支招防御網頁木馬

文/李新 徐陽 李成友

支招防御網頁木馬

文/李新 徐陽 李成友

政府、中小企業、金融、門戶和電子商務網站成為黑客網頁掛馬的最愛五類網站，即“黑五類”。

根據某安全企業“云安全”數據中心最新統計數據表明，2009年上半年，其“云安全”系統攔截到的掛馬網頁數累計達2.9億個，共有11.2億人次網民遭木馬攻擊，平均每天有622萬余人次網民訪問掛馬網站；其中大型網站、流行軟件被掛馬的有35萬個（以域名計算），比去年同期有大幅度增長。由此可見，網絡掛馬問題之嚴重，網站及上網用戶受攻擊之多超乎想象。如何有效防御網頁掛馬，成為急需解決的問題之一。

網頁木馬：一為名，二為利

網頁木馬是木馬傳播的主要途徑之一，表面上偽裝成普通的網頁文件或是將惡意的代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。

網頁木馬的主要特征：除了具有木馬的一般特征：隱蔽性、自動運行性、欺騙性、自動恢復功能和竊取性，還具有獨特的特征:廣泛的影響性、嚴重的危害性、短暫的周期性。

網頁掛馬的現象有：從網頁代碼角度，在代碼中新增了惡意腳本：或；從用戶角度，IE等瀏覽器的地址欄里會閃出一些陌生的網址，安裝有殺毒軟件或木馬防控軟件的操作系統訪問網頁時會有木馬病毒提示，沒有的訪問掛馬網頁可會使系統感染木馬，有一系列非正常的現象，諸如藍屏樣死機、沒有運行大的程序但系統的速度卻越來越慢、系統進程里有多個名字陌生且相同的程序在運行等。

網頁掛馬的主要目的一是為名，一是為利。具體說來就是盜取個人隱私信息（賬號和密碼），表露自身才能，制造大規模網絡安全事件等。

按照用戶交互程度分為主動攻擊和被動攻擊兩種。

主動攻擊式是指攻擊者通過各種欺騙，引誘等手段，誘使用戶訪問放置有網頁木馬的網站，如果用戶不小心訪問了該網站，就有可能感染木馬。這種攻擊主要存在于QQ、新浪UC和網易泡泡等即時通訊聊天軟件的對話框中。

被動式攻擊通常是攻擊者入侵互聯網上訪問量比較大的站點，并在其頁面中插入網頁的惡意代碼，一旦用戶瀏覽了被插入Web網頁木馬的頁面，計算機便會在后臺完成木馬軟件的下載，就這樣，木馬神不知鬼不覺的被種植在用戶的計算機中。一些攻擊者甚至入侵IDC機房的服務器，將ARP欺騙的惡意代碼廣為傳播。相比而言，被動攻擊比主動攻擊更隱蔽，而且更難發現，危害性更大，清除難度也更大。

網頁掛馬傾向于五類網站。黑客在選取掛馬網站時，為了獲取最大利益會考慮這樣兩個方面，一是網站受眾數量，二是網站受眾群，選取特定類型的網站如電子商務網站，金融網站等，這樣獲取的利益也會更大。因此，政府、中小企業、金融、門戶和電子商務網站成為黑客網頁掛馬的最愛五類網站，即“黑五類”。

通過向“第三方”網站間接掛馬。日前，微點反病毒專家發現一種更為新穎的網頁掛馬方法，通過向“第三方”網站間接掛馬，實現病毒傳播速度、數量倍速增長，對網民危害極大。黑客正是利用某知名統計網站進行掛馬，從而使得所有使用了該統計代碼的網站全部被間接掛馬。利用統計網站間接掛馬的方式，使得病毒的傳播范圍和感染數量呈幾何級數增長，對社會危害極大。

網頁中招：有主觀，有客觀

網頁掛馬的原因

可以大致歸類為服務器本身和網站本身兩方面的原因。

1.服務器本身的原因主要有操作系統存在漏洞、FTP帳號密碼泄密、操作系統管理配置不當（如用戶密碼設置的過于簡單、網站文件夾添加了瀏覽權限、網站文件夾匿名訪問用戶權限過高等）、SQL數據庫注入漏洞等。

2.網站本身的原因主要有上傳漏洞（上傳頁面未作身份認證）、暴庫（%5c漏洞）、SQL注入漏洞、旁注、未加修改的免費網站管理系統等網民中馬的原因

可以大致歸類為主觀和客觀兩方面的原因。

1.主觀上上網用戶安全意識淡薄，疏于個人電腦的安全防范；還有部分上網用戶好奇心強，隨便點擊來路不明的中獎信息或小道消息鏈接。

2.客觀上的原因主要有國家對網站掛馬的犯罪行為懲處力度不夠，致使網站掛馬成風；IE瀏覽器或基于IE內核的瀏覽器層出不窮的漏洞；網站木馬多種多樣，變化多端等。

防御木馬：主動被動各有招數

針對主動攻擊的防御策略

針對主動攻擊動機比較明顯，容易察覺的特點，只要加強上網用戶的網絡安全防范意識教育，使其不隨便點擊來路不明或陌生人的信息鏈接地址，就可以在很大程度上破解了此類型的攻擊。另外，通過國家相關部門出臺相關法律、法規，加大對此類攻擊行為的查處和懲罰力度，這樣就可以在源頭上減少此類攻擊事件的發生。

針對被動攻擊的防御策略

針對被動攻擊主要從服務器端和用戶端采取安全措施，減小網頁掛馬帶來的危害。

1.服務器端安全措施

服務器端安全主要涉及的人員有網站制作者、網站維護者和服務器管理者。為了防范網頁掛馬危害，他們務必各盡其責，進行完備的防范。

對于服務器管理者而言，就是要恰當設置網站服務器。在此，特別強調幾點：一是要經常及時更新系統及組件補丁，以免留下可乘之機；二是對于提供多個站點服務的，應針對每個網站新建一個網站匿名訪問的用戶，以便各個網站之間隔離；三是利用IIS假設站點的，不使用默認的Web站點，并且把IIS站點文件、操作系統文件和IIS站點日志文件存放位置規劃在不同盤符上，刪除IIS安裝時默認的Inetpub目錄，刪除不必要的IIS擴展名映射。

對于網站制作者而言，就是盡量保證代碼安全。針對目前網頁掛馬主要是利用SQL注入漏洞、%5c漏洞和上傳漏洞等進行攻擊的，基于此一是編寫函數過濾危險字符（嵌套防注入函數），加密用戶輸入的數據以此防范SQL注入攻擊；二是在數據庫路徑語句之后，添加“on Error Resume Next”語句，另外對基于Access數據庫的網站，通過IIS設置拒絕對數據庫的訪問，在數據中新建一個表并創建一個OLE對象類型的字段，字段內容為非編程語句的內容，可以有效防范%5c漏洞攻擊； 三是對網站后臺管理頁面進行身份認證，特別是上傳組件頁面；四是多級存放數據庫文件，非常規命名重要文件夾和文件（如后臺登錄文件夾、數據庫文件、數據庫鏈接文件等）。此外，針對網頁木馬攻擊有一種行之有效地防止木馬代碼發揮作用的方法，就是結合CSS的expression，堵住iframe或script外鏈惡意代碼的執行，其中一種方案代碼如下：

對于網站維護者而言，就是確保操作規范和信息安全。具體說，網站管理的用戶名和密碼要有一定復雜性，不能過于簡單，還要注意定期更換；通過FTP來上傳、維護網頁，盡量不安裝ASP的上傳程序；定期檢查網站安全狀況。

2. 用戶端安全措施

對于用戶端的安全主要從以下幾個方面加強木馬防御：

（1）增強防范意識，確保上網行為規范。

對上網用戶而言，就是要養成良好的上網習慣，盡量從大規模門戶網站或官方網站瀏覽信息、下載資源，不隨意登錄不明網站及不規范網站。在瀏覽互聯網時，對于使用的應用軟件也要經常更新，以免產生可乘之機。

（2）安裝殺毒及防木馬軟件。

上網用戶機器，都要安裝專業的防毒軟件并及時升級到最新版本，并打開實時監控程序；安裝帶有“木馬墻”功能的個人防火墻軟件；安裝實時監控網頁木馬的軟件。建議安裝反病毒“四劍客”即360安全衛士、卡巴斯基(Kaspersky)、AVG Anti-Spyware和天網防火墻。

（3）強化瀏覽器的安全。

目前互聯網上常見的網頁木馬就是利用IE瀏覽器及其ActiveX控件的漏洞進行攻擊的。鑒于此，一種方法是使用Firefox/Opera等非IE內核的第三方瀏覽器以便從源頭上堵住網頁木馬的攻擊，不過第三方瀏覽器在頁面兼容性上稍遜IE瀏覽器；另一種方法針對使用IE瀏覽器或基于IE內核的瀏覽器的用戶，應及時更新瀏覽器的補丁，調高瀏覽器的安全級別，限制腳本、ActiveX控件、插件等的運行，這可以避免很多的安全威脅；第三種方法就是使用一些具有防網頁掛馬功能的殺毒軟件或者安全輔助工具，目前很多殺毒軟件或者安全輔助工具都已提供了這一功能（如暢游巡警、McAfeeSiteAdvisor和趨勢科技上網無憂電子眼等）。

隨著技術的不斷發展，網頁木馬病毒必定也會以更隱蔽、更智能化、破壞力更強的方式出現，但“魔高一尺，道高一丈”，相信只要我們齊心協力做好有關安全防護措施，就能把它給我們帶來得危害降到最低。

(作者單位為聊城大學網絡信息中心)