1、网站安全与维护,现代教育技术中心吴飞杰2005.12.8,目录,简单的入侵分析平时该做些什么?如何应对网络安全事件几个小技巧,一、简单的入侵分析,首先还原一下可能的入侵思路:,通过搜索引擎找到带有特征字符的网站判断CMS系统类型和版本测试漏洞是否存在利用漏洞攻击留下后门清除入侵的痕迹,1、技术层面的初步分析以动力文章系统3.x为例,可能的入侵途径主要有以下三种:注入:相关内容前面已经有专题讲座,这里不再重复了,可以参考 http:/ /inc/conn.asp,,如果出错信息中可以显示出数据库的路径,就存在这个漏洞解决方法,把数据库扩展名改为asa。比如在上面这个例子中,数据库应改为adsfk
2、ldfogowerjnokfdslwejhdfsjhk.asa,上传:这是最近几次攻击被普遍利用的漏洞,已经流行了将近两年的攻击方式。相关的安全公告请访问 http:/ http:/ 有些人在现实生活中不得志,就幻想通过网络使自己扬名立万,篡改他人网站主页,并打上自己的标记(如昵称,QQ号码,网址等)。这些人的水平一般不高,因为其入侵的目标是随机的,只是通过搜索引擎找到特定的有公开漏洞的系统,然后利用现成的工具进行攻击。这类入侵者防不胜防,不过只要平时安全意识稍微高一些,很容易阻止他们。善意提醒 此类入侵者并不以破坏为目的,他们会通过和管理员联系或者留下警告页面来提醒管理员。这时切忌恼羞成怒,
3、应用虚心的态度向对方求教,找出漏洞所在,积极进行修补。说不准在这个过程中还能结识一些真正的高手,有助于提高网站的安全性。蓄意破坏 这种攻击最具破坏性,后果最严重。原因可能是不法分子有针对性的攻击,也可能网站成员的个人问题导致别人的报复。攻击者有明确的目标,其水平一般较高,一旦发生要特别注意应对。,两个被入侵站点的截图,首页被篡改的网站,随着网络技术的发展,网站管理员的工作早已不仅仅局限于简单的添加信息。,二、平时该做些什么?,1、天天关注你负责的网站 把你管理的网站设为浏览器的首页,每天至少看三次你所管理的网站,残酷地说,管理员没有节假日,因为节假日恰恰是攻击的高发时段。2、 经常关注程序提供
4、商的官方网站或订阅其相关公告的RSS 负责任的开发商都有一个正规的官方网站,及时地公布最新的漏洞和相应的补丁,这也是选用网站系统的标准之一。以下是常用CMS产品的官方网址动力(动易) http:/ http:/ http:/ http:/ http:/ http:/ 选用的代码必须比较成熟,经过一段时间检验没有重大问题。代码书写规范,可读性高,方便二次开发或者修改。 尽量从官方网站下载,避免使用插件版,HACK版,修改版等,因为这些版本可能是由业余人士修改的,有些程序的安全性非常脆弱,前一段时间动网论坛的插件漏洞频出就说明了这一点。 经常关注官方网站的补丁发布,及时修改。 如果有必要,通读一遍
5、代码,加深理解,寻找漏洞,至少做到了解每一个文件的具体作用。这里推荐一个带漏洞搜索引擎的漏洞公布网址:http:/bct.org/,6、强壮的密码管理的帐号密码应与管理员个人常用的不同,以防他人从别处得到网站的密码。如果有多个管理员,要保证所有人的密码都是“健壮的”,即不能像“123456”这样容易猜测,必须是数字、字母和符号的组合。这点很重要,不然所有的安全措施都是徒劳!常见的弱口令有:“空口令” admin123456abc19821017asdfhello,三、如何应对网络安全事件?,1、冷静、冷静再冷静遇到突发的安全事件,首先保持应该冷静,理清头绪,不管情况有多严重。2、用备份文件替换
6、被篡改的文件,同时注意保存证据下载被黑的网站以保存相关证据。然后用平时备份的资料替代被篡改的数据,及时恢复网站功能,最大限度降低不良影响。3、暂时删除网站的后台暂时把管理后台删除,这是没有办法的办法。在漏洞没找出之前,网站是极不安全的,可能遭到二次破坏,造成更恶劣的影响。4、及时报告分管领导在初步处理完后,把损失情况报告分管领导,5、分析入侵途径可以向虚拟主机管理员索要事故发生前后几天的IIS访问记录,分析漏洞所在。6、修补漏洞,查找后门7、总结经验教训吃一堑长一智,没有任何一个网站是永远安全的,我们不怕出错,只怕一错再错。,四、几个小技巧,1、文件时间一致原则简单的说就是保持大部分文件的上传
7、时间一致(数据库之类频繁读写的文件除外)。具体做法是一次上传所有文件,这里建议就算修改了一个文件也重新上传一下所有网页,这样做主要是方便查找木马。,2、文件对比法这里介绍一个简单的文件对比工具Beyond Compare下载地址:http:/210.34.212.108/softdown/SoftView.Asp?SoftID=8538,3、软件测试法某些“傻瓜化的”黑客工具能提供一个初步的测试,比如Domain3.2下载地址:http:/ 所有用户模块 留言系统 广告系统 数据库备份/还原模块,7、出错信息越模糊越好这里的出错信息包括程序的错误信息和对攻击行为的提示信息。程序的错误信息可能暴
8、露数据库的类型、位置,也可能为注入提供方便;对攻击行为的提示信息太激烈则可能激怒对方,要知道,没有做不到只有想不到,你自以为安全的站点别人总是有办法进入的,不管用什么手段。,不痛不痒,莫名其妙的提示信息,8、请学生兼职建设网站要注意什么? 有些单位缺乏网站建设方面的人员,就聘请学生兼职,这种情况下,尽量不要让学生一次做完就撒手不管了,最好能作为一个长期的合作。任何网站都不是永远安全的,漏洞的发现需要时间的积累,所以网站也要不断打补丁,这就和操作系统一样。另外,长期的合作能使学生产生责任感,也方便网站的交接工作。 如果管理员对技术问题不是很了解,可以在对兼职学生进行说明的时候,把这里罗列的几个注
9、意事项告诉他们。网站建成后,最好能请第三方进行一次安全测试。,9、访问网站时提示发现病毒怎么办?遇到这种情况,十有八九是被入侵了,而且几乎可以肯定是上传漏洞被利用,入侵者在网页中加入了病毒代码,企图让网站访问者中毒。遇到这种情况,首先应该马上替换掉染毒页面,然后按应对安全事件的方法处理。一般来说,利用网页挂木马,通常都是用iframe链接到另外一个网站的木马文件,所以在检查的时候,只要用记事本打开染毒页面,搜索关键字“IFRAME”即可。一段典型的病毒代码:,10、使用动网论坛系统要注意什么?按照规定,使用论坛等带有交互式功能的系统需要严格的审批,不能擅自架设。如果是经过批准的,已经在使用的动
10、网论坛系统,要注意以下问题:1)用官方网站提供的最新正式版,不用插件版,hack版的动网,因为插件编写者很多都是不专业的,没有考虑安全问题2)关注官方论坛,打补丁,虽然很累,但是从负责任的角度看很有必要3)关闭头像上传功能,最好关闭所有上传,连负责上传的文件都删掉4)如果是自己的主机,把上传目录,如UploadFile等的脚本执行权限改为无5)记得删除install.asp,key.asp文件6)后台管理登陆密码和前台登陆不一样7)去掉备份数据库/还原数据库功能,因为此功能可以被asp木马上传者利用,比如上传的木马被自动改为gif后可利用此功能再还原为asp8)关闭flash标签,设置论坛脚本
11、过滤扩展,iframe,object,script,11、删除管理系统的特征字符以动力3.51为例,页面下方的“Powered by:MyPower Ver3.51”和管理登陆页面的“后台管理页面需要屏幕分辨率为 1024*768 或以上才能达到最佳浏览效果!”就是入侵者判断文章系统类型的依据之一。如果有可能,还可以把特征文件名改掉,如显示文章的Article_Show.asp,可以在Dreamweaver里面,用全站替换的方法,改成Shownews.asp之类的名字,进一步干扰入侵者的判断。,12、作为一个非计算机专业背景的网站管理员要掌握什么?1) 熟悉操作系统,网络浏览器,FTP客户端的
12、使用2) 认识常见的扩展名静态网页:HTM,HTML动态网页:ASP,PHP,Jsp样式表:CSSJavascript脚本:JS可执行文件:EXE,COM批处理文件:BAT3)Dreamweaver的简单使用,包括建立站点,管理站点,简单页面编辑等。4)利用搜索引擎查找信息的能力5)一本工作日志记载网站的基本信息:FTP密码,管理后台密码,修改了哪些文件,什么时候被入侵过,发现什么漏洞,做了什么修补工作。,相关下载:动力3.62 SP2修正版 :http:/ :http:/ Compare v2.03 http:/210.34.212.108/softdown/SoftView.Asp?SoftID=8538Beyond Compare的使用演示: http:/ Compare.exe,谢 谢 大 家,
