网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　“用户名admin，密码还是admin;还有几个管理员的密码是123456，这个网站真是太糟糕了，一个安全级别高点的密码都没有。” Fly-T有点抱怨地说，也许是觉得密码得来太容易了。

　　实战点评

　　很多黑客都有类似Fly-T所用到那款软件，一般来说自己编写的黑客工具用起来更加顺手，这对有一定技术水平的黑客来说并不费事。从上述攻击过程来看，Fly-T的攻击过程很顺利，这步完成后，入侵成功的可能性就很大了。

　　第四步：入侵网站

　　Fly-T再次打开浏览器，输入和“”。他说自己在尝试直接找到管理员界面登录入口，如果成功，直接输入刚才得到用户名和密码，就能攻破网站。可惜，几次尝试都没有成功。Fly-T开始有些牢骚，不过他告诉记者这只是时间的问题，网站已经逃不出他的手掌心了。

　　下一步，Fly-T在电脑上运行ipconfig/all命令，接着利用最常用的DOS命令Dir打开网站服务器C盘根目录下的所有文件和文件夹，整个界面就像Fly-T在使用自己的电脑一样。

　　“哦，原来入口是manage!”虽然小经波折，Fly-T还是很顺利地找到了网站入口。用IE登录入口，并用前面的用户名和密码登录，网站数据库的大门被彻底打开了。

　　实战点评

　　没错，就是时间问题，因为在上一步中Fly-T已经获取了最重要的信息。

　　第五步：留下后门

　　“事情还没完呢。”Fly-T边说边往入侵的服务器远程上传了一个以asp为后缀名的图片木马文件。他说这是最常见的留后门的方法。一般来说，后门程序也是黑客自己编辑的，只要打开后门，黑客就可以像网站管理员一样自如地执行各种命令。

　　Fly-T告诉记者，此时如果要修改数据库中的信息，可以用SQL修改工具连接数据库，里面有数不清的内容都可以随意修改，比如某某考生的成绩等。不过到了这一步Fly-T就没有再继续操作，他的任务已经完成。

　　整个看似复杂且专业的操作仅仅用去了50分钟，其中还包括Fly-T向记者解释每步操作所消耗的时间。Fly-T无奈地说，事实就是这样残酷，许多政府和职能部门网站的安全系数就是这么低，不法分子想利用的话，其实非常方便。

　　实战点评

　　高明的黑客在完成入侵后，还会修改日志，擦去所有自己留下的“脚印”，以免被网站管理员察觉。不过这次仅是模拟入侵，也就没有必要“吃完后抹嘴了”。

　　记者调查

　　拿站吧：网站入侵者的聚集地

　　在国内专门从事网站入侵的黑客圈子中，有一个颇有名气的地方叫“拿站吧”。不少黑客会在上面发贴，做广告，收费帮人破解网站，取得服务器权限。也有不少人在该帖吧上留言，开出千元以上的价格悬赏黑客来破解他自己建的网站。

　　记者随机选取了某北方省级卫生厅的网站，通过QQ一共联系了7名“黑客”，假称要付费破解其“医师资格查询”数据库的修改权限，其中三名立即回应了记者。

　　黑客A说看过目标网站，难度不大，“1000元即可，正式接单后3个小时之内就可以搞定，预付20%定金”。他同时还给了记者四家银行的账号，并告诉记者这些账户全部开通手机银行，3秒钟手机短信自动提醒具体汇款金额。不过记者在查询该黑客给记者的手机号码时发现，有人在某投诉网站称，黑客A收到定金后就不肯干了，说要加钱才愿意做。

　　黑客B的开价最高，4000元，而且不接受还价，甚至还要求先付60%的定金。“诚心做的话，第二天下午可以完工。”为让记者相信他的技术实力，黑客B让记者打开一家福建某企业的网站，用他给的地址和密码，记者果然进入服务器，可以下载任意文件。当记者提出为了避免上当，能否用支付宝交易时，黑客B表示同意。

　　最为积极的回应是黑客C。当记者表示不太懂技术时，他表示自己拿到服务器权限后，可以远程演示给记者看，“手把手”教记者添加服务器权限，这步成功了，确认后再付款也行。

　　安全专家：不存在绝对的网络安全

　　分工明确的黑客产业链已形成

　　翱欧邻信息安全技术(上海)有限公司安全分析工程师金圣武浏览了案例中提到的两家政府网站，告诉记者：“破解并不困难，不过没有取得对方的授权，我无法实际操作给你看。”

　　某杀毒厂商安全工程师向记者表示：“在黑客眼中，攻击政府网站的价值不高，一方面这些网站流量不太大，而且政府网站有一定威慑力，黑客一般不会去主动攻击。但利用数据库去伪造证件，有这样的巨大利益在其中，那黑客攻击也就很正常了。”该工程师还向记者强调，目前国内黑客圈已经形成了一条产业链，分工明确。