網(wǎng)站安全與維護(hù)

網(wǎng)站安全與維護(hù)現(xiàn)代教育技術(shù)中心吳飛杰2005.12.8目錄簡(jiǎn)單的入侵分析平時(shí)該做些什么？如何應(yīng)對(duì)網(wǎng)絡(luò)安全事件幾個(gè)小技巧一、簡(jiǎn)單的入侵分析首先還原一下可能的入侵思路：通過(guò)搜索引擎找到帶有特征字符的網(wǎng)站↓判斷CMS系統(tǒng)類型和版本↓測(cè)試漏洞是否存在↓利用漏洞攻擊↓留下后門(mén)↓清除入侵的痕跡1、技術(shù)層面的初步分析以動(dòng)力文章系統(tǒng)3.x為例，可能的入侵途徑主要有以下三種：注入：相關(guān)內(nèi)容前面已經(jīng)有專題講座，這里不再重復(fù)了，可以參考/3/SQL.ppt暴庫(kù)：即數(shù)據(jù)庫(kù)暴露，進(jìn)而被下載。簡(jiǎn)單的檢測(cè)方法就是訪問(wèn)http://???./inc/conn.asp,，如果出錯(cuò)信息中可以顯示出數(shù)據(jù)庫(kù)的路徑，就存在這個(gè)漏洞解決方法，把數(shù)據(jù)庫(kù)擴(kuò)展名改為asa。比如在上面這個(gè)例子中，數(shù)據(jù)庫(kù)應(yīng)改為adsfkldfogowerjnokfdslwejhdfsjhk.asa上傳：這是最近幾次攻擊被普遍利用的漏洞，已經(jīng)流行了將近兩年的攻擊方式。相關(guān)的安全公告請(qǐng)?jiān)L問(wèn)/Announce/ShowArticle.asp?ArticleID=39對(duì)于動(dòng)力系統(tǒng)，最好刪除Upfile_AdPic.asp，Upfile_Article.asp，Upfile_OrderPic.asp，Upfile_Photo.asp，Upfile_Soft.asp，Upfile_SoftPic.asp文件或者打補(bǔ)丁。補(bǔ)丁文件地址：/Files/Special/patch3x.rar2、心理層面的分析所有的入侵者，歸結(jié)起來(lái)無(wú)非這么幾種：無(wú)意識(shí)破壞有些人在現(xiàn)實(shí)生活中不得志，就幻想通過(guò)網(wǎng)絡(luò)使自己揚(yáng)名立萬(wàn)，篡改他人網(wǎng)站主頁(yè)，并打上自己的標(biāo)記（如昵稱，QQ號(hào)碼，網(wǎng)址等）。這些人的水平一般不高，因?yàn)槠淙肭值哪繕?biāo)是隨機(jī)的，只是通過(guò)搜索引擎找到特定的有公開(kāi)漏洞的系統(tǒng)，然后利用現(xiàn)成的工具進(jìn)行攻擊。這類入侵者防不勝防，不過(guò)只要平時(shí)安全意識(shí)稍微高一些，很容易阻止他們。善意提醒此類入侵者并不以破壞為目的，他們會(huì)通過(guò)和管理員聯(lián)系或者留下警告頁(yè)面來(lái)提醒管理員。這時(shí)切忌惱羞成怒，應(yīng)用虛心的態(tài)度向?qū)Ψ角蠼?，找出漏洞所在，積極進(jìn)行修補(bǔ)。說(shuō)不準(zhǔn)在這個(gè)過(guò)程中還能結(jié)識(shí)一些真正的高手，有助于提高網(wǎng)站的安全性。蓄意破壞這種攻擊最具破壞性，后果最嚴(yán)重。原因可能是不法分子有針對(duì)性的攻擊，也可能網(wǎng)站成員的個(gè)人問(wèn)題導(dǎo)致別人的報(bào)復(fù)。攻擊者有明確的目標(biāo)，其水平一般較高，一旦發(fā)生要特別注意應(yīng)對(duì)。兩個(gè)被入侵站點(diǎn)的截圖首頁(yè)被篡改的網(wǎng)站隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)站管理員的工作早已不僅僅局限于簡(jiǎn)單的添加信息。二、平時(shí)該做些什么？1、天天關(guān)注你負(fù)責(zé)的網(wǎng)站把你管理的網(wǎng)站設(shè)為瀏覽器的首頁(yè)，每天至少看三次你所管理的網(wǎng)站，殘酷地說(shuō)，管理員沒(méi)有節(jié)假日，因?yàn)楣?jié)假日恰恰是攻擊的高發(fā)時(shí)段。2、經(jīng)常關(guān)注程序提供商的官方網(wǎng)站或訂閱其相關(guān)公告的RSS負(fù)責(zé)任的開(kāi)發(fā)商都有一個(gè)正規(guī)的官方網(wǎng)站，及時(shí)地公布最新的漏洞和相應(yīng)的補(bǔ)丁，這也是選用網(wǎng)站系統(tǒng)的標(biāo)準(zhǔn)之一。以下是常用CMS產(chǎn)品的官方網(wǎng)址動(dòng)力（動(dòng)易）/風(fēng)迅/喬客/NB文章系統(tǒng)/default.asp動(dòng)網(wǎng)先鋒/青創(chuàng)文章系統(tǒng)/3、定期備份數(shù)據(jù)庫(kù)和供下載的文檔定期備份數(shù)據(jù)庫(kù)和上傳的文件，如果不是很經(jīng)常更新，訪問(wèn)量不大，大概每周備份一次，反之每天一次，不要怕麻煩，這個(gè)制度很有必要，特別是要經(jīng)常對(duì)外發(fā)布信息，提供資料下載的網(wǎng)站，更要做好這方面的工作。此處以現(xiàn)代教育技術(shù)中心網(wǎng)站為例，其他網(wǎng)站的目錄名稱可能有些不同4、經(jīng)常用FTP登陸，查看上傳目錄下的文件格式動(dòng)力系統(tǒng)的上傳目錄有：UploadAdpic，UploadFiles，UploadPhotos，UploadSoft，UploadSoftPic，UploadThumbs上傳目錄下不應(yīng)該有asp,cer,cdx,com,exe,bat之類的文件.一般情況下，允許上傳的文件格式有：圖片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文檔：DOC,XLS,PPT,MDB文本文件：TXT,RTF多媒體文件：MPG,MP3,MIDI,WMA,WMV,WAV,AVI,RM,RMVB,RAM,ASF壓縮文件：RAR,ZIP,ISO5、選用合適的CMS系統(tǒng)選用的代碼必須比較成熟，經(jīng)過(guò)一段時(shí)間檢驗(yàn)沒(méi)有重大問(wèn)題。代碼書(shū)寫(xiě)規(guī)范，可讀性高，方便二次開(kāi)發(fā)或者修改。盡量從官方網(wǎng)站下載，避免使用插件版，HACK版，修改版等，因?yàn)檫@些版本可能是由業(yè)余人士修改的，有些程序的安全性非常脆弱，前一段時(shí)間動(dòng)網(wǎng)論壇的插件漏洞頻出就說(shuō)明了這一點(diǎn)。經(jīng)常關(guān)注官方網(wǎng)站的補(bǔ)丁發(fā)布，及時(shí)修改。如果有必要，通讀一遍代碼，加深理解，尋找漏洞，至少做到了解每一個(gè)文件的具體作用。這里推薦一個(gè)帶漏洞搜索引擎的漏洞公布網(wǎng)址：/6、強(qiáng)壯的密碼管理的帳號(hào)密碼應(yīng)與管理員個(gè)人常用的不同，以防他人從別處得到網(wǎng)站的密碼。如果有多個(gè)管理員，要保證所有人的密碼都是“健壯的”，即不能像“123456”這樣容易猜測(cè)，必須是數(shù)字、字母和符號(hào)的組合。這點(diǎn)很重要，不然所有的安全措施都是徒勞！常見(jiàn)的弱口令有：“空口令”admin123456abc19821017asdfhello……三、如何應(yīng)對(duì)網(wǎng)絡(luò)安全事件？1、冷靜、冷靜再冷靜遇到突發(fā)的安全事件，首先保持應(yīng)該冷靜，理清頭緒，不管情況有多嚴(yán)重。2、用備份文件替換被篡改的文件，同時(shí)注意保存證據(jù)下載被黑的網(wǎng)站以保存相關(guān)證據(jù)。然后用平時(shí)備份的資料替代被篡改的數(shù)據(jù)，及時(shí)恢復(fù)網(wǎng)站功能，最大限度降低不良影響。3、暫時(shí)刪除網(wǎng)站的后臺(tái)暫時(shí)把管理后臺(tái)刪除，這是沒(méi)有辦法的辦法。在漏洞沒(méi)找出之前，網(wǎng)站是極不安全的，可能遭到二次破壞，造成更惡劣的影響。4、及時(shí)報(bào)告分管領(lǐng)導(dǎo)在初步處理完后，把損失情況報(bào)告分管領(lǐng)導(dǎo)5、分析入侵途徑可以向虛擬主機(jī)管理員索要事故發(fā)生前后幾天的IIS訪問(wèn)記錄，分析漏洞所在。6、修補(bǔ)漏洞，查找后門(mén)7、總結(jié)經(jīng)驗(yàn)教訓(xùn)吃一塹長(zhǎng)一智，沒(méi)有任何一個(gè)網(wǎng)站是永遠(yuǎn)安全的，我們不怕出錯(cuò)，只怕一錯(cuò)再錯(cuò)。四、幾個(gè)小技巧1、文件時(shí)間一致原則簡(jiǎn)單的說(shuō)就是保持大部分文件的上傳時(shí)間一致（數(shù)據(jù)庫(kù)之類頻繁讀寫(xiě)的文件除外）。具體做法是一次上傳所有文件，這里建議就算修改了一個(gè)文件也重新上傳一下所有網(wǎng)頁(yè)，這樣做主要是方便查找木馬。2、文件對(duì)比法這里介紹一個(gè)簡(jiǎn)單的文件對(duì)比工具BeyondCompare下載地址：08/softdown/SoftView.Asp?SoftID=85383、軟件測(cè)試法某些“傻瓜化的”黑客工具能提供一個(gè)初步的測(cè)試，比如Domain3.2下載地址：/Files/Special/Domain3.2.rar軟件的使用十分簡(jiǎn)單，比如上傳漏洞，只要填入上傳文件的地址就可以了這也從一個(gè)側(cè)面反映出入侵一個(gè)站點(diǎn)的技術(shù)門(mén)檻之低，只要會(huì)打字，會(huì)復(fù)制粘貼就行。SQL注入檢測(cè)軟件檢測(cè)結(jié)果僅供參考，并不能保證絕對(duì)沒(méi)有問(wèn)題4、網(wǎng)站改版后，如需保留舊版，要記得刪除舊版的后臺(tái)。如果改版，應(yīng)及時(shí)刪除舊版的后臺(tái)管理，特別是上傳模塊，測(cè)試版本盡量不上網(wǎng)，寧可等完善后再上傳，要知道現(xiàn)在搜索引擎的技術(shù)已十分成熟，別有用心的人很容易找到這些薄弱點(diǎn)進(jìn)行破壞。同時(shí)，注意清理放到網(wǎng)站上的文件，不要把包含敏感信息的文檔放到網(wǎng)站空間里。很多人以為在網(wǎng)頁(yè)上看不到的文檔就是安全的，其實(shí)不然。5、不要把數(shù)據(jù)庫(kù)擴(kuò)展名更名為asp！如果使用ACEESS數(shù)據(jù)庫(kù)，應(yīng)把數(shù)據(jù)庫(kù)放在比較怪異的文件夾下，并修改擴(kuò)展名為ASA，試驗(yàn)證明，擴(kuò)展名改成ASP是沒(méi)用的，還是可以下載，而且可能被暗藏ASP木馬在數(shù)據(jù)庫(kù)中。此外，不要使用數(shù)據(jù)庫(kù)備份、恢復(fù)功能。有證據(jù)表明這有可能使入侵者繞過(guò)上傳文件的限制。要備份，直接FTP下載就可以了。6、給用戶盡可能少的功能和權(quán)限功能越復(fù)雜，可能出現(xiàn)的漏洞越多，除非你對(duì)自己的技術(shù)很有信心，否則請(qǐng)謹(jǐn)慎向用戶開(kāi)放上傳等容易受到攻擊的功能。很典型的例子是在線投稿功能，其實(shí)只要公布一個(gè)Email地址就可以了，不需要制作專門(mén)的投稿模塊。對(duì)于動(dòng)力文章系統(tǒng)，建議刪除以下模塊：所有用戶模塊留言系統(tǒng)廣告系統(tǒng)數(shù)據(jù)庫(kù)備份/還原模塊7、出錯(cuò)信息越模糊越好這里的出錯(cuò)信息包括程序的錯(cuò)誤信息和對(duì)攻擊行為的提示信息。程序的錯(cuò)誤信息可能暴露數(shù)據(jù)庫(kù)的類型、位置，也可能為注入提供方便；對(duì)攻擊行為的提示信息太激烈則可能激怒對(duì)方，要知道，沒(méi)有做不到只有想不到，你自以為安全的站點(diǎn)別人總是有辦法進(jìn)入的，不管用什么手段。不痛不癢，莫名其妙的提示信息8、請(qǐng)學(xué)生兼職建設(shè)網(wǎng)站要注意什么？有些單位缺乏網(wǎng)站建設(shè)方面的人員，就聘請(qǐng)學(xué)生兼職，這種情況下，盡量不要讓學(xué)生一次做完就撒手不管了，最好能作為一個(gè)長(zhǎng)期的合作。任何網(wǎng)站都不是永遠(yuǎn)安全的，漏洞的發(fā)現(xiàn)需要時(shí)間的積累，所以網(wǎng)站也要不斷打補(bǔ)丁，這就和操作系統(tǒng)一樣。另外，長(zhǎng)期的合作能使學(xué)生產(chǎn)生責(zé)任感，也方便網(wǎng)站的交接工作。如果管理員對(duì)技術(shù)問(wèn)題不是很了解，可以在對(duì)兼職學(xué)生進(jìn)行說(shuō)明的時(shí)候，把這里羅列的幾個(gè)注意事項(xiàng)告訴他們。網(wǎng)站建成后，最好能請(qǐng)第三方進(jìn)行一次安全測(cè)試。9、訪問(wèn)網(wǎng)站時(shí)提示發(fā)現(xiàn)病毒怎么辦？遇到這種情況，十有八九是被入侵了，而且?guī)缀蹩梢钥隙ㄊ巧蟼髀┒幢焕?，入侵者在網(wǎng)頁(yè)中加入了病毒代碼，企圖讓網(wǎng)站訪問(wèn)者中毒。遇到這種情況，首先應(yīng)該馬上替換掉染毒頁(yè)面，然后按應(yīng)對(duì)安全事件的方法處理。一般來(lái)說(shuō)，利用網(wǎng)頁(yè)掛木馬，通常都是用iframe鏈接到另外一個(gè)網(wǎng)站的木馬文件，所以在檢查的時(shí)候，只要用記事本打開(kāi)染毒頁(yè)面，搜索關(guān)鍵字“IFRAME”即可。一段典型的病毒代碼：<html><iframesrc=“/muma.htm"width="0"height="0"frameborder="0"></iframe></html>10、使用動(dòng)網(wǎng)論壇系統(tǒng)要注意什么？按照規(guī)定，使用論壇等帶有交互式功能的系統(tǒng)需要嚴(yán)格的審批，不能擅自架設(shè)。如果是經(jīng)過(guò)批準(zhǔn)的，已經(jīng)在使用的動(dòng)網(wǎng)論壇系統(tǒng)，要注意以下問(wèn)題：1)用官方網(wǎng)站提供的最新正式版，不用插件版，hack版的動(dòng)網(wǎng)，因?yàn)椴寮帉?xiě)者很多都是不專業(yè)的，沒(méi)有考慮安全問(wèn)題2)關(guān)注官方論壇，打補(bǔ)丁，雖然很累，但是從負(fù)責(zé)任的角度看很有必要3)關(guān)閉頭像上傳功能，最好關(guān)閉所有上傳，連負(fù)責(zé)上傳的文件都刪掉4)如果是自己的主機(jī)，把上傳目錄，如UploadFile等的腳本執(zhí)行權(quán)限改為無(wú)5)記得刪除install.asp,key.asp文件6)后臺(tái)管理登陸密碼和前臺(tái)登陸不一樣7)去掉備份數(shù)據(jù)庫(kù)/還原數(shù)據(jù)庫(kù)功能，因?yàn)榇斯δ芸梢员籥sp木馬上傳者利用，比如上傳的木馬被自動(dòng)改為gif后可利用此功能再還原為asp8)關(guān)閉flash標(biāo)簽，設(shè)置論壇腳本過(guò)濾擴(kuò)展，iframe,object,script11、刪除管理系統(tǒng)的特征字符以動(dòng)力3.51為例，頁(yè)面下方的“Poweredby：MyPowerVer3.51”和管理登陸頁(yè)面的“后臺(tái)管理頁(yè)面需要屏幕分辨率為1024*768或以上才能達(dá)到最佳瀏覽效果！”就是入侵者判斷文章系統(tǒng)類型的依據(jù)之一。如果有可能，還可以把特征文件名改掉，如顯示文章的Article_Show.asp，可以在Dreamweaver里面，用全站替換的方法，改成Shownews.asp之類的名字，進(jìn)一步干擾入侵者的判斷。12、作為一個(gè)非計(jì)算機(jī)專業(yè)背景的網(wǎng)站管理員要掌握什么？1)熟悉操作系統(tǒng)，網(wǎng)絡(luò)瀏覽器，F(xiàn)TP客戶端的使用2)認(rèn)識(shí)常見(jiàn)的擴(kuò)展名靜態(tài)網(wǎng)頁(yè)：HTM，HTML動(dòng)態(tài)網(wǎng)頁(yè)：ASP，PHP，Jsp樣式表：CSSJavascript腳本：JS可執(zhí)行文件：EXE,COM批處理文件：BAT3)Dreamweaver的簡(jiǎn)單使用，包括建立站點(diǎn)，管理站點(diǎn)，簡(jiǎn)單頁(yè)面編輯等。4)利用搜索引擎查找信息的能力5)一本工作日志記載網(wǎng)站的基本信息：FTP密碼，管理后臺(tái)密碼，修改了哪些文件，什么時(shí)候被入侵過(guò)，發(fā)現(xiàn)什么漏洞，做了什么修補(bǔ)工作。相關(guān)下載：動(dòng)力3.62SP2修正版：/Files/Special/FPSP2.r