現在國內有許多個人或者公司都建立了網站,網站已經成為日常生活的一部分,而網絡釣魚、網絡詐騙、網絡盜號等安全問題層出不窮。對于企業網站安全來講,其網頁掛馬危害最大,如今的掛馬者主要追尋商業利益,木馬程序多是量身訂做的,隱蔽性強,危害性大,加上近兩年來,許多黑客站點以及網絡安全培訓的興起,作為一名“工具”黑客,不需要太多的專業知識,只需要看看錄像,學會使用軟件工具即可,在這種情況下對于企業網站的安全維護已經成為網絡安全的一個研究課題,本文就企業網站的安全維護,尤其是網頁木馬的防范進行了探討。
對于企業網站來講,其安全主要受制以下一些因素:
(1)租用服務器安全。租用服務器安全主要取決于該ISP提供商或者虛擬主機等服務提供商自身安全水平。如果該服務器安全無法得到一定程度上的保證,那么個人及其商業網站就無法得到保證。服務器安全主要是指服務器系統設置,補丁更新,防火墻設置,IIS安全設置,殺毒軟件設置等。
注意:現在有很多個人為了追求商業利益,自己隨便整一個服務器然后就開始了虛擬主機等服務,這些服務器的安全性往往很差,因此在找虛擬主機和網站空間時一定要認真選擇,考慮綜合實力相對較強的,否則服務器老是出問題會影響個人(公司)網絡業務的開展。
(2)網站程序安全。在服務器保證安全的前提下,程序Bug是網站安全的重大隱患。加上不少商業和個人網站采用第三方程序,第三方程序一旦出現安全漏洞,個人和商業網站極易受到攻擊。
(3)維護安全。維護安全主要是指當程序交付后并正式運行以后,網站需要單獨的維護人員進行維護。對于個人網站來說,程序的維護往往通過Ftp相關程序上傳新的程序文件來進行更新維護。如果ftp口令或者數據庫口令被泄漏,其風險是不言而喻的。
對于個人或者商業網站,入侵者在入侵成功以后,主要有以下目的:
(1)獲取相關有用信息。例如獲取網站中的注冊用戶Email等個人信息,還有就是有針對性的獲取商業信息。
(2)作為入侵平臺,在網站“掛馬”。網站“掛馬”是入侵者的慣用伎倆,主要利用操作系統漏洞,通過一些程序生成腳本文件或者網頁,放入或者嵌入網站網頁中,當用戶訪問時,木馬程序會被下載到本地并偷偷執行。
(3)興趣所致。入侵者或者安全愛好者進行實際技術的演練,或者就是一種入侵愛好。
以上對企業網站的安全隱患進行了分析,對于網站管理人員如何來進行維護呢?其實很簡單,通過筆者的分析研究,可以歸納為“一看”、“二查”、“三刪”、“四堵”。下面分別進行分析。
1、“一看”主要是指打開網站主頁時進行觀察。對于初級的掛馬者而言,往往通過在網頁中加入一段掛馬代碼。這段代碼可能是js,可能是css,也可能是一段純粹的html代碼。其代碼可能為以下三種:
說明:現在的殺毒軟件也非常厲害,當訪問的網站中存在網頁木馬,殺毒軟件會自動查殺的。
如果在網站掛馬以后,往往會產生一些表象,仔細觀察會發現,在網站掛馬以后,如果沒有對地址欄進行處理,在用IE等瀏覽器打開時,瀏覽器地址欄會訪問其它地址(圖1)。
一般情況下是不會訪問其它網站地址,這些地址往往就是掛馬的地址,而且一些處理不好的掛馬代碼會導致一些錯誤提示,該錯誤提示一般在瀏覽器左下角以“黃色三角形”標識,雙擊該“黃色三角形”會顯示具體的錯誤代碼(圖2),這些錯誤代碼有可能是掛馬站點未處理好,也有可能是掛馬者在掛馬時未處理好掛馬代碼。
注意:對于初級的掛馬者,其網頁木馬源代碼可能沒有加密,而大多數老手都對網頁木馬源程序進行了加密,而且極有可能是多次加密。目前網上有很多提供網頁加解密的網站(圖3,圖4,圖5),一般來講有以下一些:
(1)通過Unicode碼的轉換實現的加密解密,但經過實驗,中文文字太多會導致將你的頁面代碼膨脹,英文反會有壓縮效果。
(2)帶密鑰的加解密
(3)Base64編碼加密,關于Base64編碼加解密可以參考網頁[url]http://www.dbxk.com/article/article/36/2005-12/20051228170628.html[/url] 以及[url]http://www.tyhome.com.cn/show_jdyk.asp?id=650[/url]
(4)md5的加密
(5)微軟的Encode加解密。微軟提供了一個專業的網頁腳本加密工具。加密時應只加密腳本部分,不加密腳本標記<script language="javascript">,并且加密后腳本標記應改為:<script language="JScript.Encode">
(6)8進制和16進制轉義字符串加解密
(7)10進制和16進制HTML編碼加解密
(8)escape加解密。escape()方法可以處理任何字符串對象或表達式。它返回一個 string 對象。其中所有的非字母字符被轉換成按照%××表示的數字,××表示非字母字符對應的十六進制數。
(9)JS腳本加解密,Js腳本加解密有一個做的比較好的站點,大家可以直接訪問:[url]http://dohi.cn/soft/MonyerEn.html[/url]以及[url]http://www.hao123.com/haoserver/jmjm.htm[/url]
2.“二查”主要是查看源代碼。當然前面的觀察也可以作為“二查”的依據,比如在瀏覽器訪問該網站時,在地址欄中發現網站在訪問其它地址,那么該地址可以作為查看掛馬所在網頁的一個最直接的方法,可以通過FrontPageXp等網頁編輯工具直接在站點中查找包含該地址的Html網頁。
注意:在查找時要選擇在Html中查找。
通過研究分析發現,掛馬代碼會直接以html方式顯示,一般用戶非管理員可以直接查看懷疑有掛馬的網頁源代碼。方法為:在瀏覽器中單擊“查看”-“查看源文件”就可以通過記事本打開,可以找到掛馬代碼。其效果如圖6所示。
3.“三刪”主要是指在站點中刪除入侵者加入的掛馬代碼。對于普通用戶來講,如果發現有人在掛馬,可以通過flashget、迅雷等下載軟件直接下載存在掛馬的網頁,將掛馬網頁中存在的文件再次下載下來,然后提交給殺毒軟件公司,嘿嘿,入侵者的馬兒很快就會夭折。對于網站管理員來說,如果發現掛馬,那么說明這個站點或者這個站點所在服務器已經失控,這個時候最好的辦法就是使用備份文件重新覆蓋,千萬記得不要將舊的數據庫覆蓋新的數據庫。好的方法是在覆蓋時先將網站文件下載到本地做一個備份,以備不測。
4、“四堵”主要是指發現掛馬后要及時堵漏。網站被掛馬說明網站肯定存在漏洞,這個時候一定要仔細分析和檢查。一些可以參考的建議:
(1)使用明小子的domain3.5或者教主的HDSI等SQL注入軟件進行注入漏洞掃描,當代碼文件不是很多時,手動檢查還可以,如果文件較多時,使用軟件相對效果會好一些,而且容易發現漏洞。
(2)更換數據庫管理員密碼。現在很多網站數據庫都是采用md5加密,網上有大型md5在線破解數據庫,即使復雜的md5密碼也是很容易被破解的,因此更換數據庫管理密碼尤為重要。
(3)更換服務器用戶及其相關密碼。網站跟服務器相比,顯然入侵者會更喜歡服務器,畢竟下蛋的“雞”比“蛋”重要。防止入侵者開放3389、根植木馬等,當然如果條件允許,建議使用備份文件恢復系統。
(4)對服務器做一次完整的安全檢查,如果沒有進行操作系統的恢復,建議對服務器進行一次完整的安全檢查,查看日志、進程、服務、系統文件等。
我們常常在講,網絡安全是相對的,本文也僅僅是拋磚引玉,對網站維護的一個小的方面進行了探討,作為從事網絡安全的我們就應該將安全的東西變成不安全的東西,將不安全的東西變成安全的東西,讓我們在網絡安全的矛與盾中前進,更加嚴謹的對待網頁木馬的防范。
