太极计算机股份有限公司安全集团第三事业部副总经理王磊
网络已经成为我们日常生活中必不可少的一个部分,加之现今移动设备的快速增长,互联网已经成为年轻人另外一个重要的资源。然而在我们享受互联网技术带来的各种便利的时候,网络安全问题也日益成社会焦点。我们在日常生活中访问社交网络应用、购物网站,银行/电信/公共服务站点的时候,我们通常认为他们并不是会对我们产生危害的恶意网站,由此,我们认为这些网站对于我们相对安全,可以放心访问,但有没有考虑到这些网站可以信任吗?
在网络上Compromised Website 翻译为“被妥协掉”或者“被入侵”的网站,当一个网站被妥协掉了,那么意为着这个网站被入侵了。
为什么网络犯罪分子要去妥协(Compromise)一个网站,其目主要是利用这个网站在受众中的信誉来实现自己的犯罪目的,同时利用被妥协网站的CPU、网络带宽、托管资源等。
一 遭入侵的网站的利用价值
目前大多数针网站安全的网络安全工具通常依赖于已知含有恶意软件,网络钓鱼或垃圾邮件产品的数据库,其中也含有已知的可信任网站以及信誉机制以便对不明的网站进行评估。所以入侵一个已知的有着良好信誉的网站给网络犯罪分子提供了一个平台以准备相应的攻击/侵害活动,而不会被安全软件轻易封锁。此外,黑客也得到免费托管主机和所有相关的资源,如带宽和计算能力。由于这些原因,被妥协的网站对于犯罪分子传播恶意软件是非常有利用价值的,恶意人员通常努力找出系统漏洞,以导致数成百上千运行相同的软件的网站可以同样被妥协。以下对黑客利用被妥协网站进行恶意软件传播举几个例子。
1.1 经由被妥协网站重定向
在垃圾邮件的侵害中,被妥协网站被广泛用来重定向用户访问。一旦网站遭到入侵,一个简单的HTML文件被置于“主题”目录下,并且该URL通过电子邮件发送给数以百万计的用户。HTML文件中包括简单的重定向代码和一个普通的消息。当用户打开垃圾邮件,发现一个信誉良好网站的连接,用户就有可能点击邮件中的URL,而实际上却由被妥协网站重定向到其他有目的的问题网站,从而达到网络犯罪分子的目的。在这种情况下,该网站仍然正常运作,因此不会对网站所有者提出立即的警告信息以发现该网站正在协助在垃圾邮件广告的分发。
1.2 利用图片管理器漏洞
很多网站都使用了一个名为“phpThumb”脚本来管理他们网页中的图片。该脚本可以让网页设计者调整图像大小,添加水印以及执行时其他图片相关的动作。PhpThumb包含一个已知漏洞,它允许攻击者在目标网站上运行他们所希望任何代码。
在过去的攻击行为中,黑客经常大量使用phpThumb漏洞进行攻击,包括利用被妥协网站发送大量的垃圾邮件和网络钓鱼邮件。在垃圾邮件攻击情况下,攻击者在phpThumb目录中安装一个电子邮件发送程序。插入的代码发送垃圾邮件/网络钓鱼邮件,该网站则继续正常工作,但实际上该网站良好声誉被滥用,并用来发送垃圾邮件和网络钓鱼邮件。
二 被入侵网站的研究
2.1 哪种网站软件是侵害目标
网站黑客是否针对特定网站建设软件,是否有某种内容管理系统(CMS),比其他的更脆弱经过相关调查揭示,WordPress最受黑客喜爱,原因可能在于WordPress是最常用的开源网站内容管理软件,此外,WordPress有非常强大的插件资源,在许多情况下,这些插件中的安全漏洞是被妥协网站上的攻击媒介。需要关注的是很多网站拥有者并不知道自己所使用的网站内容管理软件,如何加强威胁管理更无从谈起。
2.2 网站如何被侵害
恶意黑客一直在寻找新的缺陷,漏洞和社交工程技巧,让他们入侵网站。从这方面考虑,大多数网站所有者不知道他们的网站遭到入侵并不奇怪,有数据表明63%的网站所有者不知道他们的网站遭到入侵。20%的网站拥有者未能及时更新网站软件和插件,任由他们的网站受到攻击。通过公共电脑或WiFi接入从图书馆的电脑或机场的休息室进行网站维护管理是不安全的,容易发生密码失窃情况,而在共享服务器进行托管的网站也有面临托管系统遭入侵而导致所有运行在其上的网站被妥协。
2.3 被入侵网站被用来做什么
正如文章前面所述,被妥协网站提供了一个平台,使得黑客可以从事一系列的非法活动,这些活动包括:
托管恶意软件
这一方法可以利用复杂的脚本感染任何访问网站的客户端。此外,精心设计的电子邮件可以欺骗收件人下载被入侵网站上的恶意软件。
URL重定向
很多被妥协网站可能会进行一个简单的重定向到一些最终的恶意网站,这只需通过几行隐藏在被妥协网站中的HTML代码,迫使该网站作为一个前门到含有垃圾邮件的产品页面或恶意软件的达恶意网站。
托管网络钓鱼,垃圾邮件的网页,色情网站
在被妥协网站中的嵌入一两个静态页面包含做广告的垃圾邮件的产品,如药品非法销售商品等,以作为银行,第三方支付,公共邮箱的钓鱼页面。
破坏
被妥协网站的目的可能是为了嘲弄某个网站所有者,或者表达政治观点–通常被认为是“黑客行动主义”,有的时候也有可能是竞争对手的破会行为。
其他的内容或行为
一些相当复杂形式的网站滥用也已经发生过。
一部分获知网站被入侵的网站拥有者不知道他们的网站被用来做什么,一部分网站拥有者道他们的网站被用来承载恶意软件,重定向到恶意网址,恶意软件传播到其他合法网站等等。
2.4 如何察觉意识到网站被妥协
极少情况下,网站被破坏,网站遭到攻击显而易见。在大多数情况下,攻击者需要的资源和网站的信誉来实现他们的目的,所以网站被入侵不会那么明显。那么如何获知网站被妥协,事实证明,在将近一半的的情况下,业主们通过浏览器,搜索引擎或其他试图访问自己的网站就可以获得警示提醒。
另外,同事,朋友,网络托管提供商,或者安全组也可以提醒网站出现的问题。值得注意的是,只有少数网站能够通过增加的活动链接与异常行为来探查到问题。这反映了恶意人员希望被妥协网站尽量保持静默不被发现,被妥协行为隐藏的越久,利用被妥协的合法网站进行的破会就越大。不要等到网站被锁定后才察觉问题所在。
2.5 如何重新获得网站控制权
在确定网站已经被入侵后,可以求助专业安全服务来解决问题,此外从备份中恢复,重新安装受感染的插件或手动删除恶意文件和脚本,都可以恢复正常的网站系统。但重新获得控制权的网站任然面临被再次攻破的风险,关键的是要知道黑客利用系统中何种漏洞进行入侵,并通过不断地更新补丁来降低风险。
三 阻止网站被入侵
很多网站的建设者似乎没有考虑到自己的网站会被入侵,并且并不知道如何清理他们的网站并保持网站的安全。软件的漏洞,被盗的密码,病毒等通常的攻击媒介,都是网站被妥些的途径,可以通过以下基本技巧降低网站被入侵的风险:
保持软件和所有插件更新。无论运行通用的网站内容管理软件还是自己开发的软件,确保软件和所有第三方插件以及扩展部件保持更新。定期清理和删除不再使用的插件或其他附加软件。
使用高强度,多样化的密码。
定期扫描系统中是否存在恶意软件。
在Web服务器中使用相应的文件权限
研究并选择虚拟主机提供商,并进行安全优选。如果你觉得其提供的安全防护能力不足,可以考虑使用从虚拟主机提供商或第三方安全服务提供商获得附加安全服务
四 结论
合法网站是网络罪犯有价值的可利用资源,通过对这些网站的滥用会影响网站的拥有者以及更高的安全性的生态系统,造成网络信任体系的崩溃。
一、网站黑客的受害者
首先,许多消费者和小型企业网站所有者缺乏对网站威胁的意识,以及在网站已经被入侵的情况下如何获得帮助。通过浏览器和搜索引擎的警告可以提供一种方法使得该网站管理者了解他们的网站已经被黑客入侵,但这也表明了这类网站需要在主动探查黑客攻击方面有所改进。
二、网站托管服务提供商
这些提供商比一般消费者和小型企业在网络安全方面拥有更多的资源,在认知和整治方面需要发挥更大的作用,特别是租用虚拟主机服务的使用者需要从他们的供应商方面寻求援助解决安全问题。托管服务提供商需要加强自身系统及支撑生态系统的安全性,并通过自身防范,培训,支持来保护他们的客户。
针对托管网站平台的多样性,以及变化多样的入侵的手段,面对云计算、物联网、大数据环境下不断增长的网络攻击,政府与相关组织应该抓紧制定网络犯罪相关的新标准、规范、法规,企业应在网络安全方面投入更大的力量面对新形势下的挑战,研发违规发现工具,增加使用加密手段的应用,加强身份验证手段。个人、网站、托管服务提供商、安全组织和其他各方必须共同创造创新解决方案,以打击破坏网站的多样化威胁。