adequades, obre fàcilment carpetes que no estan pensades per visualitzar-les. Si l’administrador és novell, un pirata informàtic pot trobar molta informació útil en aquestes carpetes. Per exemple, l’inici de sessió i la contrasenya de l’administrador. La contrasenya se sol xifrar amb l'algorisme md5, però hi ha molts serveis a la xarxa per desxifrar. Com a resultat, l’hacker aconsegueix un control complet sobre el lloc. Conclusió: definiu els drets per llegir fitxers i obrir carpetes.
Pas 5
Molt sovint, els pirates informàtics entren en bases de dades mitjançant les vulnerabilitats sql trobades. Hi ha utilitats especials que faciliten enormement el "treball" d'un pirata informàtic. Amb la seva ajuda, en qüestió de minuts, es determina la presència d’una vulnerabilitat, es determina el nom de la base de dades, es calculen les taules i les columnes, després del qual l’hacker té accés complet a la informació emmagatzemada a la base de dades, per exemple, inicis de sessió i contrasenyes, dades de la targeta de crèdit, etc.
Pas 6
Assegureu-vos de provar els vostres recursos per detectar vulnerabilitats sql, per això podeu utilitzar programes de pirates informàtics. Per exemple, NetDeviLz SQL Scanner. Introduïu l'adreça del vostre lloc al programa i feu clic al botó. Si hi ha una vulnerabilitat, l'adreça del lloc apareixerà a la finestra inferior.
Pas 7
És bastant habitual que un administrador faci servir una contrasenya molt senzilla i fàcil d’endevinar. Per a això, s’utilitzen programes especials: forçadors bruts, que recullen una contrasenya mitjançant diccionaris o mitjançant algoritmes especials. La vostra contrasenya ha de tenir com a mínim 8 caràcters, introduir-se en casos diferents i incloure lletres, números i caràcters especials: @, $, etc.
Pas 8
Comproveu si els recursos són vulnerables a XSS, ja que són molt habituals. Utilitzant aquesta bretxa, un pirata informàtic pot obtenir les vostres cookies. En substituir-los en lloc dels seus, entrarà fàcilment al lloc que es troba al vostre compte. Per comprovar si hi ha possibles vulnerabilitats al recurs, utilitzeu un programa XSpider completament legal.