中小P2P成黑客攻击重灾区，防护成本比勒索金还高
作者：聚拓科技
发布时间： 14:02:34
　　P2P网贷行业近两年成为投资人谈论的重点，收益高低风险是P2P理财项目的一大卖点，虽然说保本可一到年底跑路平台频频出现，这样很多投资人血本无归，除了跑路风险还有一个问题黑客的攻击也是P2P平台最头痛的一个问题。　　临近年末，金融理财机构迎来还贷、提现的高峰期，不法黑客们瞄准了这一时机，打起了中小型P2P平台的主意，并发起了一波又一波“勒索你绝不讲价”的恶意攻击。投资人一旦发现P2P平台被“黑”，网站无法正常登录，从而形成恐慌，对于平台的打击将是致命的，甚至可能引发资金链断裂，平台倒闭或跑路。　　那么，P2P平台系统的互联网安全性如何把控?零壹财经研究总监李耀东的回答让人担心：“P2P平台没有安全等级的要求，一些自律组织采用的是信息安全标准，至于平台如何保障用户信息安全，主要靠自觉。”　　防护成本比被勒索金额还要高　　11月30日，这已是好借好贷P2P平台连续第五天遭遇黑客DDoS流量攻击，无奈之下，好借好贷在其官网发布了网站维护的公告。　　时间回到11月26日上午，好借好贷的客服人员突然收到一名黑客发来的QQ消息：“我们要封你们网站，通知你们老板联系我。”没等客服反应过来，平台的网站就已无法打开。黑客的要求很简单，交5000元人民币就停止封站，不能讨价还价，不给也没关系，大家慢慢耗着。　　至于为什么黑客只勒索5000元?好借好贷负责人周流根告诉记者：“通常勒索金额不满6000元不能立案，对方正是钻这个空子。”　　原本，好借好贷对于DDoS流量攻击是有防范机制的，服务提供方是大名鼎鼎的阿里云。可被攻击后阿里云通知称，好借好贷平台IP受到的攻击流量已超云盾DDoS攻击基础防护的带宽峰值，服务器所有访问已被屏蔽，建议平台购买DDoS高防服务，保障服务器的正常运行。　　“阿里云高防服务的保底防护攻击带宽峰值是20G，价格每月16800元，比黑客勒索的金额还高。阿里云收费太贵了，小平台得把钱花在刀刃上。”周流根无奈地说道。　　中小平台支付赎金、息事宁人　　为难的不仅是好借好贷，对于所有中小P2P平台来说，防范黑客DDoS攻击都是一笔不菲的费用。今年7月，双乾支付遭遇不明黑客攻击，为了捍卫平台的尊严，双乾支付选择使用云盾DDoS防护服务，结果仅3小时就花去了16万元。　　正因为互联网安全防护花费远远高于黑客勒索的金额，所以许多资金实力不强的中小平台常常会选择支付对方索要的敲诈金额，息事宁人。不法黑客也正是看准了中小P2P平台不舍得花大钱，又不太愿意对外声张的心理，频频发动攻击。周流根透露，就在好借好贷被攻击后，该黑客组织转而又攻击了一家名叫小富金融的P2P平台。　　为了应对黑客攻击，好借好贷平台增加了四台服务器、同时启用三个IP，才使网站恢复正常。周流根告诉记者：“虽然挡住了黑客10G的流量攻击，但采用增加防火墙的方式抵御攻击耽误了太长时间，平台损失远不止5000元。”也正是因为这次的攻击，该平台决定摒弃第三方系统，投资升级全新的系统。　　平台建设投入普遍不足　　“目前，多数中小型P2P平台只能抵御小规模入侵，对于10G以上的DDoS入侵几乎无力抵抗。”交通银行上海分行信息技术部总经理吴宇告诉记者。吴宇算了笔账，购买1G带宽年费用约为30万元，如果平台遇到的攻击是30G，自己买带宽抵御的话，一年投资将达900万元。对于中小平台而言，如此额度的技术投入几乎是不可能的。　　此外，黑客攻击除能引起系统瘫痪外，还可将数据恶意修改、洗劫一空。吴宇告诉记者：“黑客通过申请账号、篡改数据、冒充投资人进行恶意提现甚至资金被盗事件也曾发生过。”　　“遭受攻击时，95%以上的P2P平台对客户信息安全执行力为零，中小型P2P平台的资金基本都用来做市场推广，对他们而言，活下来是首要任务，技术人员的培养及系统的开发维护投入明显不足。”双乾支付运营总监从利波说。　　一位P2P平台负责人告诉记者，其平台一年在机房内的投入在10万元左右。但据吴宇介绍，目前，中小型互联网企业IT基础设施投入应该在100至300万元，大型平台的投入在千万元左右。　　不掌握源代码，部分平台近似“裸奔”　　据记者了解，网贷平台系统的搭建成本从千元至百万不等，目前中小P2P平台多采用十万元左右的系统，如果多家P2P平台使用同一服务商开发的软件系统，黑客很可能利用同一漏洞攻击多家平台。　　“大部分中小互联网金融公司购买系统价格在6万元至20万元之间 ，但是系统掌握在别人手上，没有源码，不是什么好事。”周流根说。　　12月1日，记者分别拿到P2P系统服务商——融都科技股份有限公司和晓风安全网贷系统的报价。融都科技的网贷云标准版和专业版分别是12.8万元和16.8万元，如果平台需要资金托管系统则另加3万元，这两款系统均不提供源代码开源，而提供源代码开源的定制版是50万起。晓风网贷的标准版、增强版、极致版的价格分别是16.8万元、18.8万元、20.8万元，平台如果需要PC开源授权，需额外支付12万元。　　因为购买源代码需要额外一笔资金，许多中小互联网公司只是购买系统，再加上技术力量薄弱，还会把技术外包，主动性很差，近似“裸奔”。　　“P2P平台有大量的用户信息，业务流程中也包含大量直接接触到资金的环节，黑客可以利用系统漏洞获取管理员账号权限，盗取用户资金。如果多家平台均使用同一服务商系统，可能存在利用同一漏洞攻击多家平台的可能。”网贷之家CEO石鹏峰告诉记者。　　零壹财经研究总监李耀东也向记者表示：“P2P平台系统的安全性普遍较差是被黑客紧盯的重要原因，要降低风险只能加大投入。”去年，晓风网贷就曾被爆，因系统漏洞被黑客攻击，上百家P2P平台受影响，20多家平台因此倒闭。　　使用盗版软件导致平台信息泄露　　除了系统本身漏洞问题，互联网金融公司低价购买的盗版软件系统，也会轻易被黑客攻破，导致平台数据丢失，用户信息泄露。　　“很多系统服务商的软件被盗版后在网上贱卖，有些网贷平台图便宜便购买了这些盗版系统，而盗版者对软件无力维护，一旦系统在漏洞防护或技术维护上出现问题，都是灾难性的，平台数据、用户信息都会泄露。”从利波说。　　这些被盗取的数据短期内不会在网上公布，而是被多次转手，交易对象多是网贷平台等金融投资行业。这也难怪，有些P2P平台的客户总是抱怨被贵金属、网贷平台、保险行业的推销电话骚扰。　　至于中小P2P平台的系统安全性能到底如何?可以与银行搭建的P2P平台做个对比。吴宇告诉记者：“银行一般会采用集群式架构搭建借贷平台来降低成本，但网络架构肯定十分注重防攻能力建设，安全系数要高于一般互联网公司。”　　吴宇曾在一次行业论坛上透露，2014年下半年，银监会曾经对国内银行业做过一次安全扫描，结果发现了20多万次高危探测，15000多次攻击。银行业尚且如此，没有信息安全标准、保障用户信息靠自律的P2P平台安全性能如何可想而知。　　P2P平台要获得安全保障必须要有强大的技术团队做支撑，需要大量的资金来维持，这也是为什么有如此多的P2P平台倒闭的原因之一，网络安全是互联网金融发展的最根本基石。
专业的建站、人机交互策划、高端UI设计、移动应用开发公司
备案编号：京ICP备号-1您当前所在位置： >
攻击网站常见的行为有些什么
网站被攻击，在当下时有发生，尤其是目标较大的一些网站。在这种情况下，了解一些常见的攻击网站的手段就十分必要了。了解了一些常见的攻击手段，对我们维护好网站，防范网站攻击具有一定的积极作用。下面我们给大家介绍攻击网站常见的行为吧!第一种：挂马或挂黑链这种攻击危害程度不是很大，但也不容忽视，一旦你的网站被挂上木马和黑链接，你的网站在打开时将很不正常，不是网页内容被修改，就是网页连带打开很多窗口等，这样的网站都属于被攻击所致。搜索引擎一旦检测数你的网站被挂马，就可能给你的网站降权性惩罚，严重的甚至被K掉。处理方式：除了做好网站文件备份和数据备份以外，还要加强服务器的安全措施，比如安装防火墙、设置安全策略等。并且要经常检查一下网站的导出链接，看是否有可疑链接存在。当然也可以经常使用一些检测工具如百度站长平台安全检测工具检测。第二种：网络流量这种攻击就是我们常听说的CC攻击，有两种像是的流量攻击，即带宽攻击和应用攻击，我们平时所将的流量攻击通常指的是带宽攻击，这是攻击网站的一个最常见的手段之一。这种攻击手段一般是采用大量数据包淹没一个或多个路由器、服务器和防火墙，网络带宽几乎被占用殆尽，使你的网站无法访问，处于瘫痪状态无法正常打开。这种攻击的目的主要是为了打击竞争对手网站，或者心理障碍造成的，视图报复别人的网站的行为。当遇到流量攻击时不要惊慌，一般的网站空间服务商都会及时监控到流量异常，及时作出处理，通常不会持续太久，一般持续5-30分钟左右。处理方式：您需要选择有一定实力和规模的网站空间服务商，如百度加速乐。也可以另外购买网站安全增值服务产品，这样也可抵御大规模的攻击。对于一般的网站，我们不必要太过于担心，只需要做好日常的网站备份和基础服务器安全工作即可。第三种：破坏数据攻击。这种攻击可能会对造成较大的影响，甚至可能让网站所有者蒙受较大的损失，也是非常卑鄙的一种手段，同时也属于一种网络违法行为。以前的一些大型网站发生的用户名和密码被盗取，很可能就是由于这种攻击所致。比较常见的SQL注入就属于这种攻击，专门破坏和攻击数据服务器。有的会把网站上的网页替换掉，还有的会修改网站上的网页，给网站带来很大的困扰。处理方式：经常备份网站数据和网站关键程序，网站网页也要经常备份，最好能够打包到本地电脑里。同时做好关键文件和文件夹的权限设置。网站最好采用全静态页面，因为静态页面是不容易被黑客攻击的，对于数据库和网站远程桌面及ftp和后台相关密码要采用较为复杂的密码，不要采用容易猜出来的口令。以上就是由精品学习网为您提供的攻击网站常见的行为，希望给您带来帮助!相关推荐：
频道热门推荐
栏目最新更新怎么查看网站被攻击？但CUP及内存使用率都不高，就是象宽带不够，经常堵塞_百度知道
怎么查看网站被攻击？但CUP及内存使用率都不高，就是象宽带不够，经常堵塞
正常时每天下载60G, 现在只有30G
我有更好的答案
一般找专业做网站安全的公司来给你解决网站被攻击的问题，国内最有名的网站安全公司也就sinesafe和绿盟之类的公司。
建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑，被攻击。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。
一：挂马预防措施：
1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。
2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！
序，只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。
4、到正规网站下载asp程序，下载后...
其他类似问题
为您推荐：
内存的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁当前位置：首页&&互联网&&黑客揭秘地下产业链 称最大漏洞是用户自己
黑客揭秘地下产业链 称最大漏洞是用户自己
去年底，600余万个明文注册的邮箱账号和密码在网上遭到披露；去年12月25日，天涯社区对外发布公告，同样称因黑客攻击，网站用户数据被盗；上月底，1号店许多用户账户内的资金不翼而飞……我们的电商账号、社区账号、邮箱账号显得那么“不堪一击”，这种“脆弱”与黑客不无关系。
　　记者了解到，如今黑客技术已经成为不少人谋取利益的工具，整个“黑”的过程也形成了一个体系化的作业流程。为了探明这个“黑色地下产业链”的来龙去脉，晨报记者突破重重防线，走进黑客的世界。
　　账号泄密事件频发
　　去年底，600余万个明文注册的邮箱账号和密码在网上遭到披露。警方历经40多天的缜密侦查，辗转10余个省市，最终破获这起用户数据泄露案，并成功带破另外4起网络泄密案件，共抓获并以涉嫌非法获取计算机数据罪刑事拘留曾某等5名“黑客”。曾某承认于 2010年 4月利用CSDN网站漏洞，非法侵入服务器获取用户数据，此外，其还交代了曾经入侵过某充值平台及某股票系统。
　　同年的12月25日，天涯社区对外发布公告，同样称因黑客攻击，网站用户数据被盗。
　　今年5月底，知名电商“1号店”多名注册用户内的支付宝余额被人盗用，又被怀疑为黑客所为。那么，黑客究竟通过什么方法来窃取用户信息呢？
　　不少黑客预留“后门”
　　晨报记者辗转找寻了多位业内人士，他们的分析大抵一致：“如果网站遭遇泄密，又基本确定是黑客所为，那么以下两种情况最有可能：一是他们(黑客)找到了网站服务器的漏洞，直接侵入；二是预谋获取，他们(黑客)提前确定目标，然后只要进入相关公司工作一段时间，在系统中预留个‘后门’，到时候就可以就把信息‘偷’走了。”在业内，黑客的行为被称为“搬信息”，“就像建筑工人搬砖头一样”。
　　谁是黑客？通过各种关系，记者列出了一长串黑客名单，或者说，一串网名和对应的QQ、MSN及电话。不过，对于素不相识的记者，他们显得慎之又慎。经过多日联系找寻，最终，黑客大郎(化名)坐在了记者面前。大郎承认，确实有一些黑客游走在法律边缘，以找寻漏洞，盗取信息牟利为生。
　　“白帽子”现身揭秘黑客世界
　　大郎短发，身材中等，肌肉结实，穿着干净整洁的深色衬衫。他说话时不时低着头，很腼腆――与想象中不分白天黑夜，废寝忘食、赤膊坚守计算机前写程序的黑客完全不同。
　　黑客的工作就是找漏洞
　　10余年前，大郎还在念书时，选择了计算机专业。那时候，互联网刚刚普及，网络上，一些黑客你来我往“交战”，互相修改对方的网站主页的历史，令大郎颇为神往。
　　2002年4月，他第一次获取QQ密码，同年6月，他第一次将一个主页修改，插了图片，插了音乐，这叫大郎颇为得意。他说，学习黑客技术之初，主要是去满足虚荣心，屡次“攻城拔寨”，让他得到不少赞赏，感觉很有“成就感”。
　　大郎今年30多岁，在一家网络科技公司做信息安全工程师，他说，自己是黑客中的“白帽子”，“单纯的信息安全爱好者，找漏洞，就是我的职业。”而找到漏洞，就要找寻所谓的“后门”，即作为“开门钥匙”的用户名和密码。与“白帽子”相对，黑客还有一个群体，被称为“黑帽子”。在“白帽子”们看来，他们的工作是“守”，维护信息安全不被泄漏，而“黑帽子”则是攻，游走在法律边缘，以找寻漏洞，盗取信息牟利为生。
　　白天大多有正常工作
　　大郎说，黑客其实没有什么神秘的，在生活中，他就是个普通人，每天的生活很规律。每天早上，大郎7点45分起床，然后洗漱吃早饭，出门上班，“路上再随手刷刷微博，了解各种信息。”最近大郎在犯愁的是，能否拍到当月的车牌照。当然，他觉得自己的黑客技术起不到作用，一旦使用还违法：“算了，多准备点钱。”
　　大郎所在圈子的黑客不少。据他所知，白天，他们是厨师，是法律工作者，甚至就是帮患者诊断开药的医生。晚上，他们只有一个身份：黑客，一起交流切磋。
　　每周周末固定时间，都会有另外一个黑客与大郎见面，他叫慕容庄(化名)，80后，曾与大郎是同事，现在另外一家公司做信息安全工程师。在成为黑客的道路上，大郎算是他的领路人。
　　慕容庄在国内读了计算机本科，又出国留学拿到了计算机方面的硕士学位。2008年回国后因为对黑客的好奇，也成了黑客。慕容庄有一个自己的信息安全团队，“为了团队的生存，不得不从各个方面争取资金。”他表示，他们不靠黑客技术“搬”信息去卖，而是靠好的口才、踏实充分的网络安全信息报告去说服管理层。
　　必修“社会工程学”
　　在外人看来，黑客手中的武器，是设计复杂高深的黑客程序。如今，在不少QQ群和网站上，还有不少网民决心成为黑客中的高手、高高手，少则百元，多则数千元，不惜代价购买黑客程序。
　　不过，也许有一点他们忘记了――正如好的剑一定要配上精湛的武功才能成为众人仰慕的侠客。黑客不但必须精通计算机知识，更重要的是，有其独门的黑客秘籍。
　　问到大郎，他说，其实真正意义的黑客，任何独门的秘籍都最终要回归两个字：细心。“查找漏洞是不是细心，找寻突破途径是不是细心，很重要。”
　　大郎说，查找漏洞的过程，实际上就是掌握的各种知识要学会充分应用，当然，也包含一点运气的因素。“针对目标人物，搜寻他相关的姓名、全拼及缩写，他的电话号码、生日，地址，电子信箱账号，甚至宠物的名字。尽可能的多，尽可能的全。”大郎说。这些单个的信息，被大郎组合起来，生成“字典”，经过程序测试，组合出不同的密码组合，“密码和用户名的设置，总是与人的生活密切相关的。”
　　这属于一门称之为“社会工程学”的学问，成为黑客的必修课，至今在黑客中仍然广泛应用着。
　　“搬”数据库会多次转手
　　在大郎的印象里，黑客技术成为谋取利益的工具，是在宽带普及的时期。“一些掌握技术的黑客到网吧上网后，先是修改计费系统内的余额，把10元押金额修改成20元。”后来，这样的技术被用来挣钱，“胆大的黑客，索性把余额修改成100元，这样不但白上了网，等到结账时还‘挣’了钱，每天只要跑5家网吧，收入很可观。”
　　渐渐地，类似的盈利方式，变成了现在所谓的“黑色地下产业链”。例如，当时盗取QQ号码的行为也一度盛行，“盗号―洗号”成为了一个固定的产业模式，分工明确。“以团队为单位，无论从黑客工具的制造、攻击实施的具体手法，如何洗号(变现)都已经形成了体系化的作业流程。”慕容庄透露，在一些高手云集的QQ群内，经常会有人发出“悬赏”：“要‘搬’一个数据库，事成几万到几十万。”实际上，买方如果是A，那么这信息已经经B、C、D传了几手，而需要获取信息的卖方也要经过E、F甚至更多的转接，最终有人接手完成。
　　这么做，是为了逃避法律的打击。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上，或者上述情况以外的身份认证信息五百组以上的，应当认定为刑法第二百八十五条第二款规定的“情节严重”，犯非法侵入计算机信息系统罪，将被处以处三年以下有期徒刑或者拘役。
　　[黑客忠告]
　　最大的漏洞是自己
　　“最大的漏洞，不是系统，不是程序，而是人。 ”这是慕容庄在采访中反复提起的。去年底，CSDN泄密事件后，他特地下载了一组数据，发现了自己朋友的用户信息。
　　慕容庄当时劝朋友赶紧修改密码，对方不在乎，“这不重要。 ”但慕容庄发现，朋友在CSDN注册时，使用了一个163信箱，这就意味着信箱也要泄密了。
　　他再提醒对方修改信箱密码，这时朋友说，这个信箱也不常用。
　　慕容庄用朋友CSDN的密码试了试，竟然登录了这个163信箱。他看过后吓了一跳，朋友拿这个信箱注册过支付宝，这意味着，只要有人登录这个信箱，就可以通过修改密码的方式，将慕容庄朋友的支付宝内的余额转移盗用。朋友这才意识到了问题的严重性，听从慕容庄的劝告，修改了密码。
　　慕容庄告诉记者，提高自己的安全防范意识，设置比较隐密的密码，这才能有效防范黑客。
　　“特别要提醒的是，现在我们的手机都具备上网功能，一旦丢失，里面的通讯录，聊天记录，照片等，会成为破解的关键。 ”慕容庄说，假如黑客更为细心，还会搜集对方的上网记录作为破解的素材。
　　[记者手记]
　　找寻就是一场较量
　　当记者向黑客发出采访请求时，不少人当即表示拒绝，他们觉得 “顾虑大，有曝光的风险”。
　　甚至，还有黑客打起了记者的主意。6月8日上午，一名黑客发了一个附件到记者的电子邮件信箱，实际上，这是一个盗号软件，下载解压缩后只要点击执行，QQ会自动下线，然后弹出一个类似的页面窗口，要求你输入QQ号和密码，而记者只要输入QQ号码和对应密码，就会立即发送给对方。好在很多网站对这样的伎俩再三提示防范，记者也熟知这种软件的原理，没上当。
　　与大郎见面前，当记者加了他的QQ号，对话框中，他立即蹦出一句话：“你果然是记者。 ”随即，他准确地报出了记者的姓名，常用电话和电子信箱，籍贯及毕业院校。更令记者吃惊的是，就连记者最近经常联系的几名同事是谁，他也知道得一清二楚。
　　“我也知道你的QQ密码。”记者在采访前也有所准备，对话框内，打出了对方密码。
　　“这个密码我用过，不过前几天改了，你怎么知道？ ”在记者看来，也许正是这个曾经使用过的密码被说出，才使得大郎决定和记者聊聊。(来源：搜狐IT）
快速服务导航
我们的优势
专注海南网络应用服务5年,经验丰富
7x24小时不间断服务
注重口碑,客户评价好
专业团队运作,分工明确,流程标准
庞大的客户群体是我们坚强的后盾
版权所有 海南慧创网络科技有限公司_Ver3.0 &2009 服务电话:5