日前曾記麻糬、屈臣氏等知名網站之網頁出現掛馬問題,經媒體披露,部分網站表示將會著手改善,然而,仍有少數網站向本刊詢問,欲了解網頁遭掛馬的相關細節。
本刊亦曾於59期刊登「網站淪陷之深思與啟發」,當時引起眾家受害網站前來詢問。儘管類似事件層出不窮,但這些被掛馬的網站皆不曉得自家網頁已身受其害,更別提要如何防範與因應了;以下透過幾位駐站專家的介紹,讓您更深入了解網頁掛馬之嚴重性與防範之道。
事件日期:2008年12月
事件說明:
一.應當有的觀念
1.伺服器上雖沒重要資料,但卻可以成為駭客跳板,滲透更多內部主機。
2.了解災損範圍是極重要的一環。內部非公開的調查是必須的,因為可以查覺整體防禦架構上的漏洞,詳細了解災損,才能進一步做應變處理。
3.被公佈的記錄,小心有心人士前來挑戰你的網站。
4.免費滲透測試,找出問題源頭,將之解決。
5.移除入侵痕跡只移除了表相,不代表問題真正解決。
6.誰應當為網站安全負責?
a.擁有控管權力、有能力主導網站的人(但大多企業或組織都沒有這號人物)。
b.賦予控管權限的人:這個人當然是管理階層,如果沒有a.的人物,企業或組織的管理者當然要負全責。
二.被入侵的徵兆與解決方案
徵兆1.網站目錄下是否有多的莫名檔案
建議:一個乾淨無虞的原始網頁檔案,配合正確版本控制管理,當網站出現問題時,能輕易從網站目錄中,找出被竄改或植入的檔案,知道網站被入侵了。
徵兆2.網站主機上是否有多的莫名帳號
建議:檢視可疑帳號的登入記錄,判定是否為入侵的帳號;如果網站主機有開遠端管理服務,一旦被入侵,新增帳號就會是很常見的一個行為,對入侵者來說是多一條路可以進入系統。資料庫的部分是否有異常帳號,也是重要徵兆之一。
徵兆3.資料庫是否有奇怪字串或資料表(Table)
建議:目前最常見的,是在資料庫中植入惡意連結或入侵字眼,惡意連結部分較難查覺,因為它會隱藏在網頁中,甚至做些編碼混淆;所以,平常需要對被入侵網站的結果呈現,多加觀察,畢竟實際案例是非常好的教材。
徵兆4.Mass SQL Injection 攻擊
建議:針對被攻擊的網頁程式碼需要注意是否有漏洞,否則,資料庫可能被操弄。有很多網站被攻擊還不自知,植入的惡意網域可能都已經不生效了。
徵兆5.網站主機之防毒軟體是否有異常警訊
建議:不是看防毒軟體把惡意程式清除了,然後就裝沒事,要思考惡意程式打哪來,入侵管道才是要關心的重點。
徵兆6.定期使用線上掃描工具檢查網頁目錄是否有網頁木馬後門程式
建議:定期使用線上掃毒軟體,檢查是否有惡意程式存在,如果無法確認網頁目錄是否有可疑程式,這不失為亂槍打鳥的一種方式。
徵兆7.系統是否被植入未知的惡意程式
建議:這點對大多數的系統管理者來說是困難的,處理上也需要小心。前面提到的線上掃毒也是一種方式之一,但也可能破壞犯罪現場,務必慎用。最好,還是需要有專人協助的。