以下的文章我们是通过实例解析的方式对高校网站防范黑客入侵挂马的讲解,据CNCERT监测报告显示,2009年,中国大陆有4.2万网站被黑客篡改!而另一种攻击手法——网页挂马仍然是黑客地下产业链的重要一环。
各类操作系统和应用软件安全漏洞的披露以及网络热点事件、搜索热词的出现,都是黑客进行网页挂马的“契机”。
随着高校招生网络宣传工作的逐步展开,高校网站已经逐渐成为黑客关注的重点目标,而高校网络中心也将把网站安全工作提到了最高等级。但依然让人心有余悸的是,2010年高考前夕,5月14日一天之内,全国128所高校被集体挂马,其中不乏重点大学,这一数字已经超过2009年全年挂马数,黑客活动可谓日趋猖獗。而再早之前的2009年10月国庆60周年期间,中国大陆被篡改的网页有5793个,达到全年峰值。
传统防护 形同虚设
王立军作为一家高校网站的管理员,令他常常疑惑不解的是,明明自家的网站已经启用了安全防护机制,防火墙、IDS/IPS等安全设备一应俱全,为何还会轻而易举地就被黑客攻破?
对此,锐捷网络出口与安全产品专家给予了详细的解释:“虽然从表面上看,现有的安全设备都具有网站防护功能,但实际上,这种传统网站防护机制从防御手段来说,还存在着一些漏洞,给了黑客可乘之机!”
据锐捷网络出口与安全产品专家介绍,目前网站最常用的防御手段包括:防火墙、IDS/IPS、网页防篡改软件(部分单位自己开发),但是,上述三个手段存在不同的漏洞:
1、防火墙:不能防御通过80端口的HTTP攻击。防火墙基于访问控制实现,而要提供Web服务必须放行80端口。
2、IDS/IPS:不能保护客户自己编写的网站代码。IDS/IPS基于特征码识别,所谓特征码即针对Windows操作系统、Oracle数据库、IIS等通用系统的定期补丁;而客户的网站代码是自己编写的,没有人为其发布补丁。
3、网页防篡改软件:网站仍然可能被黑、不能通过合规性检查、部署复杂度高。
1)事后恢复治标不治本,可能再次被黑:目前针对中国网站的攻击,大量是通过工具的自动化攻击,只能事后恢复,无法避免连续被黑,最终对外体现的始终是被黑页面;而且一旦被黑就可能被搜索引擎抓取快照,影响已经传播出去了。
2)无法通过合规性检查需要:公安及上级机关检查网站安全,检查组一般采用漏洞扫描、攻击探测等手段,这种手段网页防篡改软件是无法发现的;即使能事后恢复,但是无法通过检查。
3)不能保护动态页面:网页防篡改软件的工作原理是对页面内容进行比对,发现变化则进行恢复;但是目前大部分网页使用的是SQL语句、动态脚本的动态页面;对于这种页面,每次显示的内容本身是不断变化的,无法进行比对。
4)部署复杂度高,可能引入安全性问题:要使网页防篡改软件起作用,需要把软件与网站代码整合起来方能进行工作,实施的复杂度相对较高;同时允许软件厂商修改网站代码,也可能带来信息安全隐患。
全新防护 滴水不漏
为了给门户网站提供一个最为全面、有效、简便的安全保障,锐捷网络门户网站保护解决方案提供了从网络层、应用层到Web层的全面防护;其中防火墙、IDS分别提供网络层和应用层防护,ACE对Web服务提供带宽保障;而方案的主体产品锐捷WebGuard(WG)进行Web攻击防御,全面提升网站安全防护能力,使网络中心安然度过敏感时期!
防网页篡改、挂马
高校、政府作为公共信息提供者,网页被篡改、黑客入侵挂马将造成不良社会影响,降低学校声誉。目前客户常用的防火墙、IDS/IPS、网页防篡改,无法解决通过80端口、无特征库、针对动态页面的Web攻击。WebGuard DDSE深度解码检测引擎能有效防御SQL注入、跨站脚本等。
高性能,一站式保护各院系网站
对于高校客户,往往拥有众多院系,而并非所有高校都将各院系网站统一管理。各院系网站技术运维能力相对较弱,经常成为攻击重点。WebGuard利用高性能多核架构,提供并行处理,可以支持在校园网出口部署,一站式保护各院系网站。
“零配置”运行,简化部署
WebGuard针对高教用户,集成默认配置模板,支持“零配置”运行。一旦上线,即可防护绝大多数攻击。后续用户可以根据网络情况,进行优化策略。同时,可以避免同类产品常见繁琐配置,客户无需具备专业的安全技能,即可拥有良好的体验。
满足合规性检查要求
继2008年北京奥运、2009年国庆60周年后,2010年上海世博会、广州亚运会先后举行。在重大活动前后,各级主管单位和公安部门纷纷发文,要求针对网站安全采取措施。WebGuard恰好能很好的满足合规性检查的需求,帮助用户顺利通过检查。
功能强大 简单易用
WG是锐捷网络推出的基于多核+ASIC架构的高性能、高可靠Web应用网关,相对于业界常见的Web防火墙产品,具有以下特色功能:
集成防病毒网关
中国网站攻击多为自动化攻击,对于这种攻击,往往涉及木马病毒,卡住病毒,就卡住了自动化攻击。
不少Web防火墙为IPS改装而来,也号称识别病毒,其主要原理是特征匹配,只检查文件头部,不检查文件内容,而WG对文件内容进行病毒扫描,同时对HTTP访问进行内容识别。
WG全面覆盖ICSA认证标准Wildlist,具备专业防病毒功能。
网页事后恢复功能
不少国内客户,接受网页防篡改软件的理念,希望WG兼具事前防御和事后恢复功,因此WG中集成了静态网页事后恢复功能。
“零配置”初次运行
Cisco、Impreva等厂商采用白名单工作方式,使用时需要针对每个页面的HTTP各字段进行配置,这需要客户具有较高的技术操作水平,否则无法发挥出产品功效。
WG针对国内常见的攻击,预置了攻击防御策略;设备上线,无需配置即可防御绝大多数攻击;同时也提供白名单功能,供高级客户使用。
关键字过滤
防止网站论坛被上传非法反动言论,或网页被篡改为非法言论;支持关键字过滤。
【编辑推荐】
网络语言 "挂马" ? 是什么意思?
挂马就是在网站里挂木马,首先是利用漏洞侵入网站后台,然后上传木马,就行了。详细去黑客网站看!所谓的挂马,就是通过扫描网站是否有注入点;然后通过注入点,获取系统管理员的账号和密码;然后通过扫描,获得网站后台登陆页面地址;然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webshell;利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码;当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址;
.net 如何防止上传图片木马
你服务器端不会把jpg文件当exe运行的.比较常见的问题是有人在你的网站上上传一些伪装的图片文件,一般是js,然后在其他站上引用这个URL来造成跨站漏洞.这个我就干过,虽然只是为了好玩的...它对你网站本身应该不会造成多大威胁,当然最基本的关键字和html标签文本过滤你要做,否则挂马对一般的黑客来说也实在是太容易了.如果真是黑客想做掉你的网站途径多的是,能不能防住就看你的服务器环境了.比如说文件的执行权限设置,硬件防火墙的配置等等.如果安全设置太垃圾我估计黑客都不屑上门.
网站挂马
楼上两位说的方向都是从“操作系统漏洞”出发,其实作为web服务器,大多数是通过网站程序自身代码漏洞,比如无组件上传漏洞,网站后台备份功能。 针对系统漏洞入手,相对于针对一台服务器上很多网站程序试探要耗时耗精力效果还不好。 网站挂马,通常就是黑客利用网站程序或者是语言脚本解释的漏洞上传一些可以直接对站点文件进行修改的脚本木马,然后通过web形式去访问那个脚本木马来实现对当前的网站文件进行修改,比如加入一段广告代码,通常是iframe或者script。 想知道网站是否被挂马,有一个比较简单的方法,直接检查每个脚本文件最下方是否被加入了iframe或者script的代码,然后这段代码是否是程序员设计的时候添加的,程序员一看就能够知道。 防范的方式也简单: 1、程序代码漏洞,这需要有安全意识的程序员才能修复得了,通常是在出现被挂马以后才知道要针对哪方面入手修复; 2、服务器目录权限的“读”、“写”、“执行”,“是否允许脚本”,等等,使用经营已久的虚拟空间提供商的空间,可以有效降低被挂马的几率。
发表评论