Total Pageviews

Thursday, 10 May 2012

网站安全分析以及被黑后的处理

来自国家互联网应急中心的统计,2009年8月1日至31日一个月时间内,大陆有3千多网站被篡改,其中大陆地区.gov.cn有299个。
        网站被入侵的原因
为什么这么多网站深受其害?网站安全问题原因何在?007安全小组总结以上种种形式,目前网站安全存在以下威胁:
    2.1服务器系统漏洞
    利用系统漏洞是网站遭受攻击的最常见攻击方式。网站是基于计算机网络的,而计算机运行又是少不了操作系统的。操作系统的漏洞会直接影响到网站的安全,一个小小的系统漏洞可能就是让系统瘫痪,比如常见的有缓冲区溢出漏洞、iis漏洞、以及第三方软件漏洞等。
    注意:虚拟机用户注意了,请选择稳定、安全的空间,这个尤为重要!
    2.2网站程序设计缺陷
    网站设计,往往只考虑业务功能和正常情况下的稳定,考虑满足用户应用,如何实现业务需求。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关 注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者 并不会察觉。
    网站源程序代码的安全也对整个网站的安全起到举足轻重的作用。若代码漏洞危害严重,攻击者通过相应的攻击很容易拿到系统的最高权限,那时整个网站也在其掌握之中,因此代码的安全性至关重要。目前由于代码编写的不严谨而引发的漏洞很多,最为流行de攻击方法如下:
        (1)注入漏洞攻击
    (2)上传漏洞攻击
    (3)CGI漏洞攻击
    (4)XSS攻击
    (5)构造入侵
    (6)社会工程学
    (7)管理疏忽
    2.3安全意识薄弱
    很多人都认为,部署防火墙、IDS、IPS、防毒墙等基于网络的安全产品后,通过SSL加密网络、服务器、网站都是安全的。实事上并不是如此,基于 应用层的攻击如SQL注入、跨站脚本、构造入侵这种特征不唯一的网站攻击,就是通过80端口进行的,并且攻击者是通过正常GET、POST等正常方式提 交,来达到攻击的效果,基于特征匹配技术防御攻击,不能精确阻断攻击,防火墙是无法拦截的。SSL加密后,只能说明网站发送和接受的信息都经过了加密处 理,但无法保障存储在网站里面的信息安全。同时还有管理人员的安全意识不足,默认配置不当,使用弱口令密码等。
    提示:防火墙等安全产品是拦截基于网络的攻击(如DDOS、端口扫描等),可以限制不必对外开放的端口,可以方便集中管理、分划网络拓扑。
    三、网站被黑如何处理
    如果网站不幸被攻击,不用着急,你可以按照007安全小组提示操作:
    3.1确认被攻击的范围
    网站被篡改,可能攻击都只有网站的权限就是常说的Webshell,也有可能攻击者通过Webshell提权,已经获取到服务器的权限,甚至已经渗透到内网。所以你通过日志等迹象来判断和确认攻击的范围。
    3.2备份日志
    备份日志(如IIS、apache、FTP、Windows/Linux/Unix等日志)。也许部份日志已经被黑客清除,可以通过日志恢复等方 法,尽量找到更多的日志。如果有大的损失,完全可以报警,这时候日志就发挥重要作用了,办案人员可以通过日志寻找入侵者的行踪。日志还有一个重要作用就是 或许可以找到黑客攻击该网站时使用的方法,并从中寻找漏洞所在。
    3.3清除后门程序
    一般黑客会为了长期巩固“成果”,会安装各种后门程序如asp、aspx、php、jsp、cgi、py等脚本木马。如果黑客已经获取到服务器权限,那么你就检查基于系统的后门如Rootkit、反弹远程控制木马,检查黑客是否替换程序、克隆管理员账号等。
    3.4修复漏洞
    仅仅清除后门是不够的,必须找到漏洞所在,这才是从根本上解决安全问题,这个过程难度是最高的,一般会涉及到开发,需要具有丰富经验的安全人员才能解决。
    3.5更改原来配置
    修复漏洞后,我们需要更改一些以前的配置文件,如网站后台密码、数据库连接密码、如果是ACCESS、ASA等格式数据库需要变更路径或者文件名,这样的目的就是防止黑客通过以前的记录信息,再次入侵,同时更改Administrator、Root等管理员密码。
    四、网站防黑建议
    4.1渗透性测试
    如果有条件可以聘请安全人员进行渗透性测试,或者聘请专业的安全人员维护。
    提示:渗透性测试是经过授权后,安全人员模拟黑客攻击,来寻找网络、服务器、网站的脆弱点和漏洞,并且给予相应的安全解决方案。
    4.2加强安全意识
    假若有层层的安全设备保护网站,并且网站源码通过专业的安全审计,如果网站后台密码或者FTP口令设置成123456,那么再好的防护也是没有用的。
    五、总结
    网站安全不容忽视,黑客可以通过网站一个小小的漏洞,控制网站权限,然后在Webshell中通过提权获取服务器权限,甚至可以以该服务器为跳板, 通过溢出、嗅探、暴力破解、社会工程学等手段控制整个内部网络,遍历网络资源。从而导致泄密、核心数据破坏等安全事件不断发生。