網(wǎng)站安全與維護

網(wǎng)站安全與維護現(xiàn)代教育技術中心吳飛杰2005.12.8目錄簡單的入侵分析平時該做些什么？如何應對網(wǎng)絡安全事件幾個小技巧一、簡單的入侵分析首先還原一下可能的入侵思路：通過搜索引擎找到帶有特征字符的網(wǎng)站↓判斷CMS系統(tǒng)類型和版本↓測試漏洞是否存在↓利用漏洞攻擊↓留下后門↓清除入侵的痕跡1、技術層面的初步分析以動力文章系統(tǒng)3.x為例，可能的入侵途徑主要有以下三種：注入：相關內容前面已經(jīng)有專題講座，這里不再重復了，可以參考/3/SQL.ppt暴庫：即數(shù)據(jù)庫暴露，進而被下載。簡單的檢測方法就是訪問http://???./inc/conn.asp,，如果出錯信息中可以顯示出數(shù)據(jù)庫的路徑，就存在這個漏洞解決方法，把數(shù)據(jù)庫擴展名改為asa。比如在上面這個例子中，數(shù)據(jù)庫應改為adsfkldfogowerjnokfdslwejhdfsjhk.asa上傳：這是最近幾次攻擊被普遍利用的漏洞，已經(jīng)流行了將近兩年的攻擊方式。相關的安全公告請訪問/Announce/ShowArticle.asp?ArticleID=39對于動力系統(tǒng)，最好刪除Upfile_AdPic.asp，Upfile_Article.asp，Upfile_OrderPic.asp，Upfile_Photo.asp，Upfile_Soft.asp，Upfile_SoftPic.asp文件或者打補丁。補丁文件地址：/Files/Special/patch3x.rar2、心理層面的分析所有的入侵者，歸結起來無非這么幾種：無意識破壞有些人在現(xiàn)實生活中不得志，就幻想通過網(wǎng)絡使自己揚名立萬，篡改他人網(wǎng)站主頁，并打上自己的標記（如昵稱，QQ號碼，網(wǎng)址等）。這些人的水平一般不高，因為其入侵的目標是隨機的，只是通過搜索引擎找到特定的有公開漏洞的系統(tǒng)，然后利用現(xiàn)成的工具進行攻擊。這類入侵者防不勝防，不過只要平時安全意識稍微高一些，很容易阻止他們。善意提醒此類入侵者并不以破壞為目的，他們會通過和管理員聯(lián)系或者留下警告頁面來提醒管理員。這時切忌惱羞成怒，應用虛心的態(tài)度向對方求教，找出漏洞所在，積極進行修補。說不準在這個過程中還能結識一些真正的高手，有助于提高網(wǎng)站的安全性。蓄意破壞這種攻擊最具破壞性，后果最嚴重。原因可能是不法分子有針對性的攻擊，也可能網(wǎng)站成員的個人問題導致別人的報復。攻擊者有明確的目標，其水平一般較高，一旦發(fā)生要特別注意應對。兩個被入侵站點的截圖首頁被篡改的網(wǎng)站隨著網(wǎng)絡技術的發(fā)展，網(wǎng)站管理員的工作早已不僅僅局限于簡單的添加信息。二、平時該做些什么？1、天天關注你負責的網(wǎng)站把你管理的網(wǎng)站設為瀏覽器的首頁，每天至少看三次你所管理的網(wǎng)站，殘酷地說，管理員沒有節(jié)假日，因為節(jié)假日恰恰是攻擊的高發(fā)時段。2、經(jīng)常關注程序提供商的官方網(wǎng)站或訂閱其相關公告的RSS負責任的開發(fā)商都有一個正規(guī)的官方網(wǎng)站，及時地公布最新的漏洞和相應的補丁，這也是選用網(wǎng)站系統(tǒng)的標準之一。以下是常用CMS產品的官方網(wǎng)址動力（動易）/風迅/喬客/NB文章系統(tǒng)/default.asp動網(wǎng)先鋒/青創(chuàng)文章系統(tǒng)/3、定期備份數(shù)據(jù)庫和供下載的文檔定期備份數(shù)據(jù)庫和上傳的文件，如果不是很經(jīng)常更新，訪問量不大，大概每周備份一次，反之每天一次，不要怕麻煩，這個制度很有必要，特別是要經(jīng)常對外發(fā)布信息，提供資料下載的網(wǎng)站，更要做好這方面的工作。此處以現(xiàn)代教育技術中心網(wǎng)站為例，其他網(wǎng)站的目錄名稱可能有些不同4、經(jīng)常用FTP登陸，查看上傳目錄下的文件格式動力系統(tǒng)的上傳目錄有：UploadAdpic，UploadFiles，UploadPhotos，UploadSoft，UploadSoftPic，UploadThumbs上傳目錄下不應該有asp,cer,cdx,com,exe,bat之類的文件.一般情況下，允許上傳的文件格式有：圖片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文檔：DOC,XLS,PPT,MDB文本文件：TXT,RTF多媒體文件：MPG,MP3,MIDI,WMA,WMV,WAV,AVI,RM,RMVB,RAM,ASF壓縮文件：RAR,ZIP,ISO5、選用合適的CMS系統(tǒng)選用的代碼必須比較成熟，經(jīng)過一段時間檢驗沒有重大問題。代碼書寫規(guī)范，可讀性高，方便二次開發(fā)或者修改。盡量從官方網(wǎng)站下載，避免使用插件版，HACK版，修改版等，因為這些版本可能是由業(yè)余人士修改的，有些程序的安全性非常脆弱，前一段時間動網(wǎng)論壇的插件漏洞頻出就說明了這一點。經(jīng)常關注官方網(wǎng)站的補丁發(fā)布，及時修改。如果有必要，通讀一遍代碼，加深理解，尋找漏洞，至少做到了解每一個文件的具體作用。這里推薦一個帶漏洞搜索引擎的漏洞公布網(wǎng)址：/6、強壯的密碼管理的帳號密碼應與管理員個人常用的不同，以防他人從別處得到網(wǎng)站的密碼。如果有多個管理員，要保證所有人的密碼都是“健壯的”，即不能像“123456”這樣容易猜測，必須是數(shù)字、字母和符號的組合。這點很重要，不然所有的安全措施都是徒勞！常見的弱口令有：“空口令”admin123456abc19821017asdfhello……三、如何應對網(wǎng)絡安全事件？1、冷靜、冷靜再冷靜遇到突發(fā)的安全事件，首先保持應該冷靜，理清頭緒，不管情況有多嚴重。2、用備份文件替換被篡改的文件，同時注意保存證據(jù)下載被黑的網(wǎng)站以保存相關證據(jù)。然后用平時備份的資料替代被篡改的數(shù)據(jù)，及時恢復網(wǎng)站功能，最大限度降低不良影響。3、暫時刪除網(wǎng)站的后臺暫時把管理后臺刪除，這是沒有辦法的辦法。在漏洞沒找出之前，網(wǎng)站是極不安全的，可能遭到二次破壞，造成更惡劣的影響。4、及時報告分管領導在初步處理完后，把損失情況報告分管領導5、分析入侵途徑可以向虛擬主機管理員索要事故發(fā)生前后幾天的IIS訪問記錄，分析漏洞所在。6、修補漏洞，查找后門7、總結經(jīng)驗教訓吃一塹長一智，沒有任何一個網(wǎng)站是永遠安全的，我們不怕出錯，只怕一錯再錯。四、幾個小技巧1、文件時間一致原則簡單的說就是保持大部分文件的上傳時間一致（數(shù)據(jù)庫之類頻繁讀寫的文件除外）。具體做法是一次上傳所有文件，這里建議就算修改了一個文件也重新上傳一下所有網(wǎng)頁，這樣做主要是方便查找木馬。2、文件對比法這里介紹一個簡單的文件對比工具BeyondCompare下載地址：08/softdown/SoftView.Asp?SoftID=85383、軟件測試法某些“傻瓜化的”黑客工具能提供一個初步的測試，比如Domain3.2下載地址：/Files/Special/Domain3.2.rar軟件的使用十分簡單，比如上傳漏洞，只要填入上傳文件的地址就可以了這也從一個側面反映出入侵一個站點的技術門檻之低，只要會打字，會復制粘貼就行。SQL注入檢測軟件檢測結果僅供參考，并不能保證絕對沒有問題4、網(wǎng)站改版后，如需保留舊版，要記得刪除舊版的后臺。如果改版，應及時刪除舊版的后臺管理，特別是上傳模塊，測試版本盡量不上網(wǎng)，寧可等完善后再上傳，要知道現(xiàn)在搜索引擎的技術已十分成熟，別有用心的人很容易找到這些薄弱點進行破壞。同時，注意清理放到網(wǎng)站上的文件，不要把包含敏感信息的文檔放到網(wǎng)站空間里。很多人以為在網(wǎng)頁上看不到的文檔就是安全的，其實不然。5、不要把數(shù)據(jù)庫擴展名更名為asp！如果使用ACEESS數(shù)據(jù)庫，應把數(shù)據(jù)庫放在比較怪異的文件夾下，并修改擴展名為ASA，試驗證明，擴展名改成ASP是沒用的，還是可以下載，而且可能被暗藏ASP木馬在數(shù)據(jù)庫中。此外，不要使用數(shù)據(jù)庫備份、恢復功能。有證據(jù)表明這有可能使入侵者繞過上傳文件的限制。要備份，直接FTP下載就可以了。6、給用戶盡可能少的功能和權限功能越復雜，可能出現(xiàn)的漏洞越多，除非你對自己的技術很有信心，否則請謹慎向用戶開放上傳等容易受到攻擊的功能。很典型的例子是在線投稿功能，其實只要公布一個Email地址就可以了，不需要制作專門的投稿模塊。對于動力文章系統(tǒng)，建議刪除以下模塊：所有用戶模塊留言系統(tǒng)廣告系統(tǒng)數(shù)據(jù)庫備份/還原模塊7、出錯信息越模糊越好這里的出錯信息包括程序的錯誤信息和對攻擊行為的提示信息。程序的錯誤信息可能暴露數(shù)據(jù)庫的類型、位置，也可能為注入提供方便；對攻擊行為的提示信息太激烈則可能激怒對方，要知道，沒有做不到只有想不到，你自以為安全的站點別人總是有辦法進入的，不管用什么手段。不痛不癢，莫名其妙的提示信息8、請學生兼職建設網(wǎng)站要注意什么？有些單位缺乏網(wǎng)站建設方面的人員，就聘請學生兼職，這種情況下，盡量不要讓學生一次做完就撒手不管了，最好能作為一個長期的合作。任何網(wǎng)站都不是永遠安全的，漏洞的發(fā)現(xiàn)需要時間的積累，所以網(wǎng)站也要不斷打補丁，這就和操作系統(tǒng)一樣。另外，長期的合作能使學生產生責任感，也方便網(wǎng)站的交接工作。如果管理員對技術問題不是很了解，可以在對兼職學生進行說明的時候，把這里羅列的幾個注意事項告訴他們。網(wǎng)站建成后，最好能請第三方進行一次安全測試。9、訪問網(wǎng)站時提示發(fā)現(xiàn)病毒怎么辦？遇到這種情況，十有八九是被入侵了，而且?guī)缀蹩梢钥隙ㄊ巧蟼髀┒幢焕?，入侵者在網(wǎng)頁中加入了病毒代碼，企圖讓網(wǎng)站訪問者中毒。遇到這種情況，首先應該馬上替換掉染毒頁面，然后按應對安全事件的方法處理。一般來說，利用網(wǎng)頁掛木馬，通常都是用iframe鏈接到另外一個網(wǎng)站的木馬文件，所以在檢查的時候，只要用記事本打開染毒頁面，搜索關鍵字“IFRAME”即可。一段典型的病毒代碼：<html><iframesrc=“/muma.htm"width="0"height="0"frameborder="0"></iframe></html>10、使用動網(wǎng)論壇系統(tǒng)要注意什么？按照規(guī)定，使用論壇等帶有交互式功能的系統(tǒng)需要嚴格的審批，不能擅自架設。如果是經(jīng)過批準的，已經(jīng)在使用的動網(wǎng)論壇系統(tǒng)，要注意以下問題：1)用官方網(wǎng)站提供的最新正式版，不用插件版，hack版的動網(wǎng)，因為插件編寫者很多都是不專業(yè)的，沒有考慮安全問題2)關注官方論壇，打補丁，雖然很累，但是從負責任的角度看很有必要3)關閉頭像上傳功能，最好關閉所有上傳，連負責上傳的文件都刪掉4)如果是自己的主機，把上傳目錄，如UploadFile等的腳本執(zhí)行權限改為無5)記得刪除install.asp,key.asp文件6)后臺管理登陸密碼和前臺登陸不一樣7)去掉備份數(shù)據(jù)庫/還原數(shù)據(jù)庫功能，因為此功能可以被asp木馬上傳者利用，比如上傳的木馬被自動改為gif后可利用此功能再還原為asp8)關閉flash標簽，設置論壇腳本過濾擴展，iframe,object,script11、刪除管理系統(tǒng)的特征字符以動力3.51為例，頁面下方的“Poweredby：MyPowerVer3.51”和管理登陸頁面的“后臺管理頁面需要屏幕分辨率為1024*768或以上才能達到最佳瀏覽效果！”就是入侵者判斷文章系統(tǒng)類型的依據(jù)之一。如果有可能，還可以把特征文件名改掉，如顯示文章的Article_Show.asp，可以在Dreamweaver里面，用全站替換的方法，改成Shownews.asp之類的名字，進一步干擾入侵者的判斷。12、作為一個非計算機專業(yè)背景的網(wǎng)站管理員要掌握什么？1)熟悉操作系統(tǒng)，網(wǎng)絡瀏覽器，F(xiàn)TP客戶端的使用2)認識常見的擴展名靜態(tài)網(wǎng)頁：HTM，HTML動態(tài)網(wǎng)頁：ASP，PHP，Jsp樣式表：CSSJavascript腳本：JS可執(zhí)行文件：EXE,COM批處理文件：BAT3)Dreamweaver的簡單使用，包括建立站點，管理站點，簡單頁面編輯等。4)利用搜索引擎查找信息的能力5)一本工作日志記載網(wǎng)站的基本信息：FTP密碼，管理后臺密碼，修改了哪些文件，什么時候被入侵過，發(fā)現(xiàn)什么漏洞，做了什么修補工作。相關下載：動力3.62SP2修正版：/Files/Special/FPSP2.r