文/李新 徐阳 李成友
支招防御网页木马
文/李新 徐阳 李成友
政府、中小企业、金融、门户和电子商务网站成为黑客网页挂马的最爱五类网站,即“黑五类”。
根据某安全企业“云安全”数据中心最新统计数据表明,2009年上半年,其“云安全”系统拦截到的挂马网页数累计达2.9亿个,共有11.2亿人次网民遭木马攻击,平均每天有622万余人次网民访问挂马网站;其中大型网站、流行软件被挂马的有35万个(以域名计算),比去年同期有大幅度增长。由此可见,网络挂马问题之严重,网站及上网用户受攻击之多超乎想象。如何有效防御网页挂马,成为急需解决的问题之一。
网页木马是木马传播的主要途径之一,表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
网页木马的主要特征:除了具有木马的一般特征:隐蔽性、自动运行性、欺骗性、自动恢复功能和窃取性,还具有独特的特征:广泛的影响性、严重的危害性、短暂的周期性。
网页挂马的现象有:从网页代码角度,在代码中新增了恶意脚本:或;从用户角度,IE等浏览器的地址栏里会闪出一些陌生的网址,安装有杀毒软件或木马防控软件的操作系统访问网页时会有木马病毒提示,没有的访问挂马网页可会使系统感染木马,有一系列非正常的现象,诸如蓝屏样死机、没有运行大的程序但系统的速度却越来越慢、系统进程里有多个名字陌生且相同的程序在运行等。
网页挂马的主要目的一是为名,一是为利。具体说来就是盗取个人隐私信息(账号和密码),表露自身才能,制造大规模网络安全事件等。
按照用户交互程度分为主动攻击和被动攻击两种。
主动攻击式是指攻击者通过各种欺骗,引诱等手段,诱使用户访问放置有网页木马的网站,如果用户不小心访问了该网站,就有可能感染木马。这种攻击主要存在于QQ、新浪UC和网易泡泡等即时通讯聊天软件的对话框中。
被动式攻击通常是攻击者入侵互联网上访问量比较大的站点,并在其页面中插入网页的恶意代码,一旦用户浏览了被插入Web网页木马的页面,计算机便会在后台完成木马软件的下载,就这样,木马神不知鬼不觉的被种植在用户的计算机中。一些攻击者甚至入侵IDC机房的服务器,将ARP欺骗的恶意代码广为传播。相比而言,被动攻击比主动攻击更隐蔽,而且更难发现,危害性更大,清除难度也更大。
网页挂马倾向于五类网站。黑客在选取挂马网站时,为了获取最大利益会考虑这样两个方面,一是网站受众数量,二是网站受众群,选取特定类型的网站如电子商务网站,金融网站等,这样获取的利益也会更大。因此,政府、中小企业、金融、门户和电子商务网站成为黑客网页挂马的最爱五类网站,即“黑五类”。
通过向“第三方”网站间接挂马。日前,微点反病毒专家发现一种更为新颖的网页挂马方法,通过向“第三方”网站间接挂马,实现病毒传播速度、数量倍速增长,对网民危害极大。黑客正是利用某知名统计网站进行挂马,从而使得所有使用了该统计代码的网站全部被间接挂马。利用统计网站间接挂马的方式,使得病毒的传播范围和感染数量呈几何级数增长,对社会危害极大。
网页挂马的原因
可以大致归类为服务器本身和网站本身两方面的原因。
1.服务器本身的原因主要有操作系统存在漏洞、FTP帐号密码泄密、操作系统管理配置不当(如用户密码设置的过于简单、网站文件夹添加了浏览权限、网站文件夹匿名访问用户权限过高等)、SQL数据库注入漏洞等。
2.网站本身的原因主要有上传漏洞(上传页面未作身份认证)、暴库(%5c漏洞)、SQL注入漏洞、旁注、未加修改的免费网站管理系统等网民中马的原因
可以大致归类为主观和客观两方面的原因。
1.主观上上网用户安全意识淡薄,疏于个人电脑的安全防范;还有部分上网用户好奇心强,随便点击来路不明的中奖信息或小道消息链接。
2.客观上的原因主要有国家对网站挂马的犯罪行为惩处力度不够,致使网站挂马成风;IE浏览器或基于IE内核的浏览器层出不穷的漏洞;网站木马多种多样,变化多端等。
针对主动攻击的防御策略
针对主动攻击动机比较明显,容易察觉的特点,只要加强上网用户的网络安全防范意识教育,使其不随便点击来路不明或陌生人的信息链接地址,就可以在很大程度上破解了此类型的攻击。另外,通过国家相关部门出台相关法律、法规,加大对此类攻击行为的查处和惩罚力度,这样就可以在源头上减少此类攻击事件的发生。
针对被动攻击的防御策略
针对被动攻击主要从服务器端和用户端采取安全措施,减小网页挂马带来的危害。
1.服务器端安全措施
服务器端安全主要涉及的人员有网站制作者、网站维护者和服务器管理者。为了防范网页挂马危害,他们务必各尽其责,进行完备的防范。
对于服务器管理者而言,就是要恰当设置网站服务器。在此,特别强调几点:一是要经常及时更新系统及组件补丁,以免留下可乘之机;二是对于提供多个站点服务的,应针对每个网站新建一个网站匿名访问的用户,以便各个网站之间隔离;三是利用IIS假设站点的,不使用默认的Web站点,并且把IIS站点文件、操作系统文件和IIS站点日志文件存放位置规划在不同盘符上,删除IIS安装时默认的Inetpub目录,删除不必要的IIS扩展名映射。
对于网站制作者而言,就是尽量保证代码安全。针对目前网页挂马主要是利用SQL注入漏洞、%5c漏洞和上传漏洞等进行攻击的,基于此一是编写函数过滤危险字符(嵌套防注入函数),加密用户输入的数据以此防范SQL注入攻击;二是在数据库路径语句之后,添加“on Error Resume Next”语句,另外对基于Access数据库的网站,通过IIS设置拒绝对数据库的访问,在数据中新建一个表并创建一个OLE对象类型的字段,字段内容为非编程语句的内容,可以有效防范%5c漏洞攻击; 三是对网站后台管理页面进行身份认证,特别是上传组件页面;四是多级存放数据库文件,非常规命名重要文件夹和文件(如后台登录文件夹、数据库文件、数据库链接文件等)。此外,针对网页木马攻击有一种行之有效地防止木马代码发挥作用的方法,就是结合CSS的expression,堵住iframe或script外链恶意代码的执行,其中一种方案代码如下:
对于网站维护者而言,就是确保操作规范和信息安全。具体说,网站管理的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换;通过FTP来上传、维护网页,尽量不安装ASP的上传程序;定期检查网站安全状况。
2. 用户端安全措施
对于用户端的安全主要从以下几个方面加强木马防御:
(1)增强防范意识,确保上网行为规范。
对上网用户而言,就是要养成良好的上网习惯,尽量从大规模门户网站或官方网站浏览信息、下载资源,不随意登录不明网站及不规范网站。在浏览互联网时,对于使用的应用软件也要经常更新,以免产生可乘之机。
(2)安装杀毒及防木马软件。
上网用户机器,都要安装专业的防毒软件并及时升级到最新版本,并打开实时监控程序;安装带有“木马墙”功能的个人防火墙软件;安装实时监控网页木马的软件。建议安装反病毒“四剑客”即360安全卫士、卡巴斯基(Kaspersky)、AVG Anti-Spyware和天网防火墙。
(3)强化浏览器的安全。
目前互联网上常见的网页木马就是利用IE浏览器及其ActiveX控件的漏洞进行攻击的。鉴于此,一种方法是使用Firefox/Opera等非IE内核的第三方浏览器以便从源头上堵住网页木马的攻击,不过第三方浏览器在页面兼容性上稍逊IE浏览器;另一种方法针对使用IE浏览器或基于IE内核的浏览器的用户,应及时更新浏览器的补丁,调高浏览器的安全级别,限制脚本、ActiveX控件、插件等的运行,这可以避免很多的安全威胁;第三种方法就是使用一些具有防网页挂马功能的杀毒软件或者安全辅助工具,目前很多杀毒软件或者安全辅助工具都已提供了这一功能(如畅游巡警、McAfeeSiteAdvisor和趋势科技上网无忧电子眼等)。
随着技术的不断发展,网页木马病毒必定也会以更隐蔽、更智能化、破坏力更强的方式出现,但“魔高一尺,道高一丈”,相信只要我们齐心协力做好有关安全防护措施,就能把它给我们带来得危害降到最低。
(作者单位为聊城大学网络信息中心)