黑客入侵政府网站 证书造假牟取暴利

以黑客手段入侵提供公众服务的政府网站，取得网站数据库管理员权限，添加伪造数据，然后根据伪造数据制作假医师资格证、教师资格证牟利，这是前不久发生在国内的一个真实的案例。该案件共涉及十余名犯罪嫌疑人，其中一人非法牟利达200多万元。入侵的网站涉及江西、湖北、贵州、四川、江苏等11个政府网站，修改相关数据700余个。

入侵实战演习 一次入侵仅耗时50分钟

入侵实施者：Fly-T（黑客）

实战点评：朱翼翔（信息安全专家）

一台普通笔记本电脑，一间普通办公室，Wifi无线上网……坐在记者身边的黑客Fly-T（化名），正准备模拟一次黑客攻击，目标就是政府网站！

20出头的Fly-T外表并不起眼，身着红白条纹衬衫，黑色西裤，和普通企业中的工程师没有什么两样。在Fly-T已经开着的笔记本电脑中有各种黑客工具，他就像一位计算机老师一样，一边操作，一边向记者解释他正进行的每一步。

在入侵之前，他与记者达成的共识是此次模拟入侵将不篡改任何网页和数据库信息，仅仅作为对该政府网站安全性进行的一次深入检测。因为医疗和教育已成为不法黑客的攻击重点，所以此次记者为Fly-T挑选的攻击目标是一个本市某区教育系统网站。

第一步：收集信息

按照记者所提供的网址，Fly-T用IE打开了该网站，粗粗浏览一遍网站后，他胸有成竹地说：“应该不会很困难。”

Fly-T在百度搜索框中输入“whois”，在搜索结果中随便挑选一个点击后，打开了一个域名查询服务页面。在查询框中输入目标网站的域名，也就是www.***.com，该网页就跳出域名注册的详细信息，包括注册联系人、电子邮箱、地址、电话等。

Fly-T说，这些信息很重要，一些公司网站经常以电话号码等信息作为网站管理员密码。但在黑客眼中，这样的做法很愚蠢，这等于让他们不费吹灰之力就得到了网站大门的钥匙。

实战点评

这一步仅算是预热，大致摸清网站的基本概况，但还未涉及任何黑客技术。

第二步：扫描端口

接着，Fly-T像是想起了什么，打开CMD命令行，Ping了一下网站地址。他解释说，根据Ping命令所显示结果中的TTL数值，有经验的黑客大概能估计出目标服务器系统软件是Windows、Linux或是其他。根据结果显示，此次的目标网站采用的是常规Windows系统。

然后，Fly-T开始利用网络扫描和嗅探工具包软件扫描网站端口。他边扫描变嘴里嘟囔着：“21、25、53、80、110……”他发现有不少端口都开着，开始琢磨并选定最终的攻击方法。

在正式展开攻击之前，Fly-T先用很常见的FTP命令尝试连接21端口。“没连上，21端口是受限的。” 不过，他表示这在预料中。

实战点评

端口就像网站服务器的一扇扇门，一般情况下门是关上的，但只要黑客找到钥匙，就能打开门锁。显然这里指的钥匙就是管理员的用户名和密码，而21端口主要提供远程连接服务器上传下载文件。

第三步：主攻开始

Fly-T随手点开一个电脑桌面上的图标，他告诉记者这是他自己写的程序，可以用来对网站的Web页面进行检测，主要是检测网站动态页面的数据库操作是否安全。

通过软件扫描，果然找到了网站上某个页面存在安全漏洞。Fly-T解释说，这是因为网站的开发者只关注了动态页面的功能实现，完全没考虑是否有安全隐患。

接下去的操作就简单多了，Fly-T用自己编写的这个软件，很快就锁定后缀名为dbo的一个数据库，并检索其中的数据表。他之前就告诉记者，这个扫描过程可能是整个入侵中最耗时的。

“哇，怎么会这样，”一直心平气和的Fly-T忽然尖叫一声，“没想到其他黑客早就来过了。” Fly-T笑道，显然My_cmd_45657、t_jiaozhou等都是非常规数据表名称，肯定都是以前黑客留下的，而ADMIN、Employee、X60、NEWS、Achievement等都是常规的数据库表文件。

“你看ADMIN内应该有网站管理员的重要信息，我现在就列出这个数据库表内的信息。”据记者观察，Fly-T自己编写的这款软件非常智能，它甚至能有选择地列出ADMIN内的信息。很快，像用户名、密码、最后登录时间等信息，一一出现在电脑屏幕上。

“用户名admin，密码还是admin；还有几个管理员的密码是123456，这个网站真是太糟糕了，一个安全级别高点的密码都没有。” Fly-T有点抱怨地说，也许是觉得密码得来太容易了。

实战点评

很多黑客都有类似Fly-T所用到那款软件，一般来说自己编写的黑客工具用起来更加顺手，这对有一定技术水平的黑客来说并不费事。从上述攻击过程来看，Fly-T的攻击过程很顺利，这步完成后，入侵成功的可能性就很大了。

第四步：入侵网站

Fly-T再次打开浏览器，输入www.xxx.com.admin.asp和“www.xxx.com.login.asp”。他说自己在尝试直接找到管理员界面登录入口，如果成功，直接输入刚才得到用户名和密码，就能攻破网站。可惜，几次尝试都没有成功。Fly-T开始有些牢骚，不过他告诉记者这只是时间的问题，网站已经逃不出他的手掌心了。

下一步，Fly-T在电脑上运行ipconfig/all命令，接着利用最常用的DOS命令Dir打开网站服务器C盘根目录下的所有文件和文件夹，整个界面就像Fly-T在使用自己的电脑一样。

“哦，原来入口是manage！”虽然小经波折，Fly-T还是很顺利地找到了网站入口。用IE登录入口，并用前面的用户名和密码登录，网站数据库的大门被彻底打开了。

实战点评

没错，就是时间问题，因为在上一步中Fly-T已经获取了最重要的信息。

第五步：留下后门

“事情还没完呢。”Fly-T边说边往入侵的服务器远程上传了一个以asp为后缀名的图片木马文件。他说这是最常见的留后门的方法。一般来说，后门程序也是黑客自己编辑的，只要打开后门，黑客就可以像网站管理员一样自如地执行各种命令。

Fly-T告诉记者，此时如果要修改数据库中的信息，可以用SQL修改工具连接数据库，里面有数不清的内容都可以随意修改，比如某某考生的成绩等。不过到了这一步Fly-T就没有再继续操作，他的任务已经完成。

整个看似复杂且专业的操作仅仅用去了50分钟，其中还包括Fly-T向记者解释每步操作所消耗的时间。Fly-T无奈地说，事实就是这样残酷，许多政府和职能部门网站的安全系数就是这么低，不法分子想利用的话，其实非常方便。

实战点评

高明的黑客在完成入侵后，还会修改日志，擦去所有自己留下的“脚印”，以免被网站管理员察觉。不过这次仅是模拟入侵，也就没有必要“吃完后抹嘴了”。