Les piratages de serveurs se produisent tous les jours. Les pirates informatiques sont conscients des centaines de failles à travers lesquelles l'un ou l'autre niveau d'accès au serveur peut être obtenu. Dans certains cas, les vulnérabilités vous permettent d'accéder aux données confidentielles des utilisateurs, et parfois le pirate obtient un contrôle total sur la ressource. Comment se protéger des attaques de hackers ?
Instructions
Étape 1
Pour protéger votre serveur contre le piratage, vous devez connaître les méthodes de base des attaques de pirates. En comblant d'éventuelles failles, vous augmentez considérablement la sécurité de votre ressource. Tout ce qui suit n'intéresse pas les hackers (ils le savent tous très bien), mais cela peut être utile aux propriétaires de serveurs.
Étape 2
Comment le serveur est-il attaqué ? Tout d'abord, un hacker essaie de comprendre quel logiciel est installé sur lui. Pour ce faire, il peut ouvrir un site situé sur le serveur et saisir une requête erronée. En réponse à une telle requête, un serveur mal configuré émet un message d'erreur et l'accompagne de quelque chose comme ceci: Apache / 2.2.14 (Unix) mod_ssl / 2.2.14 OpenSSL / 0.9.8e-fips-rhel5 mod_auth_passthrough / 2.1 mod_bwlimited / 1.4 FrontPage / 5.0 2.2635 Serveur sur www.servername.com Port 80.
Étape 3
Pour un pirate informatique, les informations ci-dessus peuvent être très utiles - il voit la version du serveur HTTP installé (Apache / 2.2.14) et les versions d'autres programmes et services. Il peut désormais rechercher des exploits (codes malveillants) de vulnérabilités dans les versions de ces services. Et si l'administrateur système n'a pas comblé les failles existantes, le pirate pourra accéder à l'ordinateur. Un serveur correctement configuré ne doit pas donner d'informations détaillées sur lui-même, ou peut afficher des informations délibérément déformées.
Étape 4
L'un des moyens les plus simples de pirater, donnant souvent des résultats, consiste à afficher les dossiers sur le serveur. Très souvent, les administrateurs oublient de définir les droits pour les afficher, de sorte qu'un pirate informatique, après avoir déterminé la structure du site à l'aide d'utilitaires appropriés, ouvre facilement des dossiers qui ne sont pas destinés à être consultés. Si l'administrateur est novice, un pirate peut trouver de nombreuses informations utiles dans de tels dossiers. Par exemple, l'identifiant et le mot de passe de l'administrateur. Le mot de passe est généralement crypté avec l'algorithme md5, mais il existe de nombreux services sur le réseau à décrypter. En conséquence, le pirate informatique acquiert un contrôle total sur le site. Conclusion: définissez les droits de lecture de fichiers et d'ouverture de dossiers.
Étape 5
Très souvent, les pirates informatiques s'introduisent dans les bases de données en utilisant les vulnérabilités SQL trouvées. Il existe des utilitaires spéciaux qui facilitent grandement le "travail" d'un pirate informatique. Avec leur aide, en quelques minutes, la présence d'une vulnérabilité est déterminée, puis le nom de la base de données est déterminé, les tables et les colonnes sont calculées, après quoi le pirate obtient un accès complet aux informations stockées dans la base de données - par exemple, identifiants et mots de passe, données de carte de crédit, etc.
Étape 6
Assurez-vous de tester vos ressources pour les vulnérabilités SQL, pour cela, vous pouvez utiliser des programmes de piratage. Par exemple, NetDeviLz SQL Scanner. Entrez l'adresse de votre site dans le programme, cliquez sur le bouton. S'il y a une vulnérabilité, l'adresse du site apparaîtra dans la fenêtre inférieure.
Étape 7
Il est assez courant qu'un administrateur utilise un mot de passe très simple et facile à deviner. Pour cela, des programmes spéciaux sont utilisés - des brute-forcers, qui récupèrent un mot de passe à l'aide de dictionnaires ou d'algorithmes spéciaux. Votre mot de passe doit comporter au moins 8 caractères, saisis dans des casses différentes et inclure des lettres, des chiffres et des caractères spéciaux - @, $, etc.
Étape 8
Vérifiez vos ressources pour les vulnérabilités XSS, elles sont très courantes. En utilisant une telle faille, un pirate informatique peut obtenir vos cookies. En les remplaçant à la place des siens, il entrera facilement sur le site sous votre compte. Pour vérifier votre ressource pour d'éventuelles vulnérabilités, utilisez un programme tout à fait légal XSpider.
