Знання способів нападу дозволяє вибудувати ефективну стратегію захисту - це правило актуально не тільки в армійських колах, а й на просторах інтернету. Розуміючи, як хакери зламують сайти, ви зможете заздалегідь закривати можливі уразливості вашого ресурсу.
Інструкція
«Залити шелл на сайт »- означає використовувати наявну на сайті вразливість з метою впровадження шкідливого скрипта (веб-шелла), що дозволяє хакеру управляти чужим сайтом через командний рядок. Найпростіший PHP-шелл виглядає так:
Хакеру не обов'язково створювати власний веб-шелл, подібні програми вже давно написані і володіють дуже великим набором функцій. Завдання хакера полягає в тому, щоб залити готовий шелл на сайт, зазвичай для цього застосовуються SQL- і PHP-ін'єкції.
SQL-ін'єкції використовують помилки в організації доступу до баз даних. Впроваджуючи в запит свій код, хакер може отримати доступ до файлів бази даних - наприклад, до логінів і паролів, даними банківських карт і т.п. PHP-ін'єкції засновані на помилках в PHP-скриптах і дозволяють виконати на сервері сторонній код.
Як дізнатися, чи є на вашому сайті вразливості? Можна вручну вводити певні команди, поставляти значення в адресний рядок і т.д, але для цього потрібні певні знання. Крім того, немає ніякої гарантії, що ви перевірите всі можливі варіанти. Тому скористайтеся для перевірки спеціалізованими утилітами - наприклад, програмою XSpider. Це абсолютно легальна програма, створена для мережевих адміністраторів, з її допомогою ви зможете перевірити свій сайт на уразливості. Її демоверсію можна знайти в мережі.
Існує безліч програм для пошуку вразливостей, створених хакерами. Використовуючи ці утиліти, адміністратор може перевірити свій сайт тими ж інструментами, якими його можуть спробувати зламати. Щоб знайти ці інструменти, наберіть в пошуковику «SQL-сканери» або «сканери PHP-вразливостей». Як приклад утиліти, що дозволяє, при наявності SQL-уразливості, отримати інформацію з бази даних, можна привести програму Havij - Advanced SQL Injection Tool. Перевірити свій сайт на присутність SQL-уразливості можна за допомогою хакерської утиліти NetDeviLz SQL Scanner. Виявлені уразливості слід негайно усунути.