搜索
网站安全与维护现代教育技术中心吴飞杰2005.12.8目录简单的入侵分析平时该做些什么?如何应对网络安全事件几个小技巧一、简单的入侵分析首先还原一下可能的入侵思路:通过搜索引擎找到带有特征字符的网站↓判断CMS系统类型和版本↓测试漏洞是否存在↓利用漏洞攻击↓留下后门↓清除入侵的痕迹1、技术层面的初步分析以动力文章系统3.x为例,可能的入侵途径主要有以下三种:注入:相关内容前面已经有专题讲座,这里不再重复了,可以参考暴库:即数据库暴露,进而被下载。简单的检测方法就是访问http://???.xmu.edu.cn/inc/conn.asp,如果出错信息中可以显示出数据库的路径,就存在这个漏洞解决方法,把数据库扩展名改为asa。比如在上面这个例子中,数据库应改为adsfkldfogowerjnokfdslwejhdfsjhk.asa上传:这是最近几次攻击被普遍利用的漏洞,已经流行了将近两年的攻击方式。相关的安全公告请访问=39对于动力系统,最好删除Upfile_AdPic.asp,Upfile_Article.asp,Upfile_OrderPic.asp,Upfile_Photo.asp,Upfile_Soft.asp,Upfile_SoftPic.asp文件或者打补丁。补丁文件地址:、心理层面的分析所有的入侵者,归结起来无非这么几种:无意识破坏有些人在现实生活中不得志,就幻想通过网络使自己扬名立万,篡改他人网站主页,并打上自己的标记(如昵称,QQ号码,网址等)。这些人的水平一般不高,因为其入侵的目标是随机的,只是通过搜索引擎找到特定的有公开漏洞的系统,然后利用现成的工具进行攻击。这类入侵者防不胜防,不过只要平时安全意识稍微高一些,很容易阻止他们。善意提醒此类入侵者并不以破坏为目的,他们会通过和管理员联系或者留下警告页面来提醒管理员。这时切忌恼羞成怒,应用虚心的态度向对方求教,找出漏洞所在,积极进行修补。说不准在这个过程中还能结识一些真正的高手,有助于提高网站的安全性。蓄意破坏这种攻击最具破坏性,后果最严重。原因可能是不法分子有针对性的攻击,也可能网站成员的个人问题导致别人的报复。攻击者有明确的目标,其水平一般较高,一旦发生要特别注意应对。两个被入侵站点的截图首页被篡改的网站随着网络技术的发展,网站管理员的工作早已不仅仅局限于简单的添加信息。二、平时该做些什么?1、天天关注你负责的网站把你管理的网站设为浏览器的首页,每天至少看三次你所管理的网站,残酷地说,管理员没有节假日,因为节假日恰恰是攻击的高发时段。2、经常关注程序提供商的官方网站或订阅其相关公告的RSS负责任的开发商都有一个正规的官方网站,及时地公布最新的漏洞和相应的补丁,这也是选用网站系统的标准之一。以下是常用CMS产品的官方网址动力(动易)风迅乔客文章系统动网先锋青创文章系统、定期备份数据库和供下载的文档定期备份数据库和上传的文件,如果不是很经常更新,访问量不大,大概每周备份一次,反之每天一次,不要怕麻烦,这个制度很有必要,特别是要经常对外发布信息,提供资料下载的网站,更要做好这方面的工作。此处以现代教育技术中心网站为例,其他网站的目录名称可能有些不同4、经常用FTP登陆,查看上传目录下的文件格式动力系统的上传目录有:UploadAdpic,UploadFiles,UploadPhotos,UploadSoft,UploadSoftPic,UploadThumbs上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文件.一般情况下,允许上传的文件格式有:图片文件:JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文档:DOC,XLS,PPT,MDB文本文件:TXT,RTF多媒体文件:MPG,MP3,MIDI,WMA,WMV,WAV,AVI,RM,RMVB,RAM,ASF压缩文件:RAR,ZIP,ISO5、选用合适的CMS系统选用的代码必须比较成熟,经过一段时间检验没有重大问题。代码书写规范,可读性高,方便二次开发或者修改。尽量从官方网站下载,避免使用插件版,HACK版,修改版等,因为这些版本可能是由业余人士修改的,有些程序的安全性非常脆弱,前一段时间动网论坛的插件漏洞频出就说明了这一点。经常关注官方网站的补丁发布,及时修改。如果有必要,通读一遍代码,加深理解,寻找漏洞,至少做到了解每一个文件的具体作用。这里推荐一个带漏洞搜索引擎的漏洞公布网址:、强壮的密码管理的帐号密码应与管理员个人常用的不同,以防他人从别处得到网站的密码。如果有多个管理员,要保证所有人的密码都是“健壮的”,即不能像“123456”这样容易猜测,必须是数字、字母和符号的组合。这点很重要,不然所有的安全措施都是徒劳!常见的弱口令有:“空口令”admin123456abc19821017asdfhello……三、如何应对网络安全事件?1、冷静、冷静再冷静遇到突发的安全事件,首先保持应该冷静,理清头绪,不管情况有多严重。2、用备份文件替换被篡改的文件,同时注意保存证据下载被黑的网站以保存相关证据。然后用平时备份的资料替代被篡改的数据,及时恢复网站功能,最大限度降低不良影响。3、暂时删除网站的后台暂时把管理后台删除,这是没有办法的办法。在漏洞没找出之前,网站是极不安全的,可能遭到二次破坏,造成更恶劣的影响。4、及时报告分管领导在初步处理完后,把损失情况报告分管领导5、分析入侵途径可以向虚拟主机管理员索要事故发生前后几天的IIS访问记录,分析漏洞所在。6、修补漏洞,查找后门7、总结经验教训吃一堑长一智,没有任何一个网站是永远安全的,我们不怕出错,只怕一错再错。四、几个小技巧1、文件时间一致原则简单的说就是保持大部分文件的上传时间一致(数据库之类频繁读写的文件除外)。具体做法是一次上传所有文件,这里建议就算修改了一个文件也重新上传一下所有网页,这样做主要是方便查找木马。2、文件对比法这里介绍一个简单的文件对比工具BeyondCompare下载地址:=85383、软件测试法某些“傻瓜化的”黑客工具能提供一个初步的测试,比如Domain3.2下载地址:软件的使用十分简单,比如上传漏洞,只要填入上传文件的地址就可以了这也从一个侧面反映出入侵一个站点的技术门槛之低,只要会打字,会复制粘贴就行。SQL注入检测软件检测结果仅供参考,并不能保证绝对没有问题4、网站改版后,如需保留旧版,要记得删除旧版的后台。如果改版,应及时删除旧版的后台管理,特别是上传模块,测试版本尽量不上网,宁可等完善后再上传,要知道现在搜索引擎的技术已十分成熟,别有用心的人很容易找到这些薄弱点进行破坏。同时,注意清理放到网站上的文件,不要把包含敏感信息的文档放到网站空间里。很多人以为在网页上看不到的文档就是安全的,其实不然。5、不要把数据库扩展名更名为asp!如果使用ACEESS数据库,应把数据库放在比较怪异的文件夹下,并修改扩展名为ASA,试验证明,扩展名改成ASP是没用的,还是可以下载,而且可能被暗藏ASP木马在数据库中。此外,不要使用数据库备份、恢复功能。有证据表明这有可能使入侵者绕过上传文件的限制。要备份,直接FTP下载就可以了。6、给用户尽可能少的功能和权限功能越复杂,可能出现的漏洞越多,除非你对自己的技术很有信心,否则请谨慎向用户开放上传等容易受到攻击的功能。很典型的例子是在线投稿功能,其实只要公布一个Email地址就可以了,不需要制作专门的投稿模块。对于动力文章系统,建议删除以下模块:所有用户模块留言系统广告系统数据库备份/还原模块7、出错信息越模糊越好这里的出错信息包括程序的错误信息和对攻击行为的提示信息。程序的错误信息可能暴露数据库的类型、位置,也可能为注入提供方便;对攻击行为的提示信息太激烈则可能激怒对方,要知道,没有做不到只有想不到,你自以为安全的站点别人总是有办法进入的,不管用什么手段。不痛不痒,莫名其妙的提示信息8、请学生兼职建设网站要注意什么?有些单位缺乏网站建设方面的人员,就聘请学生兼职,这种情况下,尽量不要让学生一次做完就撒手不管了,最好能作为一个长期的合作。任何网站都不是永远安全的,漏洞的发现需要时间的积累,所以网站也要不断打补丁,这就和操作系统一样。另外,长期的合作能使学生产生责任感,也方便网站的交接工作。如果管理员对技术问题不是很了解,可以在对兼职学生进行说明的时候,把这里罗列的几个注意事项告诉他们。网站建成后,最好能请第三方进行一次安全测试。9、访问网站时提示发现病毒怎么办?遇到这种情况,十有八九是被入侵了,而且几乎可以肯定是上传漏洞被利用,入侵者在网页中加入了病毒代码,企图让网站访问者中毒。遇到这种情况,首先应该马上替换掉染毒页面,然后按应对安全事件的方法处理。一般来说,利用网页挂木马,通常都是用iframe链接到另外一个网站的木马文件,所以在检查的时候,只要用记事本打开染毒页面,搜索关键字“IFRAME”即可。一段典型的病毒代码:htmliframesrc=“=0height=0frameborder=0/iframe/html10、使用动网论坛系统要注意什么?按照规定,使用论坛等带有交互式功能的系统需要严格的审批,不能擅自架设。如果是经过批准的,已经在使用的动网论坛系统,要注意以下问题:1)用官方网站提供的最新正式版,不用插件版,hack版的动网,因为插件编写者很多都是不专业的,没有考虑安全问题2)关注官方论坛bbs.dvbbs.net,打补丁,虽然很累,但是从负责任的角度看很有必要3)关闭头像上传功能,最好关闭所有上传,连负责上传的文件都删掉4)如果是自己的主机,把上传目录,如UploadFile等的脚本执行权限改为无5)记得删除install.asp,key.asp文件6)后台管理登陆密码和前台登陆不一样7)去掉备份数据库/还原数据库功能,因为此功能可以被asp木马上传者利用,比如上传的木马被自动改为gif后可利用此功能再还原为asp8)关闭flash标签,设置论坛脚本过滤扩展,iframe,object,script11、删除管理系统的特征字符以动力3.51为例,页面下方的“Poweredby:MyPowerVer3.51”和管理登陆页面的“后台管理页面需要屏幕分辨率为1024*768或以上才能达到最佳浏览效果!”就是入侵者判断文章系统类型的依据之一。如果有可能,还可以把特征文件名改掉,如显示文章的Article_Show.asp,可以在Dreamweaver里面,用全站替换的方法,改成Shownews.asp之类的名字,进一步干扰入侵者的判断。12、作为一个非计算机专业背景的网站管理员要掌握什么?1)熟悉操作系统,网络浏览器,FTP客户端的使用2)认识常见的扩展名静态网页:HTM,HTML动态网页:ASP,PHP,Jsp样式表:CSSJavascript脚本:JS可执行文件:EXE,COM批处理文件:BAT3)Dreamweaver的简单使用,包括建立站点,管理