巧解掛馬難題

網(wǎng)站掛馬防范措施

在了解的網(wǎng)站的被掛馬的主要原因后，我們就可以針對這些問題制定相應(yīng)的防范措施來預(yù)防網(wǎng)站被掛馬，總結(jié)出來有如下這些需要注意的地方：

1. 針對網(wǎng)站服務(wù)器的管理

及時安裝補(bǔ)丁程序，需要打補(bǔ)丁不僅僅是系統(tǒng)本身，也包括所有對外提供服務(wù)的程序。

在條件允許的情況下做到專機(jī)專用，不要將其他諸如FTP服務(wù)、文件共享及打印服務(wù)都放置在Web服務(wù)器上。

關(guān)閉Web服務(wù)器上所有不必要的服務(wù)程序及端口（如數(shù)據(jù)庫的服務(wù)端口僅需對本地提供服務(wù)，就可以關(guān)閉遠(yuǎn)程的連接權(quán)限）來減少被攻擊的風(fēng)險。

網(wǎng)頁開發(fā)人員的機(jī)器上一定要安裝防病毒軟件、服務(wù)器的上也可以選擇安裝合適的防病毒軟件。

使用硬件虛擬機(jī)技術(shù)在一臺服務(wù)器上提供多個Web服務(wù)要比直接使用虛擬主機(jī)服務(wù)更安全。在只能提供虛擬主機(jī)服務(wù)的情況下，建議對各虛擬主機(jī)目錄和賬號做嚴(yán)格的權(quán)限限制，避免因?yàn)橐粋�網(wǎng)站的問題影響到服務(wù)器上所有的網(wǎng)站。

不要在Web服務(wù)器上做與服務(wù)無關(guān)的網(wǎng)絡(luò)操作，如上網(wǎng)瀏覽、收發(fā)電子郵件等。

定期對自己的Web服務(wù)器進(jìn)行安全掃描。您可以選擇使用免費(fèi)的（如nesses等）或收費(fèi)的本地安全掃描軟件，也可以選擇在線的安全掃描服務(wù)。

條件允許的情況下盡量為Web服務(wù)器配置專用的防火墻設(shè)備。

2. 針對網(wǎng)頁代碼的管理

管理員應(yīng)該明確自己網(wǎng)站的網(wǎng)頁代碼來源，是自主開發(fā)的還是使用了開源或是商業(yè)的網(wǎng)站構(gòu)建系統(tǒng)。如果是自主開發(fā)的則需要對所有的網(wǎng)頁代碼進(jìn)行審計。如果用的是開源或是商業(yè)的構(gòu)建系統(tǒng)，則需隨時關(guān)注起版本的更新情況，及時將自己的網(wǎng)站后臺版本更新到最新。

對于代碼審計，目前還沒有特別好用的自動檢測系統(tǒng)，多數(shù)時候還是需要人為的介入檢測，一些安全公司會提供這方面的有償服務(wù)。如果管理員自己對代碼進(jìn)行審計，應(yīng)該重點(diǎn)關(guān)注包含數(shù)據(jù)庫操作、文件讀寫以及用戶輸入等功能的網(wǎng)頁代碼，利用有效的正則表達(dá)式對用戶的輸入進(jìn)行嚴(yán)格的限制。如果沒有特別需要，使用靜態(tài)的頁面是不錯的選擇。

代碼對數(shù)據(jù)庫操作的賬號應(yīng)該遵循最小原則，如果僅需要查詢，應(yīng)該使用僅有查詢權(quán)限的賬號。

使用安全掃描軟件以及專用的SQL注入漏洞掃描軟件（如：Pangolin等）對網(wǎng)站進(jìn)行掃描能有效地定位出存在漏洞的頁面。

一些應(yīng)用層級的防火墻能夠有效阻擋大多數(shù)的SQL注入攻擊。在Web服務(wù)器上安裝的網(wǎng)頁防篡改系統(tǒng)也能降低網(wǎng)站被掛馬的風(fēng)險。

小技巧解決網(wǎng)站掛馬難題

當(dāng)用戶發(fā)現(xiàn)自己的網(wǎng)站被掛馬后，應(yīng)該先分析網(wǎng)站被掛馬的原因，然后再清除掛馬鏈接，并對服務(wù)器進(jìn)行加固。這個工作包括對服務(wù)器進(jìn)行全面的安全掃描、系統(tǒng)加固（甚至是重裝系統(tǒng)）以及對所有網(wǎng)頁代碼進(jìn)行審計并加固等操作，而不是簡單的把發(fā)現(xiàn)的掛馬鏈接清除掉，簡單的清除操作帶來的后果可能是再次被掛馬。下面給出的一些分析技巧可以幫助我們更快的找到問題的所在并有針對性的進(jìn)行處理：

到服務(wù)器上查看掛馬鏈接是被加在網(wǎng)頁源碼中還是數(shù)據(jù)庫中，如果僅僅是加在數(shù)據(jù)庫中，則表示攻擊者利用的很可能是SQL注入漏洞。

因?yàn)椴《緹o法自動判斷網(wǎng)頁代碼的結(jié)構(gòu)，所以它們所添加的掛馬鏈接往往是在頁面源碼的頂部或者是底部。并且病毒修改頁面代碼的時候是批量化的，它會向所有的頁面中都添加掛馬鏈接，而不是有選擇性的添加。

如果查看數(shù)據(jù)庫和網(wǎng)頁源碼中均沒有發(fā)現(xiàn)掛馬鏈接，可以試著在本地訪問服務(wù)器的80端口，看看所顯示的頁面源碼中是否有掛馬鏈接存在，如果有則可能是服務(wù)器上存在Web服務(wù)劫持問題（如IIS的iisstart.htm劫持），如果沒有則要去考慮局域網(wǎng)內(nèi)是否存在ARP劫持。

如果服務(wù)器上網(wǎng)頁源碼只有一部分或特定的幾個被有選擇性的插入了木馬鏈接，就說明攻擊者很可能已經(jīng)取得了服務(wù)器的管理權(quán)限，這種情況下需要對服務(wù)器進(jìn)行全面的檢查。

如果一個網(wǎng)頁源碼中存多處被插入的掛馬鏈接，很可能說明這臺服務(wù)器上存在多處漏洞。

網(wǎng)站掛馬的原因多種多樣，但是多數(shù)時候造成網(wǎng)站被掛馬的不僅僅是技術(shù)上問題，更多是管理上的缺失。如果大家都能夠加強(qiáng)對自己網(wǎng)站的管理與維護(hù)，相信掛馬的數(shù)量將會大大的減少。

如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]