現(xiàn)在國(guó)內(nèi)有許多個(gè)人或者公司都建立了網(wǎng)站�����,網(wǎng)站已經(jīng)成為日常生活的一部分��,而網(wǎng)絡(luò)釣魚(yú)����、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜號(hào)等安全問(wèn)題層出不窮���。對(duì)于企業(yè)網(wǎng)站安全來(lái)講����,其網(wǎng)頁(yè)掛馬危害最大�����,如今的掛馬者主要追尋商業(yè)利益�����,木馬程序多是量身訂做的��,隱蔽性強(qiáng)�,危害性大,加上近兩年來(lái)�����,許多黑客站點(diǎn)以及網(wǎng)絡(luò)安全培訓(xùn)的興起,作為一名“工具”黑客��,不需要太多的專業(yè)知識(shí)�����,只需要看看錄像���,學(xué)會(huì)使用軟件工具即可�����,在這種情況下對(duì)于企業(yè)網(wǎng)站的安全維護(hù)已經(jīng)成為網(wǎng)絡(luò)安全的一個(gè)研究課題,本文就企業(yè)網(wǎng)站的安全維護(hù)�����,尤其是網(wǎng)頁(yè)木馬的防范進(jìn)行了探討����。
(一)企業(yè)網(wǎng)站安全隱患分析
對(duì)于企業(yè)網(wǎng)站來(lái)講,其安全主要受制以下一些因素:
(1)租用服務(wù)器安全��。租用服務(wù)器安全主要取決于該ISP提供商或者虛擬主機(jī)等服務(wù)提供商自身安全水平���。如果該服務(wù)器安全無(wú)法得到一定程度上的保證��,那么個(gè)人及其商業(yè)網(wǎng)站就無(wú)法得到保證�����。服務(wù)器安全主要是指服務(wù)器系統(tǒng)設(shè)置��,補(bǔ)丁更新�,防火墻設(shè)置,IIS安全設(shè)置��,殺毒軟件設(shè)置等�����。
注意:現(xiàn)在有很多個(gè)人為了追求商業(yè)利益��,自己隨便整一個(gè)服務(wù)器然后就開(kāi)始了虛擬主機(jī)等服務(wù)�,這些服務(wù)器的安全性往往很差,因此在找虛擬主機(jī)和網(wǎng)站空間時(shí)一定要認(rèn)真選擇��,考慮綜合實(shí)力相對(duì)較強(qiáng)的�,否則服務(wù)器老是出問(wèn)題會(huì)影響個(gè)人(公司)網(wǎng)絡(luò)業(yè)務(wù)的開(kāi)展。
(2)網(wǎng)站程序安全�����。在服務(wù)器保證安全的前提下,程序Bug是網(wǎng)站安全的重大隱患���。加上不少商業(yè)和個(gè)人網(wǎng)站采用第三方程序��,第三方程序一旦出現(xiàn)安全漏洞��,個(gè)人和商業(yè)網(wǎng)站極易受到攻擊��。
(3)維護(hù)安全���。維護(hù)安全主要是指當(dāng)程序交付后并正式運(yùn)行以后,網(wǎng)站需要單獨(dú)的維護(hù)人員進(jìn)行維護(hù)�。對(duì)于個(gè)人網(wǎng)站來(lái)說(shuō)����,程序的維護(hù)往往通過(guò)Ftp相關(guān)程序上傳新的程序文件來(lái)進(jìn)行更新維護(hù)。如果ftp口令或者數(shù)據(jù)庫(kù)口令被泄漏���,其風(fēng)險(xiǎn)是不言而喻的�。
對(duì)于個(gè)人或者商業(yè)網(wǎng)站��,入侵者在入侵成功以后,主要有以下目的:
(1)獲取相關(guān)有用信息�。例如獲取網(wǎng)站中的注冊(cè)用戶Email等個(gè)人信息,還有就是有針對(duì)性的獲取商業(yè)信息���。
(2)作為入侵平臺(tái)���,在網(wǎng)站“掛馬”。網(wǎng)站“掛馬”是入侵者的慣用伎倆����,主要利用操作系統(tǒng)漏洞,通過(guò)一些程序生成腳本文件或者網(wǎng)頁(yè)��,放入或者嵌入網(wǎng)站網(wǎng)頁(yè)中���,當(dāng)用戶訪問(wèn)時(shí)���,木馬程序會(huì)被下載到本地并偷偷執(zhí)行。
(3)興趣所致��。入侵者或者安全愛(ài)好者進(jìn)行實(shí)際技術(shù)的演練��,或者就是一種入侵愛(ài)好。
(二)網(wǎng)站安全維護(hù)
以上對(duì)企業(yè)網(wǎng)站的安全隱患進(jìn)行了分析���,對(duì)于網(wǎng)站管理人員如何來(lái)進(jìn)行維護(hù)呢?其實(shí)很簡(jiǎn)單����,通過(guò)筆者的分析研究���,可以歸納為“一看”����、“二查”���、“三刪”�����、“四堵”����。下面分別進(jìn)行分析���。
1、“一看”主要是指打開(kāi)網(wǎng)站主頁(yè)時(shí)進(jìn)行觀察。對(duì)于初級(jí)的掛馬者而言�,往往通過(guò)在網(wǎng)頁(yè)中加入一段掛馬代碼。這段代碼可能是js���,可能是css�����,也可能是一段純粹的html代碼����。其代碼可能為以下三種:
說(shuō)明:現(xiàn)在的殺毒軟件也非常厲害���,當(dāng)訪問(wèn)的網(wǎng)站中存在網(wǎng)頁(yè)木馬����,殺毒軟件會(huì)自動(dòng)查殺的��。
如果在網(wǎng)站掛馬以后����,往往會(huì)產(chǎn)生一些表象,仔細(xì)觀察會(huì)發(fā)現(xiàn)�,在網(wǎng)站掛馬以后����,如果沒(méi)有對(duì)地址欄進(jìn)行處理��,在用IE等瀏覽器打開(kāi)時(shí)����,瀏覽器地址欄會(huì)訪問(wèn)其它地址(圖1)。
一般情況下是不會(huì)訪問(wèn)其它網(wǎng)站地址��,這些地址往往就是掛馬的地址�,而且一些處理不好的掛馬代碼會(huì)導(dǎo)致一些錯(cuò)誤提示,該錯(cuò)誤提示一般在瀏覽器左下角以“黃色三角形”標(biāo)識(shí)�����,雙擊該“黃色三角形”會(huì)顯示具體的錯(cuò)誤代碼(圖2)�����,這些錯(cuò)誤代碼有可能是掛馬站點(diǎn)未處理好��,也有可能是掛馬者在掛馬時(shí)未處理好掛馬代碼�����。
注意:對(duì)于初級(jí)的掛馬者����,其網(wǎng)頁(yè)木馬源代碼可能沒(méi)有加密,而大多數(shù)老手都對(duì)網(wǎng)頁(yè)木馬源程序進(jìn)行了加密�,而且極有可能是多次加密。目前網(wǎng)上有很多提供網(wǎng)頁(yè)加解密的網(wǎng)站(圖3�����,圖4���,圖5)�����,一般來(lái)講有以下一些:
(1)通過(guò)Unicode碼的轉(zhuǎn)換實(shí)現(xiàn)的加密解密�,但經(jīng)過(guò)實(shí)驗(yàn)�����,中文文字太多會(huì)導(dǎo)致將你的頁(yè)面代碼膨脹����,英文反會(huì)有壓縮效果����。
(2)帶密鑰的加解密
(3)Base64編碼加密�����,關(guān)于Base64編碼加解密可以參考網(wǎng)頁(yè)[url]http://www.dbxk.com/article/article/36/2005-12/20051228170628.html[/url] 以及[url]http://www.tyhome.com.cn/show_jdyk.asp?id=650[/url]
(4)md5的加密
(5)微軟的Encode加解密��。微軟提供了一個(gè)專業(yè)的網(wǎng)頁(yè)腳本加密工具�����。加密時(shí)應(yīng)只加密腳本部分�,不加密腳本標(biāo)記<script language="javascript">,并且加密后腳本標(biāo)記應(yīng)改為:<script language="JScript.Encode">
(6)8進(jìn)制和16進(jìn)制轉(zhuǎn)義字符串加解密
(7)10進(jìn)制和16進(jìn)制HTML編碼加解密
(8)escape加解密����。escape()方法可以處理任何字符串對(duì)象或表達(dá)式。它返回一個(gè) string 對(duì)象�。其中所有的非字母字符被轉(zhuǎn)換成按照%××表示的數(shù)字,××表示非字母字符對(duì)應(yīng)的十六進(jìn)制數(shù)�。
(9)JS腳本加解密,Js腳本加解密有一個(gè)做的比較好的站點(diǎn)���,大家可以直接訪問(wèn):[url]http://dohi.cn/soft/MonyerEn.html[/url]以及[url]http://www.hao123.com/haoserver/jmjm.htm[/url]
2.“二查”主要是查看源代碼���。當(dāng)然前面的觀察也可以作為“二查”的依據(jù)��,比如在瀏覽器訪問(wèn)該網(wǎng)站時(shí),在地址欄中發(fā)現(xiàn)網(wǎng)站在訪問(wèn)其它地址�����,那么該地址可以作為查看掛馬所在網(wǎng)頁(yè)的一個(gè)最直接的方法�,可以通過(guò)FrontPageXp等網(wǎng)頁(yè)編輯工具直接在站點(diǎn)中查找包含該地址的Html網(wǎng)頁(yè)。
注意:在查找時(shí)要選擇在Html中查找�����。
通過(guò)研究分析發(fā)現(xiàn)�,掛馬代碼會(huì)直接以html方式顯示,一般用戶非管理員可以直接查看懷疑有掛馬的網(wǎng)頁(yè)源代碼����。方法為:在瀏覽器中單擊“查看”-“查看源文件”就可以通過(guò)記事本打開(kāi),可以找到掛馬代碼�����。其效果如圖6所示�����。
3.“三刪”主要是指在站點(diǎn)中刪除入侵者加入的掛馬代碼。對(duì)于普通用戶來(lái)講��,如果發(fā)現(xiàn)有人在掛馬�,可以通過(guò)flashget、迅雷等下載軟件直接下載存在掛馬的網(wǎng)頁(yè)�,將掛馬網(wǎng)頁(yè)中存在的文件再次下載下來(lái),然后提交給殺毒軟件公司�,嘿嘿,入侵者的馬兒很快就會(huì)夭折���。對(duì)于網(wǎng)站管理員來(lái)說(shuō)����,如果發(fā)現(xiàn)掛馬�,那么說(shuō)明這個(gè)站點(diǎn)或者這個(gè)站點(diǎn)所在服務(wù)器已經(jīng)失控,這個(gè)時(shí)候最好的辦法就是使用備份文件重新覆蓋�,千萬(wàn)記得不要將舊的數(shù)據(jù)庫(kù)覆蓋新的數(shù)據(jù)庫(kù)。好的方法是在覆蓋時(shí)先將網(wǎng)站文件下載到本地做一個(gè)備份����,以備不測(cè)。
4、“四堵”主要是指發(fā)現(xiàn)掛馬后要及時(shí)堵漏��。網(wǎng)站被掛馬說(shuō)明網(wǎng)站肯定存在漏洞�,這個(gè)時(shí)候一定要仔細(xì)分析和檢查。一些可以參考的建議:
(1)使用明小子的domain3.5或者教主的HDSI等SQL注入軟件進(jìn)行注入漏洞掃描����,當(dāng)代碼文件不是很多時(shí),手動(dòng)檢查還可以����,如果文件較多時(shí)�����,使用軟件相對(duì)效果會(huì)好一些��,而且容易發(fā)現(xiàn)漏洞�����。
(2)更換數(shù)據(jù)庫(kù)管理員密碼?��,F(xiàn)在很多網(wǎng)站數(shù)據(jù)庫(kù)都是采用md5加密���,網(wǎng)上有大型md5在線破解數(shù)據(jù)庫(kù)�����,即使復(fù)雜的md5密碼也是很容易被破解的�����,因此更換數(shù)據(jù)庫(kù)管理密碼尤為重要�����。
(3)更換服務(wù)器用戶及其相關(guān)密碼�。網(wǎng)站跟服務(wù)器相比�,顯然入侵者會(huì)更喜歡服務(wù)器,畢竟下蛋的“雞”比“蛋”重要����。防止入侵者開(kāi)放3389、根植木馬等��,當(dāng)然如果條件允許��,建議使用備份文件恢復(fù)系統(tǒng)��。
(4)對(duì)服務(wù)器做一次完整的安全檢查,如果沒(méi)有進(jìn)行操作系統(tǒng)的恢復(fù)���,建議對(duì)服務(wù)器進(jìn)行一次完整的安全檢查����,查看日志��、進(jìn)程��、服務(wù)��、系統(tǒng)文件等����。
(三)結(jié)束語(yǔ)
我們常常在講�,網(wǎng)絡(luò)安全是相對(duì)的,本文也僅僅是拋磚引玉����,對(duì)網(wǎng)站維護(hù)的一個(gè)小的方面進(jìn)行了探討,作為從事網(wǎng)絡(luò)安全的我們就應(yīng)該將安全的東西變成不安全的東西�����,將不安全的東西變成安全的東西,讓我們?cè)诰W(wǎng)絡(luò)安全的矛與盾中前進(jìn)����,更加嚴(yán)謹(jǐn)?shù)膶?duì)待網(wǎng)頁(yè)木馬的防范。
