試談高校二級(jí)網(wǎng)站惡意掛馬與防范措施

葉正旺，莊 嚴(yán)

(通化師范學(xué)院 網(wǎng)絡(luò)中心，吉林 通化134002)

1 引言

網(wǎng)站掛馬近年來(lái)一直是國(guó)內(nèi)互聯(lián)網(wǎng)安全最嚴(yán)重的威脅，對(duì)教育網(wǎng)網(wǎng)站也構(gòu)成了危害.在2010年9月，北大計(jì)算機(jī)所信安中心利用研發(fā)實(shí)現(xiàn)的北大網(wǎng)頁(yè)掛馬檢測(cè)平臺(tái)，針對(duì)教育網(wǎng)中的網(wǎng)站進(jìn)行網(wǎng)站掛馬檢測(cè)，發(fā)現(xiàn)分別屬于314所不同高校的577個(gè)網(wǎng)站被惡意掛馬，網(wǎng)站掛馬率為3.15%，高于同期檢測(cè)的科研系統(tǒng)網(wǎng)站掛馬率(2.46%)和政府網(wǎng)站掛馬率(1.03%).而且在高校網(wǎng)站掛馬統(tǒng)計(jì)中，發(fā)現(xiàn)87.9%的網(wǎng)站均為二級(jí)或者三級(jí)域名網(wǎng)站，而一級(jí)域名網(wǎng)站掛馬僅為少數(shù).這些數(shù)據(jù)表明高校網(wǎng)站，特別是二級(jí)網(wǎng)站存在很大的安全隱患[1].

為了保障高校與外界網(wǎng)絡(luò)信息溝通的通道暢通無(wú)阻.必須加強(qiáng)高校網(wǎng)站的安全管理，尤其是學(xué)校二級(jí)網(wǎng)站的安全管理.

2 二級(jí)網(wǎng)站惡意掛馬的常見(jiàn)形式

高校二級(jí)網(wǎng)站的建設(shè)，主要是為各系部用于解決師生信息獲得，網(wǎng)上教學(xué)、交流，院系動(dòng)態(tài)信息發(fā)布和后臺(tái)管理維護(hù)等問(wèn)題.不僅是教學(xué)、科研等各項(xiàng)活動(dòng)的交互窗口，更是一種高效的管理方法和手段.但同時(shí)它也成為網(wǎng)絡(luò)攻擊的對(duì)象，經(jīng)常會(huì)受到攻擊而使一些網(wǎng)站被篡改、被掛馬，不能正常發(fā)揮原有的作用.

2.1 黑客入侵

黑客入侵是比較普遍的一種攻擊，主要包括掃描攻擊：這類攻擊是黑客利用端口或地址掃描技術(shù)，探測(cè)目標(biāo)地址或開(kāi)放的端口.體系機(jī)構(gòu)探測(cè)攻擊：是使用具有已知響應(yīng)類型數(shù)據(jù)庫(kù)的自動(dòng)工具，對(duì)來(lái)自目標(biāo)主機(jī)的數(shù)據(jù)包傳送所作出的響應(yīng)進(jìn)行檢查，從而獲取系統(tǒng)信息，進(jìn)一步達(dá)到控制服務(wù)器的目的.另外還有部分二級(jí)學(xué)院網(wǎng)站可能采用動(dòng)易、風(fēng)訊等新聞?lì)惏l(fā)布系統(tǒng)，由于其源代碼的開(kāi)放性，黑客可輕而易舉獲取系統(tǒng)已知存在的漏洞[2].

2.2 病毒攻擊

計(jì)算機(jī)病毒由于具有寄生性、破壞性、隱蔽性、潛伏性、傳染性和可觸發(fā)性等特點(diǎn)，而更加難以防范，中毒后將導(dǎo)致IIS等正常的程序無(wú)法運(yùn)行，系統(tǒng)癱瘓，網(wǎng)站內(nèi)容遭到刪除或受到不同程度的損壞[3].

2.3 惡意代碼攻擊

此類威脅在二級(jí)學(xué)院網(wǎng)站尤其突出，由于多個(gè)二級(jí)學(xué)院網(wǎng)站架設(shè)在同一臺(tái)服務(wù)器上，惡意代碼會(huì)自動(dòng)在各個(gè)網(wǎng)站源代碼中嵌入病毒代碼，用戶瀏覽嵌套有惡意代碼網(wǎng)站時(shí)，會(huì)自動(dòng)在客戶端下載木馬，造成用戶電腦感染病毒.從而獲得管理員權(quán)限，控制整個(gè)網(wǎng)站.針對(duì)二級(jí)網(wǎng)站被惡意掛馬可以歸結(jié)為以下幾類：

(1)IFRAME框架掛馬：是常見(jiàn)的一種掛馬方式，通常的掛馬代碼是：.這種掛馬方式通過(guò)在網(wǎng)頁(yè)內(nèi)嵌入0*0的框架，讓用戶在視覺(jué)上看不見(jiàn).當(dāng)運(yùn)行時(shí)，網(wǎng)頁(yè)木馬利用iframe語(yǔ)句，加載到任意頁(yè)中都可執(zhí)行實(shí)現(xiàn)入侵網(wǎng)站服務(wù)器.

(2)JS掛馬：JS腳本是JavaScript腳本語(yǔ)言的簡(jiǎn)稱，它是一種面向?qū)ο蟮哪_本語(yǔ)言，目前廣泛用于動(dòng)態(tài)網(wǎng)頁(yè)的編程.JS腳本在掛馬時(shí)可以直接將JS代碼寫在網(wǎng)頁(yè)中，也可以通過(guò)注入網(wǎng)頁(yè)，讓網(wǎng)站遠(yuǎn)程調(diào)取異地JS腳本.JS掛馬插入Web頁(yè)面的方法對(duì)于一般人來(lái)說(shuō)很難辨別木馬在何處.通常代碼如下：.這里http://www.xxx.com/gm.js就是一個(gè)js腳本文件，通過(guò)它調(diào)用和執(zhí)行木馬的服務(wù)端.JS掛馬侵入很深的網(wǎng)站代碼中，不明顯，不容易發(fā)現(xiàn)，所以很難防范.

(3)CSS掛馬：類似JS掛馬，沒(méi)有JS靈活，就是在CSS加入iframe.在互動(dòng)性非常強(qiáng)的論壇和博客中，往往提供豐富的功能，并且會(huì)允許用戶使用CSS層疊樣式表來(lái)對(duì)網(wǎng)站的網(wǎng)頁(yè)進(jìn)行自由的修改，這為CSS掛馬創(chuàng)造了條件.黑客在利用CSS掛馬時(shí)，往往是借著網(wǎng)民對(duì)某些大網(wǎng)站的信任，將CSS惡意代碼掛到博客或者其他支持CSS的網(wǎng)頁(yè)中，當(dāng)網(wǎng)民訪問(wèn)該網(wǎng)頁(yè)時(shí)惡意代碼就會(huì)執(zhí)行.

(4)圖片掛馬[4]：是將一些木馬文件修改后綴名(修改為圖像文件后綴)進(jìn)行上傳.另外有的是通過(guò)偽造圖片繞過(guò)各網(wǎng)站的上傳系統(tǒng)，將代碼隱藏在圖片文件中以獲得執(zhí)行.這種掛馬方式是將HTML代碼偽裝成圖片，瀏覽器在對(duì)其進(jìn)行解析的時(shí)候會(huì)將其中隱藏的HTML或客戶端腳本代碼解釋執(zhí)行.圖片木馬是比較新穎的一種掛馬隱蔽方法，但簡(jiǎn)單講就是圖片本身是html文件，只是把擴(kuò)展名改了.

(5)偽裝調(diào)用掛馬[5]：它是網(wǎng)絡(luò)中最常見(jiàn)的欺騙手段，黑客們利用人們的獵奇、貪心等心理偽裝構(gòu)造一個(gè)鏈接或者一個(gè)網(wǎng)頁(yè)，利用社會(huì)工程學(xué)欺騙方法，引誘點(diǎn)擊，當(dāng)用戶打開(kāi)一個(gè)看似正常的頁(yè)面時(shí)，網(wǎng)頁(yè)代碼隨之運(yùn)行.這種掛馬方式主要是通過(guò)欺騙用戶輸入某些個(gè)人隱私信息，然后竊取個(gè)人隱私.比如攻擊者模仿騰訊公司設(shè)計(jì)了一個(gè)獲取QQ幣的頁(yè)面，引誘輸入QQ號(hào)和密碼.等用戶輸入完提交后，就把這些信息發(fā)送到攻擊者指定的地方.這種掛馬方式隱蔽性極高.

3 導(dǎo)致高校二級(jí)網(wǎng)站存在安全問(wèn)題的癥結(jié)

高校二級(jí)網(wǎng)站被惡意掛馬數(shù)量呈明顯上升趨勢(shì)，要節(jié)制高校網(wǎng)站掛馬事情發(fā)生，就需要從造成網(wǎng)站被掛馬的原因說(shuō)起，對(duì)高校二級(jí)網(wǎng)站掛馬存在的原因可歸結(jié)如下[6]：

(1)管理者、制作者的因素.首先，重視程度不夠.觀念問(wèn)題是影響高校網(wǎng)站建設(shè)與發(fā)展的首要問(wèn)題，一些學(xué)院的領(lǐng)導(dǎo)和管理人員對(duì)網(wǎng)站建設(shè)缺乏足夠認(rèn)識(shí)，對(duì)本部門信息資源的開(kāi)發(fā)利用，依然習(xí)慣于傳統(tǒng)的管理模式.或者僅僅是把建設(shè)網(wǎng)站當(dāng)作一個(gè)“門面”，一個(gè)形象工程，只注重前期建設(shè)，而忽略信息維護(hù).對(duì)安全這一塊，很多領(lǐng)導(dǎo)和管理人員只單純的認(rèn)為安全問(wèn)題是和網(wǎng)絡(luò)中心的服務(wù)器有關(guān)，與他們的網(wǎng)站建設(shè)沒(méi)有任何關(guān)系.黑客所利用的漏洞看似出于技術(shù)，究其深層次原因，不難發(fā)現(xiàn)正是網(wǎng)站的制作者以及管理人員對(duì)各個(gè)過(guò)程中出現(xiàn)的問(wèn)題缺少必要的風(fēng)險(xiǎn)控制意識(shí)，才導(dǎo)致最終完成的網(wǎng)站漏洞百出.而終端用戶對(duì)網(wǎng)絡(luò)安全意識(shí)的漠視也是導(dǎo)致黑客能夠得手的重要原因.其次，二級(jí)網(wǎng)站開(kāi)發(fā)人員不穩(wěn)定.高校各個(gè)院系部門都要建設(shè)屬于自己的二級(jí)網(wǎng)站，但高校二級(jí)網(wǎng)站開(kāi)發(fā)制作隊(duì)伍多以研究生或本科生為主，雖然開(kāi)發(fā)制作能力較強(qiáng)，但由于學(xué)生交替頻繁，隊(duì)伍不夠穩(wěn)定，直接造成網(wǎng)站升級(jí)困難.

(2)網(wǎng)站技術(shù)路線簡(jiǎn)單，安全性差.學(xué)校二級(jí)網(wǎng)站多以WINDOWS2000SERVER作為服務(wù)器系統(tǒng)，采用ASP技術(shù)，也有少量網(wǎng)站采用靜態(tài)頁(yè)面，信息量和交互功能相對(duì)簡(jiǎn)單.由于WINDOWS2000SERVER本身存在安全漏洞較多，易受黑客及病毒攻擊.

4 高校二級(jí)網(wǎng)站掛馬防范措施

針對(duì)二級(jí)網(wǎng)站惡意掛馬的常見(jiàn)威脅以及高校二級(jí)網(wǎng)站存在的問(wèn)題，筆者提出以下幾點(diǎn)防范措施:

(1)加強(qiáng)網(wǎng)絡(luò)安全意識(shí)與領(lǐng)導(dǎo)管理力度，加強(qiáng)專業(yè)人員培訓(xùn).高校二級(jí)網(wǎng)站作為各個(gè)院系部門宣傳辦公的一個(gè)平臺(tái)，要想發(fā)揮它的作用，首先要保障它的安全運(yùn)行，保證數(shù)據(jù)的安全性.所以各個(gè)部門的負(fù)責(zé)人一定要高度重視網(wǎng)站的安全問(wèn)題.要建立一套完整的網(wǎng)站維護(hù)、更新、升級(jí)的管理制度，安排專人負(fù)責(zé)制，建立相應(yīng)的應(yīng)急預(yù)案.對(duì)于網(wǎng)站掛馬，數(shù)據(jù)篡改等情況能夠及時(shí)做出響應(yīng).

針對(duì)高校二級(jí)網(wǎng)站開(kāi)發(fā)人員技術(shù)問(wèn)題和相應(yīng)的后期維護(hù)工作，各個(gè)部門應(yīng)有規(guī)律的組織專業(yè)人員的培訓(xùn)工作.在技術(shù)層次達(dá)到一定的高度，對(duì)各個(gè)過(guò)程中可能出現(xiàn)的問(wèn)題具有風(fēng)險(xiǎn)控制意識(shí)，防患于未然.

(2)服務(wù)器端加強(qiáng)防范.針對(duì)高校二級(jí)網(wǎng)站面臨的威脅，作為網(wǎng)管人員首先要加強(qiáng)自身專業(yè)技術(shù)能力，對(duì)網(wǎng)站服務(wù)器或源代碼存在的漏洞能迅速甄別，發(fā)現(xiàn)可疑文件后及時(shí)處理.做好服務(wù)器端安全工作，安裝最新版服務(wù)器端殺毒軟件以及入侵檢測(cè)系統(tǒng)，通過(guò)監(jiān)視系統(tǒng)安全日志、IIS系統(tǒng)日志、網(wǎng)站后臺(tái)記錄日志，分析檢測(cè)出WEB服務(wù)器被非法攻擊行為，記錄攻擊者IP，屏蔽該IP所在區(qū)域或上報(bào)相關(guān)部門.做好網(wǎng)站加密和備份工作，對(duì)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行MD5加密，密碼登陸采用驗(yàn)證碼機(jī)制，可有效防止密碼暴利破解；做好本地?cái)?shù)據(jù)備份工作，以最大限度減少病毒所帶來(lái)的危險(xiǎn).經(jīng)常性地檢查服務(wù)器日志，提高服務(wù)器安全配置.其中主要包括：ftp安全設(shè)置；iss目錄是否被鎖定；權(quán)限方面的配置；策略問(wèn)題；端口和服務(wù)關(guān)閉問(wèn)題；管理員口令問(wèn)題；發(fā)現(xiàn)異常信息等等.

5 結(jié)語(yǔ)

高校二級(jí)網(wǎng)站建設(shè)越來(lái)越受到教育機(jī)構(gòu)的重視，網(wǎng)站的建設(shè)對(duì)學(xué)院擴(kuò)大對(duì)外宣傳力度，推進(jìn)學(xué)院管理信息化，提高學(xué)院知名度和辦學(xué)影響力起著極為重要的作用.

筆者針對(duì)高校二級(jí)網(wǎng)站掛馬率高的這種情況，在分析網(wǎng)站惡意掛馬常用方式、總結(jié)高校網(wǎng)站安全問(wèn)題癥結(jié)后，給出了高校二級(jí)網(wǎng)站惡意掛馬的防范措施.

[1]張聰，張慧.特洛伊木馬程序隱藏技術(shù)分析[J].武漢工業(yè)學(xué)院學(xué)報(bào)，2005，24(2):19-21.

[2]天才.黑客是如何騙取你執(zhí)行木馬的[J].網(wǎng)絡(luò)與信息，2005，19(2):52-53.

[3]褚誠(chéng)云.Web安全開(kāi)發(fā):SQL注入攻擊和網(wǎng)頁(yè)掛馬[J].程序員，2008(7):102-104.

[4]羅川，辛茗庭.網(wǎng)頁(yè)木馬剖析與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2007(12):83-85.

[5]韓法旺.Web網(wǎng)頁(yè)木馬研究初探[J].科技信息，2008(19)：71-72.

[6]程文彬.基于網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷及對(duì)策[J].電子科技大學(xué)學(xué)報(bào)，2003(6):711-712.