虚拟主机凭借其低廉的价格,简便的操作,无维护费用等优势,迅速成为目前最为流行的建站方案。可以说,目前网络上有80%的网站是建立在虚拟主机上的。然而,当一种技术被应用到泛滥时,以前不被人重视的细节往往会被发掘出来。虚拟主机亦是如此,越来越多的安全问题使虚拟主机不断受到黑客的攻击。尤其是一些个人组建的虚拟主机,技术能力的不足直接导致虚拟主机漏洞百出。一个虚拟主机站点被黑客入侵,其结果往往是其他用户的站点一起遭殃,甚至被攻下整台服务器。
攻:轻松渗透,客户升级为系统管理员
一台权限设置严密的服务器可以保证每个虚拟主机的安全。然而,随着网络的发展,虚拟主机也越来越平民化,一些专为架设虚拟主机而编写的管理系统也如雨后春笋般出现。即便是一个只懂简单系统维护的菜鸟网管,也可以通过使用虚拟主机管理系统将一台普通服务器变成虚拟主机服务器。可是这些菜鸟网管往往忘了虚拟主机最重要的组成部分,从而产生一个严重的安全隐患——权限设置不严的虚拟主机。
一、权限设置不严,系统暴露无遗
如今很多虚拟主机服务器使用的都是Windows系统,管理员只在服务器上安装了虚拟主机系统,或者在安装完虚拟主机系统后进行了简单的安全设置,这都是不够的。我们可以在自己的虚拟主机中上传ASP木马或PHP木马,从而获得服务器的一个Webshell,对于权限设置简陋的服务器,我们还可以使用管理员权限执行任意命令,从而完全渗透服务器,获取虚拟主机服务器的控制权。
1、注册一个虚拟主机
我们先在虚拟主机服务商处注册一个FTP帐号名为piao,FTP密码为piaohubuding的虚拟主机用户(一般虚拟主机服务商都提供其虚拟主机产品的试用,可以利用这段时间测试一下服务器的安全性),注册完毕后获得一个二级域名piao.w12.***.com(如图1),使用FTP软件将网页上传到虚拟主机,然后输入获得的二级域名就可以访问我们的网站了。
图1 成功注册虚拟主机