生BB

　　太極計算機股份有限公司安全集團第三事業部副總經理王磊
　　網絡已經成為我們日常生活中必不可少的一個部分，加之現今移動設備的快速增長，互聯網已經成為年輕人另外一個重要的資源。然而在我們享受互聯網技術帶來的各種便利的時候，網絡安全問題也日益成社會焦點。我們在日常生活中訪問社交網絡應用、購物網站，銀行/電信/公共服務站點的時候，我們通常認為他們並不是會對我們產生危害的惡意網站，由此，我們認為這些網站對於我們相對安全，可以放心訪問，但有沒有考慮到這些網站可以信任嗎？
　　在網絡上Compromised Website 翻譯為“被妥協掉”或者“被入侵”的網站，當一個網站被妥協掉了，那麼意為著這個網站被入侵了。
　　為什麼網絡犯罪分子要去妥協(Compromise)一個網站，其目主要是利用這個網站在受眾中的信譽來實現自己的犯罪目的，同時利用被妥協網站的CPU、網絡帶寬、托管資源等。
　　一 遭入侵的網站的利用價值
　　目前大多數針網站安全的網絡安全工具通常依賴於已知含有惡意軟件，網絡釣魚或垃圾郵件產品的數據庫，其中也含有已知的可信任網站以及信譽機制以便對不明的網站進行評估。所以入侵一個已知的有著良好信譽的網站給網絡犯罪分子提供了一個平臺以準備相應的攻擊/侵害活動，而不會被安全軟件輕易封鎖。此外，黑客也得到免費托管主機和所有相關的資源，如帶寬和計算能力。由於這些原因，被妥協的網站對於犯罪分子傳播惡意軟件是非常有利用價值的，惡意人員通常努力找出系統漏洞，以導致數成百上千運行相同的軟件的網站可以同樣被妥協。以下對黑客利用被妥協網站進行惡意軟件傳播舉幾個例子。
　　一.1 經由被妥協網站重定向
　　在垃圾郵件的侵害中，被妥協網站被廣泛用來重定向用戶訪問。一旦網站遭到入侵，一個簡單的HTML文件被置於“主題”目錄下，並且該URL通過電子郵件發送給數以百萬計的用戶。HTML文件中包括簡單的重定向代碼和一個普通的消息。當用戶打開垃圾郵件，發現一個信譽良好網站的連接，用戶就有可能點擊郵件中的URL，而實際上卻由被妥協網站重定向到其他有目的的問題網站，從而達到網絡犯罪分子的目的。在這種情況下，該網站仍然正常運作，因此不會對網站所有者提出立即的警告信息以發現該網站正在協助在垃圾郵件廣告的分發。
　　一.2 利用圖片管理器漏洞
　　很多網站都使用了一個名為“phpThumb”腳本來管理他們網頁中的圖片。該腳本可以讓網頁設計者調整圖像大小，添加水印以及執行時其他圖片相關的動作。PhpThumb包含一個已知漏洞，它允許攻擊者在目標網站上運行他們所希望任何代碼。
　　在過去的攻擊行為中，黑客經常大量使用phpThumb漏洞進行攻擊，包括利用被妥協網站發送大量的垃圾郵件和網絡釣魚郵件。在垃圾郵件攻擊情況下，攻擊者在phpThumb目錄中安裝一個電子郵件發送程序。插入的代碼發送垃圾郵件/網絡釣魚郵件，該網站則繼續正常工作，但實際上該網站良好聲譽被濫用，並用來發送垃圾郵件和網絡釣魚郵件。
　　二 被入侵網站的研究
　　二.1 那種網站軟件是侵害目標
　　網站黑客是否針對特定網站建設軟件？，是否有某種內容管理系統(CMS)，比其他的更脆弱？經過相關調查揭示，WordPress最受黑客喜愛，原因可能在於WordPress是最常用的開源網站內容管理軟件，此外，WordPress有非常強大的插件資源，在許多情況下，這些插件中的安全漏洞是被妥協網站上的攻擊媒介。需要關註的是很多網站擁有者並不知道自己所使用的網站內容管理軟件，如何加強威脅管理更無從談起。
　　二.2 網站如何被侵害
　　惡意黑客一直在尋找新的缺陷，漏洞和社交工程技巧，讓他們入侵網站。從這方面考慮，大多數網站所有者不知道他們的網站遭到入侵併不奇怪，有數據表明63%的網站所有者不知道他們的網站遭到入侵。20%的網站擁有者未能及時更新網站軟件和插件，任由他們的網站受到攻擊。通過公共電腦或WiFi接入從圖書館的電腦或機場的休息室進行網站維護管理是不安全的，容易發生密碼失竊情況，而在共享服務器進行托管的網站也有面臨托管系統遭入侵而導致所有運行在其上的網站被妥協。
　　二.3 被入侵網站被用來做什麼
　　正如文章前面所述，被妥協網站提供了一個平臺，使得黑客可以從事一系列的非法活動，這些活動包括：
　　Ø 托管惡意軟件
　　這一方法可以利用複雜的腳本感染任何訪問網站的客戶端。此外，精心設計的電子郵件可以欺騙收件人下載被入侵網站上的惡意軟件。
　　Ø URL重定向
　　很多被妥協網站可能會進行一個簡單的重定向到一些最終的惡意網站，這隻需通過幾行隱藏在被妥協網站中的HTML代碼，迫使該網站作為一個前門到含有垃圾郵件的產品頁面或惡意軟件的達惡意網站。
　　Ø 托管網絡釣魚，垃圾郵件的網頁，色情網站
　　在被妥協網站中的嵌入一兩個靜態頁麵包含做廣告的垃圾郵件的產品，如藥品非法銷售商品等，以作為銀行，第三方支付，公共郵箱的釣魚頁面。
　　Ø 破壞
　　被妥協網站的目的可能是為了嘲弄某個網站所有者，或者表達政治觀點——通常被認為是 “黑客行動主義”，有的時候也有可能是競爭對手的破會行為。
　　Ø 其他的內容或行為
　　一些相當複雜形式的網站濫用也已經發生過。
　　一部分獲知網站被入侵的網站擁有者不知道他們的網站被用來做什麼，一部分網站擁有者道他們的網站被用來承載惡意軟件，重定向到惡意網址，惡意軟件傳播到其他合法網站等等。
　　二.4 如何察覺意識到網站被妥協
　　極少情況下，網站被破壞，網站遭到攻擊顯而易見。在大多數情況下，攻擊者需要的資源和網站的信譽來實現他們的目的，所以網站被入侵不會那麼明顯。那麼如何獲知網站被妥協，事實證明，在將近一半的的情況下，業主們通過瀏覽器，搜索引擎或其他試圖訪問自己的網站就可以獲得警示提醒。
　　另外，同事，朋友，網絡托管提供商，或者安全組也可以提醒網站出現的問題。值得註意的是，只有少數網站能夠通過增加的活動鏈接與異常行為來探查到問題。這反映了惡意人員希望被妥協網站儘量保持靜默不被髮現，被妥協行為隱藏的越久，利用被妥協的合法網站進行的破會就越大。不要等到網站被鎖定後才察覺問題所在。
　　二.5 如何重新獲得網站控制權
　　在確定網站已經被入侵後，可以求助專業安全服務來解決問題，此外從備份中恢復，重新安裝受感染的插件或手動刪除惡意文件和腳本，都可以恢復正常的網站系統。但重新獲得控制權的網站任然面臨被再次攻破的風險，關鍵的是要知道黑客利用系統中何種漏洞進行入侵，並通過不斷地更新補丁來降低風險。
　　三 阻止網站被入侵
　　很多網站的建設者似乎沒有考慮到自己的網站會被入侵，並且並不知道如何清理他們的網站並保持網站的安全。軟件的漏洞，被盜的密碼，病毒等通常的攻擊媒介，都是網站被妥些的途徑，可以通過以下基本技巧降低網站被入侵的風險：
　　Ø 保持軟件和所有插件更新。無論運行通用的網站內容管理軟件還是自己開發的軟件，確保軟件和所有第三方插件以及擴展部件保持更新。定期清理和刪除不再使用的插件或其他附加軟件。
　　Ø 使用高強度，多樣化的密碼。
　　Ø 定期掃描系統中是否存在惡意軟件。
　　Ø 在Web服務器中使用相應的文件權限
　　Ø 研究並選擇虛擬主機提供商，併進行安全優選。如果你覺得其提供的安全防護能力不足，可以考慮使用從虛擬主機提供商或第三方安全服務提供商獲得附加安全服務
　　四 結論
　　合法網站是網絡罪犯有價值的可利用資源，通過對這些網站的濫用會影響網站的擁有者以及更高的安全性的生態系統，造成網絡信任體系的崩潰。
　　一、網站黑客的受害者
　　首先，許多消費者和小型企業網站所有者缺乏對網站威脅的意識，以及在網站已經被入侵的情況下如何獲得幫助。通過瀏覽器和搜索引擎的警告可以提供一種方法使得該網站管理者瞭解他們的網站已經被黑客入侵，但這也表明瞭這類網站需要在主動探查黑客攻擊方面有所改進。
　　二、網站托管服務提供商
　　這些提供商比一般消費者和小型企業在網絡安全方面擁有更多的資源，在認知和整治方面需要發揮更大的作用，特別是租用虛擬主機服務的使用者需要從他們的供應商方面尋求援助解決安全問題。托管服務提供商需要加強自身系統及支撐生態系統的安全性，並通過自身防範，培訓，支持來保護他們的客戶。
　　針對托管網站平臺的多樣性，以及變化多樣的入侵的手段，面對雲計算、物聯網、大數據環境下不斷增長的網絡攻擊，政府與相關組織應該抓緊制定網絡犯罪相關的新標準、規範、法規，企業應在網絡安全方面投入更大的力量面對新形勢下的挑戰，研發違規發現工具，增加使用加密手段的應用，加強身份驗證手段。個人、網站、托管服務提供商、安全組織和其他各方必須共同創造創新解決方案，以打擊破壞網站的多樣化威脅。
（編輯：SN091）