Qual è l'obiettivo finale di hackerare un server web? [chiuso]

L'obiettivo finale? Dipende pesantemente dall'iniziatore dell'attacco, ma ecco alcune idee:

Attaccante interessato a guadagni finanziari:

• Potrebbe valere un enorme sforzo per indirizzare i server / domini web ad alto traffico che godono di una buona reputazione (il nome di dominio è associato a un servizio affidabile) e quindi applicare tecniche di phishing (carte di credito, paypal, credenziali bitcoin, .. .) sui molti utenti in visita. È molto probabile che gli utenti inviino tali informazioni personali, perché l'utente si sente al sicuro.
• Integrazione del server in una botnet: i server hanno in genere molto più power di rete, quindi personal computer e possono sfruttare un attacco DDOS.
• Spesso le informazioni finanziarie come carte di credito o indirizzi di fatturazione paypal sono memorizzate sul server web (o sul database, che viene compromesso anche rilevando un server web)
• Interesse per altre preziose informazioni come le credenziali dell'utente o le applicazioni di origine chiuse che sono di valore.
• Utilizzo del server catturato come mezzo per nascondere il traffico. Nel giorno in cui installavo i server socks5 (può anche essere implementato in PHP se non è disponibile alcun compilatore) per proxificare il traffico.
• Utilizzo del server compromesso per reindirizzare il traffico al fine di sfruttare i programmi utente. Il reindirizzamento Javascript a un server attaccante con un kit di exploit è istallato come blackhole. Questo passaggio potrebbe essere sofisticato come desideri: reindirizzare solo i client con plug-in specifici (Java, flash, silverlight), sono un concreto User Agent (vecchie versioni di browser IE sfruttabili ...)

In caso contrario:

• Pura curiosità
• Prova solo se riesci a riprenderti a causa di una sfida intellettuale autonoma
• Rifinitura per scopi politici (anonimo?)
• Vandalismo (lulzsec)
• Utilizza il server web come punto di partenza per ulteriori attacchi come:
• Privilege escalation (Possiamo ottenere i privilegi di root?)
• Gli host / reti interni sono disponibili dal server (Potrebbe essere il caso in cui il webserver funziona anche come proxy inverso)

Ci sono molte ragioni. Spero che tu capisca il punto.

Il traffico che stai vivendo è semplicemente il risultato di scansioni automatiche da parte di bot che tutti i server connessi a Internet sperimenteranno.

L'obiettivo di tali attacchi è il minimo comune denominatore dei server là fuori - mal configurato con password predefinite o non patchato con vulnerabilità sfruttabili annunciate. È molto probabile che un server compromesso in questo modo venga aggiunto a una botnet per l'invio di e-mail di spam e altre attività simili che possono far guadagnare all'operatore della botnet un buon profitto.

Tu potresti notare se il tuo server è stato compromesso ma il proprietario di un server che lo lascia senza patch o con le password predefinite probabilmente non controllerà i log molto spesso . Un server di questo tipo rimarrà probabilmente compromesso per un periodo di tempo molto lungo.