現(xiàn)在國內(nèi)有許多個人或者公司都建立了網(wǎng)站���,網(wǎng)站已經(jīng)成為日常生活的一部分,而網(wǎng)絡(luò)釣魚���、網(wǎng)絡(luò)詐騙�、網(wǎng)絡(luò)盜號等安全問題層出不窮�。對于企業(yè)網(wǎng)站安全來講,其網(wǎng)頁掛馬危害最大����,如今的掛馬者主要追尋商業(yè)利益,木馬程序多是量身訂做的����,隱蔽性強��,危害性大�,加上近兩年來�,許多黑客站點以及網(wǎng)絡(luò)安全培訓的興起�����,作為一名“工具”黑客����,不需要太多的專業(yè)知識,只需要看看錄像���,學會使用軟件工具即可�,在這種情況下對于企業(yè)網(wǎng)站的安全維護已經(jīng)成為網(wǎng)絡(luò)安全的一個研究課題���,本文就企業(yè)網(wǎng)站的安全維護�����,尤其是網(wǎng)頁木馬的防范進行了探討��。
(一)企業(yè)網(wǎng)站安全隱患分析
對于企業(yè)網(wǎng)站來講��,其安全主要受制以下一些因素:
(1)租用服務(wù)器安全�����。租用服務(wù)器安全主要取決于該ISP提供商或者虛擬主機等服務(wù)提供商自身安全水平��。如果該服務(wù)器安全無法得到一定程度上的保證��,那么個人及其商業(yè)網(wǎng)站就無法得到保證����。服務(wù)器安全主要是指服務(wù)器系統(tǒng)設(shè)置,補丁更新����,防火墻設(shè)置,IIS安全設(shè)置�����,殺毒軟件設(shè)置等�。
注意:現(xiàn)在有很多個人為了追求商業(yè)利益,自己隨便整一個服務(wù)器然后就開始了虛擬主機等服務(wù)����,這些服務(wù)器的安全性往往很差,因此在找虛擬主機和網(wǎng)站空間時一定要認真選擇�����,考慮綜合實力相對較強的�����,否則服務(wù)器老是出問題會影響個人(公司)網(wǎng)絡(luò)業(yè)務(wù)的開展�。
(2)網(wǎng)站程序安全。在服務(wù)器保證安全的前提下��,程序Bug是網(wǎng)站安全的重大隱患����。加上不少商業(yè)和個人網(wǎng)站采用第三方程序,第三方程序一旦出現(xiàn)安全漏洞����,個人和商業(yè)網(wǎng)站極易受到攻擊。
(3)維護安全����。維護安全主要是指當程序交付后并正式運行以后,網(wǎng)站需要單獨的維護人員進行維護�����。對于個人網(wǎng)站來說���,程序的維護往往通過Ftp相關(guān)程序上傳新的程序文件來進行更新維護�。如果ftp口令或者數(shù)據(jù)庫口令被泄漏,其風險是不言而喻的�����。
對于個人或者商業(yè)網(wǎng)站�,入侵者在入侵成功以后,主要有以下目的:
(1)獲取相關(guān)有用信息�。例如獲取網(wǎng)站中的注冊用戶Email等個人信息,還有就是有針對性的獲取商業(yè)信息�����。
(2)作為入侵平臺�����,在網(wǎng)站“掛馬”���。網(wǎng)站“掛馬”是入侵者的慣用伎倆�����,主要利用操作系統(tǒng)漏洞�,通過一些程序生成腳本文件或者網(wǎng)頁,放入或者嵌入網(wǎng)站網(wǎng)頁中���,當用戶訪問時,木馬程序會被下載到本地并偷偷執(zhí)行�����。
(3)興趣所致�。入侵者或者安全愛好者進行實際技術(shù)的演練,或者就是一種入侵愛好����。
(二)網(wǎng)站安全維護
以上對企業(yè)網(wǎng)站的安全隱患進行了分析,對于網(wǎng)站管理人員如何來進行維護呢?其實很簡單�����,通過筆者的分析研究�����,可以歸納為“一看”����、“二查”�、“三刪”�、“四堵”。下面分別進行分析�����。
1�����、“一看”主要是指打開網(wǎng)站主頁時進行觀察�。對于初級的掛馬者而言,往往通過在網(wǎng)頁中加入一段掛馬代碼�����。這段代碼可能是js���,可能是css��,也可能是一段純粹的html代碼����。其代碼可能為以下三種:
說明:現(xiàn)在的殺毒軟件也非常厲害,當訪問的網(wǎng)站中存在網(wǎng)頁木馬�����,殺毒軟件會自動查殺的���。
如果在網(wǎng)站掛馬以后���,往往會產(chǎn)生一些表象�����,仔細觀察會發(fā)現(xiàn)��,在網(wǎng)站掛馬以后�,如果沒有對地址欄進行處理,在用IE等瀏覽器打開時�,瀏覽器地址欄會訪問其它地址(圖1)。
一般情況下是不會訪問其它網(wǎng)站地址�����,這些地址往往就是掛馬的地址���,而且一些處理不好的掛馬代碼會導致一些錯誤提示�����,該錯誤提示一般在瀏覽器左下角以“黃色三角形”標識����,雙擊該“黃色三角形”會顯示具體的錯誤代碼(圖2),這些錯誤代碼有可能是掛馬站點未處理好�����,也有可能是掛馬者在掛馬時未處理好掛馬代碼�。
注意:對于初級的掛馬者,其網(wǎng)頁木馬源代碼可能沒有加密����,而大多數(shù)老手都對網(wǎng)頁木馬源程序進行了加密,而且極有可能是多次加密�。目前網(wǎng)上有很多提供網(wǎng)頁加解密的網(wǎng)站(圖3,圖4����,圖5),一般來講有以下一些:
(1)通過Unicode碼的轉(zhuǎn)換實現(xiàn)的加密解密��,但經(jīng)過實驗,中文文字太多會導致將你的頁面代碼膨脹���,英文反會有壓縮效果��。
(2)帶密鑰的加解密
(3)Base64編碼加密�����,關(guān)于Base64編碼加解密可以參考網(wǎng)頁[url]http://www.dbxk.com/article/article/36/2005-12/20051228170628.html[/url] 以及[url]http://www.tyhome.com.cn/show_jdyk.asp?id=650[/url]
(4)md5的加密
(5)微軟的Encode加解密�����。微軟提供了一個專業(yè)的網(wǎng)頁腳本加密工具。加密時應只加密腳本部分���,不加密腳本標記<script language="javascript">��,并且加密后腳本標記應改為:<script language="JScript.Encode">
(6)8進制和16進制轉(zhuǎn)義字符串加解密
(7)10進制和16進制HTML編碼加解密
(8)escape加解密����。escape()方法可以處理任何字符串對象或表達式��。它返回一個 string 對象���。其中所有的非字母字符被轉(zhuǎn)換成按照%××表示的數(shù)字����,××表示非字母字符對應的十六進制數(shù)。
(9)JS腳本加解密�,Js腳本加解密有一個做的比較好的站點,大家可以直接訪問:[url]http://dohi.cn/soft/MonyerEn.html[/url]以及[url]http://www.hao123.com/haoserver/jmjm.htm[/url]
2.“二查”主要是查看源代碼����。當然前面的觀察也可以作為“二查”的依據(jù),比如在瀏覽器訪問該網(wǎng)站時����,在地址欄中發(fā)現(xiàn)網(wǎng)站在訪問其它地址,那么該地址可以作為查看掛馬所在網(wǎng)頁的一個最直接的方法��,可以通過FrontPageXp等網(wǎng)頁編輯工具直接在站點中查找包含該地址的Html網(wǎng)頁��。
注意:在查找時要選擇在Html中查找�����。
通過研究分析發(fā)現(xiàn)����,掛馬代碼會直接以html方式顯示���,一般用戶非管理員可以直接查看懷疑有掛馬的網(wǎng)頁源代碼。方法為:在瀏覽器中單擊“查看”-“查看源文件”就可以通過記事本打開��,可以找到掛馬代碼����。其效果如圖6所示。
3.“三刪”主要是指在站點中刪除入侵者加入的掛馬代碼���。對于普通用戶來講�,如果發(fā)現(xiàn)有人在掛馬���,可以通過flashget���、迅雷等下載軟件直接下載存在掛馬的網(wǎng)頁��,將掛馬網(wǎng)頁中存在的文件再次下載下來��,然后提交給殺毒軟件公司��,嘿嘿�����,入侵者的馬兒很快就會夭折。對于網(wǎng)站管理員來說����,如果發(fā)現(xiàn)掛馬,那么說明這個站點或者這個站點所在服務(wù)器已經(jīng)失控�����,這個時候最好的辦法就是使用備份文件重新覆蓋�����,千萬記得不要將舊的數(shù)據(jù)庫覆蓋新的數(shù)據(jù)庫����。好的方法是在覆蓋時先將網(wǎng)站文件下載到本地做一個備份,以備不測��。
4����、“四堵”主要是指發(fā)現(xiàn)掛馬后要及時堵漏。網(wǎng)站被掛馬說明網(wǎng)站肯定存在漏洞���,這個時候一定要仔細分析和檢查����。一些可以參考的建議:
(1)使用明小子的domain3.5或者教主的HDSI等SQL注入軟件進行注入漏洞掃描,當代碼文件不是很多時�,手動檢查還可以,如果文件較多時��,使用軟件相對效果會好一些��,而且容易發(fā)現(xiàn)漏洞����。
(2)更換數(shù)據(jù)庫管理員密碼。現(xiàn)在很多網(wǎng)站數(shù)據(jù)庫都是采用md5加密��,網(wǎng)上有大型md5在線破解數(shù)據(jù)庫����,即使復雜的md5密碼也是很容易被破解的,因此更換數(shù)據(jù)庫管理密碼尤為重要��。
(3)更換服務(wù)器用戶及其相關(guān)密碼�。網(wǎng)站跟服務(wù)器相比�����,顯然入侵者會更喜歡服務(wù)器,畢竟下蛋的“雞”比“蛋”重要�����。防止入侵者開放3389�����、根植木馬等���,當然如果條件允許�����,建議使用備份文件恢復系統(tǒng)���。
(4)對服務(wù)器做一次完整的安全檢查,如果沒有進行操作系統(tǒng)的恢復�,建議對服務(wù)器進行一次完整的安全檢查,查看日志�、進程、服務(wù)、系統(tǒng)文件等��。
(三)結(jié)束語
我們常常在講�����,網(wǎng)絡(luò)安全是相對的�����,本文也僅僅是拋磚引玉�����,對網(wǎng)站維護的一個小的方面進行了探討�,作為從事網(wǎng)絡(luò)安全的我們就應該將安全的東西變成不安全的東西,將不安全的東西變成安全的東西����,讓我們在網(wǎng)絡(luò)安全的矛與盾中前進,更加嚴謹?shù)膶ΥW(wǎng)頁木馬的防范��。
