详解拖库攻击 信息流向哪儿?

来源:ZDNET  作者:陈广成
2012/2/13 10:51:36
“‘拖库’本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。”瑞星安全专家王占涛在2011年度企业安全报告发布上说到。

本文关键字: 拖库攻击 信息流向

“‘拖库’本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。”瑞星安全专家王占涛在2011年度企业安全报告发布上说到。

“拖库”的通常步骤为:第一,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。

第二,通过该漏洞在网站服务器上建立“后门(webshell)”,通过该后门获取服务器操作系统的权限。

第三,利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。

黑客“拖库”攻击的常用方法

王占涛表示,根据瑞星互联网攻防实验室的统计,目前针对服务器端的黑客攻击,主要分为漏洞利用、弱口令及默认配置利用、远程运维风险、内部运营疏忽等。

1、漏洞利用是最容易出问题的大类。由于Web应用的开放性,Web应用程序越来越多,其带来的安全漏洞必然会随之增加,而且这些漏洞通过传统的网络安全设备无法识别,使得企业即使配置了传统的防火墙等设备,也无法阻止黑客针对这些漏洞的攻击。

2、弱口令和默认配置带来的危险。由于安全涉及到的软硬件设备非常庞大,包括操作系统、数据库、应用程序、路由器、移动终端等等,几乎所有的部分都可能有默认密码、默认账户权限等,如果安装部署的时候未改动,这些默认密码和设置就会被黑客利用,进而发动攻击。

3、远程运维风险。事实上,很多企业、网站都会给员工开通远程维护权限,比如网络编辑可以在家里发布文章、网络管理员可以远程维护服务器,由于在远程维护中涉及到多个环节,根本没办法做到像公司环境下那样的安全。例如,家里使用的PC经常会上不同的网站,可能被木马入侵,而公司里只允许安装商业程序的PC相对而言就会好很多。在这种情况下,远程运维就会存在一定风险。

4、内部运营风险。这包括内部员工的权限分配疏忽、不适当地服务器维护制度、数据库备份被滥用等等。事实上,CSDN外泄的数据库,就是因为未曾加密的数据库备份被放在服务器上,使得黑客可以进行直接下载。

不同数据泄露带来的多种攻击危害

企业分为多种类型,“拖库”成功之后,黑客会对数据库进行深加工处理。王占涛表示,黑客根据其实用程度、透露信息的多少出售给相关需求方,各种数据的利用方式是不同的。

· 媒体型互联网站如果到拖库攻击,泄漏的是邮箱账户和密码的组合。这样的数据库,黑客通常会利用其猜测其它网站的密码,或者收集邮箱账户做成数据库,卖给垃圾邮件发送者。

· SNS网站会有较多的个人信息,黑客可以利用这些资料进行网络诈骗、网络钓鱼、“QQ借钱诈骗”等。

· 电商网站的数据库主要包含了用户的购买行为、住址、手机号、支付账号等信息,主要用于网络诈骗、网络营销等。黑客可以攻击大型网站,将那些具有购买能力、经常购物的用户资料出售给其竞争对手。

· 旅行、酒店类网站的数据更加全面,由于我国的酒店业要求身份证登记,所以一旦数据库外泄,会造成几乎所有的个人隐私曝光。

· 银行证券类网站属于安全等级较高的类型,他们一旦出现安全漏洞,在短时间内就会被黑客疯狂利用,造成巨大的金额损失。

· 还有一类专门针对企业内部网络数据库的攻击,尽管有些单位采用了“核心业务与互联网物理隔离”的方式预防黑客攻击,但该网在有些情况下对公众有限度开放,尤其是带有WIFI节点的网络,极其容易遭到黑客通过WIFI接入企业内网,窃取内网数据库。

企业应对“拖库”攻击

王占涛表示,针对上述风险,应对企业传统安全产品、流程及运营进行全方位改造,以适应越来越恶劣的安全形势。

1、企业安全涉及多个部分,包括操作系统、数据库、WEB应用等软件,也包括服务器、路由器、网关等硬件,在部署如此庞杂繁复的IT系统时,应把安全作为首要考虑因素。

2、安全管理的动态化和长期化。作为整个系统中最薄弱的环节,应用安全是最需要网络管理者关注的部分。网络管理者应该把安全管理作为一种动态的行为,从系统建设开始生命周期,风险评估、安全加固、风险审计应该贯穿于整个过程中。

3、利用自动化工具来提升安全检测效率。对网站密码库的安全性进行深度检测,扫描包括SQL注入、弱口令、XSS跨站攻击等弱点,并给出专业的分析报告和修复建议,帮助网站保护用户密码库。

4、在关键业务模块和核心领域,应做专业安全风险检测。在关键业务启动前,可以先由专业团队进行渗透性攻击测试,根据测试结果优化安全管理流程,对于容错性、安全风险等做出全面评估和修改。

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918