文/李新 徐陽 李成友

支招防御網(wǎng)頁木馬

文/李新 徐陽 李成友

政府、中小企業(yè)、金融、門戶和電子商務(wù)網(wǎng)站成為黑客網(wǎng)頁掛馬的最愛五類網(wǎng)站，即“黑五類”。

根據(jù)某安全企業(yè)“云安全”數(shù)據(jù)中心最新統(tǒng)計數(shù)據(jù)表明，2009年上半年，其“云安全”系統(tǒng)攔截到的掛馬網(wǎng)頁數(shù)累計達2.9億個，共有11.2億人次網(wǎng)民遭木馬攻擊，平均每天有622萬余人次網(wǎng)民訪問掛馬網(wǎng)站；其中大型網(wǎng)站、流行軟件被掛馬的有35萬個（以域名計算），比去年同期有大幅度增長。由此可見，網(wǎng)絡(luò)掛馬問題之嚴重，網(wǎng)站及上網(wǎng)用戶受攻擊之多超乎想象。如何有效防御網(wǎng)頁掛馬，成為急需解決的問題之一。

網(wǎng)頁木馬：一為名，二為利

網(wǎng)頁木馬是木馬傳播的主要途徑之一，表面上偽裝成普通的網(wǎng)頁文件或是將惡意的代碼直接插入到正常的網(wǎng)頁文件中，當(dāng)有人訪問時，網(wǎng)頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬的服務(wù)端下載到訪問者的電腦上來自動執(zhí)行。

網(wǎng)頁木馬的主要特征：除了具有木馬的一般特征：隱蔽性、自動運行性、欺騙性、自動恢復(fù)功能和竊取性，還具有獨特的特征:廣泛的影響性、嚴重的危害性、短暫的周期性。

網(wǎng)頁掛馬的現(xiàn)象有：從網(wǎng)頁代碼角度，在代碼中新增了惡意腳本：或；從用戶角度，IE等瀏覽器的地址欄里會閃出一些陌生的網(wǎng)址，安裝有殺毒軟件或木馬防控軟件的操作系統(tǒng)訪問網(wǎng)頁時會有木馬病毒提示，沒有的訪問掛馬網(wǎng)頁可會使系統(tǒng)感染木馬，有一系列非正常的現(xiàn)象，諸如藍屏樣死機、沒有運行大的程序但系統(tǒng)的速度卻越來越慢、系統(tǒng)進程里有多個名字陌生且相同的程序在運行等。

網(wǎng)頁掛馬的主要目的一是為名，一是為利。具體說來就是盜取個人隱私信息（賬號和密碼），表露自身才能，制造大規(guī)模網(wǎng)絡(luò)安全事件等。

按照用戶交互程度分為主動攻擊和被動攻擊兩種。

主動攻擊式是指攻擊者通過各種欺騙，引誘等手段，誘使用戶訪問放置有網(wǎng)頁木馬的網(wǎng)站，如果用戶不小心訪問了該網(wǎng)站，就有可能感染木馬。這種攻擊主要存在于QQ、新浪UC和網(wǎng)易泡泡等即時通訊聊天軟件的對話框中。

被動式攻擊通常是攻擊者入侵互聯(lián)網(wǎng)上訪問量比較大的站點，并在其頁面中插入網(wǎng)頁的惡意代碼，一旦用戶瀏覽了被插入Web網(wǎng)頁木馬的頁面，計算機便會在后臺完成木馬軟件的下載，就這樣，木馬神不知鬼不覺的被種植在用戶的計算機中。一些攻擊者甚至入侵IDC機房的服務(wù)器，將ARP欺騙的惡意代碼廣為傳播。相比而言，被動攻擊比主動攻擊更隱蔽，而且更難發(fā)現(xiàn)，危害性更大，清除難度也更大。

網(wǎng)頁掛馬傾向于五類網(wǎng)站。黑客在選取掛馬網(wǎng)站時，為了獲取最大利益會考慮這樣兩個方面，一是網(wǎng)站受眾數(shù)量，二是網(wǎng)站受眾群，選取特定類型的網(wǎng)站如電子商務(wù)網(wǎng)站，金融網(wǎng)站等，這樣獲取的利益也會更大。因此，政府、中小企業(yè)、金融、門戶和電子商務(wù)網(wǎng)站成為黑客網(wǎng)頁掛馬的最愛五類網(wǎng)站，即“黑五類”。

通過向“第三方”網(wǎng)站間接掛馬。日前，微點反病毒專家發(fā)現(xiàn)一種更為新穎的網(wǎng)頁掛馬方法，通過向“第三方”網(wǎng)站間接掛馬，實現(xiàn)病毒傳播速度、數(shù)量倍速增長，對網(wǎng)民危害極大。黑客正是利用某知名統(tǒng)計網(wǎng)站進行掛馬，從而使得所有使用了該統(tǒng)計代碼的網(wǎng)站全部被間接掛馬。利用統(tǒng)計網(wǎng)站間接掛馬的方式，使得病毒的傳播范圍和感染數(shù)量呈幾何級數(shù)增長，對社會危害極大。

網(wǎng)頁中招：有主觀，有客觀

網(wǎng)頁掛馬的原因

可以大致歸類為服務(wù)器本身和網(wǎng)站本身兩方面的原因。

1.服務(wù)器本身的原因主要有操作系統(tǒng)存在漏洞、FTP帳號密碼泄密、操作系統(tǒng)管理配置不當(dāng)（如用戶密碼設(shè)置的過于簡單、網(wǎng)站文件夾添加了瀏覽權(quán)限、網(wǎng)站文件夾匿名訪問用戶權(quán)限過高等）、SQL數(shù)據(jù)庫注入漏洞等。

2.網(wǎng)站本身的原因主要有上傳漏洞（上傳頁面未作身份認證）、暴庫（%5c漏洞）、SQL注入漏洞、旁注、未加修改的免費網(wǎng)站管理系統(tǒng)等網(wǎng)民中馬的原因

可以大致歸類為主觀和客觀兩方面的原因。

1.主觀上上網(wǎng)用戶安全意識淡薄，疏于個人電腦的安全防范；還有部分上網(wǎng)用戶好奇心強，隨便點擊來路不明的中獎信息或小道消息鏈接。

2.客觀上的原因主要有國家對網(wǎng)站掛馬的犯罪行為懲處力度不夠，致使網(wǎng)站掛馬成風(fēng)；IE瀏覽器或基于IE內(nèi)核的瀏覽器層出不窮的漏洞；網(wǎng)站木馬多種多樣，變化多端等。

防御木馬：主動被動各有招數(shù)

針對主動攻擊的防御策略

針對主動攻擊動機比較明顯，容易察覺的特點，只要加強上網(wǎng)用戶的網(wǎng)絡(luò)安全防范意識教育，使其不隨便點擊來路不明或陌生人的信息鏈接地址，就可以在很大程度上破解了此類型的攻擊。另外，通過國家相關(guān)部門出臺相關(guān)法律、法規(guī)，加大對此類攻擊行為的查處和懲罰力度，這樣就可以在源頭上減少此類攻擊事件的發(fā)生。

針對被動攻擊的防御策略

針對被動攻擊主要從服務(wù)器端和用戶端采取安全措施，減小網(wǎng)頁掛馬帶來的危害。

1.服務(wù)器端安全措施

服務(wù)器端安全主要涉及的人員有網(wǎng)站制作者、網(wǎng)站維護者和服務(wù)器管理者。為了防范網(wǎng)頁掛馬危害，他們務(wù)必各盡其責(zé)，進行完備的防范。

對于服務(wù)器管理者而言，就是要恰當(dāng)設(shè)置網(wǎng)站服務(wù)器。在此，特別強調(diào)幾點：一是要經(jīng)常及時更新系統(tǒng)及組件補丁，以免留下可乘之機；二是對于提供多個站點服務(wù)的，應(yīng)針對每個網(wǎng)站新建一個網(wǎng)站匿名訪問的用戶，以便各個網(wǎng)站之間隔離；三是利用IIS假設(shè)站點的，不使用默認的Web站點，并且把IIS站點文件、操作系統(tǒng)文件和IIS站點日志文件存放位置規(guī)劃在不同盤符上，刪除IIS安裝時默認的Inetpub目錄，刪除不必要的IIS擴展名映射。

對于網(wǎng)站制作者而言，就是盡量保證代碼安全。針對目前網(wǎng)頁掛馬主要是利用SQL注入漏洞、%5c漏洞和上傳漏洞等進行攻擊的，基于此一是編寫函數(shù)過濾危險字符（嵌套防注入函數(shù)），加密用戶輸入的數(shù)據(jù)以此防范SQL注入攻擊；二是在數(shù)據(jù)庫路徑語句之后，添加“on Error Resume Next”語句，另外對基于Access數(shù)據(jù)庫的網(wǎng)站，通過IIS設(shè)置拒絕對數(shù)據(jù)庫的訪問，在數(shù)據(jù)中新建一個表并創(chuàng)建一個OLE對象類型的字段，字段內(nèi)容為非編程語句的內(nèi)容，可以有效防范%5c漏洞攻擊； 三是對網(wǎng)站后臺管理頁面進行身份認證，特別是上傳組件頁面；四是多級存放數(shù)據(jù)庫文件，非常規(guī)命名重要文件夾和文件（如后臺登錄文件夾、數(shù)據(jù)庫文件、數(shù)據(jù)庫鏈接文件等）。此外，針對網(wǎng)頁木馬攻擊有一種行之有效地防止木馬代碼發(fā)揮作用的方法，就是結(jié)合CSS的expression，堵住iframe或script外鏈惡意代碼的執(zhí)行，其中一種方案代碼如下：

對于網(wǎng)站維護者而言，就是確保操作規(guī)范和信息安全。具體說，網(wǎng)站管理的用戶名和密碼要有一定復(fù)雜性，不能過于簡單，還要注意定期更換；通過FTP來上傳、維護網(wǎng)頁，盡量不安裝ASP的上傳程序；定期檢查網(wǎng)站安全狀況。

2. 用戶端安全措施

對于用戶端的安全主要從以下幾個方面加強木馬防御：

（1）增強防范意識，確保上網(wǎng)行為規(guī)范。

對上網(wǎng)用戶而言，就是要養(yǎng)成良好的上網(wǎng)習(xí)慣，盡量從大規(guī)模門戶網(wǎng)站或官方網(wǎng)站瀏覽信息、下載資源，不隨意登錄不明網(wǎng)站及不規(guī)范網(wǎng)站。在瀏覽互聯(lián)網(wǎng)時，對于使用的應(yīng)用軟件也要經(jīng)常更新，以免產(chǎn)生可乘之機。

（2）安裝殺毒及防木馬軟件。

上網(wǎng)用戶機器，都要安裝專業(yè)的防毒軟件并及時升級到最新版本，并打開實時監(jiān)控程序；安裝帶有“木馬墻”功能的個人防火墻軟件；安裝實時監(jiān)控網(wǎng)頁木馬的軟件。建議安裝反病毒“四劍客”即360安全衛(wèi)士、卡巴斯基(Kaspersky)、AVG Anti-Spyware和天網(wǎng)防火墻。

（3）強化瀏覽器的安全。

目前互聯(lián)網(wǎng)上常見的網(wǎng)頁木馬就是利用IE瀏覽器及其ActiveX控件的漏洞進行攻擊的。鑒于此，一種方法是使用Firefox/Opera等非IE內(nèi)核的第三方瀏覽器以便從源頭上堵住網(wǎng)頁木馬的攻擊，不過第三方瀏覽器在頁面兼容性上稍遜IE瀏覽器；另一種方法針對使用IE瀏覽器或基于IE內(nèi)核的瀏覽器的用戶，應(yīng)及時更新瀏覽器的補丁，調(diào)高瀏覽器的安全級別，限制腳本、ActiveX控件、插件等的運行，這可以避免很多的安全威脅；第三種方法就是使用一些具有防網(wǎng)頁掛馬功能的殺毒軟件或者安全輔助工具，目前很多殺毒軟件或者安全輔助工具都已提供了這一功能（如暢游巡警、McAfeeSiteAdvisor和趨勢科技上網(wǎng)無憂電子眼等）。

隨著技術(shù)的不斷發(fā)展，網(wǎng)頁木馬病毒必定也會以更隱蔽、更智能化、破壞力更強的方式出現(xiàn)，但“魔高一尺，道高一丈”，相信只要我們齊心協(xié)力做好有關(guān)安全防護措施，就能把它給我們帶來得危害降到最低。

(作者單位為聊城大學(xué)網(wǎng)絡(luò)信息中心)