加载页面: 您的网站如何导致访客被恶意软件感染

开发人员谈论恶意网站

Jeff Orloff

发布于2013年2月22日

多年来，恶意软件一词一直用于描述任何类型的恶意程序，包括病毒，木马，蠕虫，软件，流氓软件和广告软件. 在计算机开发的早期，人们经常将恶意软件视为恶作剧，通过恶意行为或自夸的编程技能来骚扰用户. 基本上，被恶意程序感染的人越多，您在某些圈子中的声誉就越高. 恶意程序通常通过电子邮件附件，移动存储媒体共享或文件共享服务传递给目标受害者.

尽管这种类型的恶意软件确实给受害者带来了许多问题，但对于大多数攻击者而言却没有任何好处，因此它不会吸引太参与. 如今，恶意软件背后的力量已悄然转变为金钱利益. 这些攻击是由物质利益驱动的，因此恶意软件比以往更加猖ramp. 不仅更参与了恶意软件的创建和分发，而且攻击也变得越来越复杂. 电子罪犯已通过以下方式了解了如何利用恶意软件来牟取暴利:

为了将恶意软件传播给尽可能多的受害者，电子分子已将网站转变为主要分发来源之一.

人们已经学会了不要在电子邮件中下载附件，而且它们与流行的文件共享服务也相距甚远，因为其中许多文件已感染了恶意软件. 但是人们并没有停止浏览互联网. 根据《互联网世界统计》（部分提供了链接），2011年，活跃的互联网用户达到2,279,709,629，并且这个数字仍在增长.

由于攻击范围广泛，用户毫无戒心，因此该网站已成为感染用户恶意软件的最流行媒介也就不足为奇了. 实际上，恶意网站已变得非常流行，并且Google每天将大约6,000个网站列入黑名单，这些网站携带着对访客有害的恶意软件.

负责用恶意软件感染网站的攻击者以三种方式传播:

本文重点介绍如何防止您的站点成为此类攻击的受害者，因此这里仅讨论后两种方法.

在攻击者发现可以成功利用的漏洞之后，他需要确定如何将恶意软件传递给网站的访问者. 表1列出了一些常用方法.

方法说明

下载

欺骗用户下载恶意代码. 一种常见的策略是告诉访问者，他们需要更新多媒体软件以观看视频，或者诱骗受害者下载PDF或其他实际上包含恶意软件的文件.

横幅

欺骗用户点击出现在网站上的受感染广告以下载恶意文件.

偷渡式下载

使用此方法时，访问者只要访问网站就可以下载恶意软件，并且无需在网站上执行任何操作. 恶意软件可以隐藏在网站的不可见元素中，例如iframe或清晰的JavaScript代码；它甚至可以嵌入到多媒体文件中，例如图片，视频或Adobe Flash. 加载页面时，恶意软件将利用浏览器或插件的漏洞感染访问者的计算机.

为了解决基于服务器的漏洞问题，我观察了市场上两种最流行的Web服务器应用程序: Apache和Microsoft®Internet Information Services（IIS）. 这两个服务器支持所有网站的78.65％.

Apache和IIS（或任何其他Web服务器）具有恶意攻击者可以利用的漏洞. 如果攻击者可以入侵服务器软件或服务器本身，则可以上传恶意代码，甚至上传整个网页，以将恶意软件传递给网站访问者. 例如，允许此类攻击的漏洞来自两个来源.

在安装Web服务器软件时，人们通常使用默认配置，但是默认配置只会简化网站的发布，不能保证安全性. 另外，Web服务器的默认安装通常包含不必要的模块和服务. 这些不必要的内容使攻击者可以不受限制地访问您的网站文件.

每个操作系统，Web服务器软件和版本都有其自身的漏洞，可以通过简单的Web搜索来发现这些漏洞. 网站上线之前，应解决所有已知漏洞.

此来源包含用户身份验证和活动会话管理的所有方面. 根据开放式Web应用程序安全项目（OWASP）: “大量的帐户和会话管理漏洞可能导致用户或系统管理帐户受到威胁. 开发团队倾向于低估设计身份验证和会话管理体系结构的复杂性. 在各个方面提供适当的保护. ”

为了减轻此类漏洞带来的风险，负责管理Web服务器和站点的人员需要遵循密码策略能预防感染恶意代码的方法有，该策略要求对所有密码进行强度，存储和更改控制. 此外，还应对Web服务器的远程管理功能进行加密，甚至考虑完全关闭它，以确保用户凭据不会通过传输被盗.

如果该站点仍使用静态文本和图像，则分子将很难使用合法站点来传播恶意软件. 但是，当今大多数网站都是由，复杂代码和第三方应用程序组成的. 在进一步丰富用户体验的同时，它们还为网站带来了许多漏洞.

让我们以WordPress为例. 该博客编辑应用程序更改了网站的创建方式. 它使具有一点技术知识的任何用户都可以轻松创建具有丰富多媒体内容的交互式网站. WordPress非常受欢迎，有超过5000万个网站使用它. 但是，WordPress的易用性也是最近攻击的原因. 在这种情况下，运行该应用程序的大约30,000至100,000个网站会将受害者重定向到恶意网站.

具有流行插件的网站发现其页面被代码感染，从而导致访问者重定向到其他网站. 随后，网站将根据受害者计算机上运行的操作系统和应用程序，用恶意软件感染受害者计算机. 闪回木马已经感染了超过500,000台Mac计算机，是通过这种方法传播的恶意程序之一.

但是，此类示例不限于WordPress. Joomla！，Drupal，MediaWiki，Magento，Zen Cart和许多其他应用程序都有其自身的漏洞，从而允许恶意黑客将恶意软件上传到这些站点并将其分发给访问者.

对于使用Web应用程序的攻击者，他们要做的就是找到某种类型的漏洞. 不幸的是，对于网站所有者而言，存在许多已知的各种类型的漏洞，甚至无法一一列举. 但是有些漏洞可能是众所周知的:

还有许多其他漏洞.

幸运的是，如果您的站点存在一些可能被利用的漏洞，则可以使用Web应用程序渗透技术通过某种方法来解决它. 通过全面测试网站的已知漏洞，可以预先解决这些威胁，以避免使用这些漏洞将恶意软件分发给网站访问者的攻击. 为此，您可以使用各种开源或商业工具，也可以将服务外包给相关领域的公司.

尽管渗透测试有助于识别需要在网站代码中解决的问题，但是Web应用程序防火墙也可以帮助您在威胁威胁到您的网站之前阻止威胁. 通过确定已知的攻击方式，您可以在恶意黑客破坏您的网站之前将其阻止. 更高级的Web应用程序防火墙甚至可以识别非法流量，并提供针对未知零日攻击的保护.

只要已配置服务器，最佳实践就是仅安装必要的模块和应用程序. 到目前为止，此实践不仅是最佳实践，而且是最常见的实践.

为了限制Apache Web服务器中的漏洞，应采取一些其他基本措施. 在本文中，将使用与Ubuntu®Linux®相关的命令. 对于在其他操作系统或版本上运行的Apache，很容易找到执行每个任务所需的步骤.

默认情况下，Apache在发出Web请求时会显示其名称和版本号，告诉潜在的攻击者该网站实际在运行什么. 禁用标语会使潜在的攻击者更难发现是否还有其他漏洞. 为此，您可以导航到/etc/apache2/apache2.conf并禁用ServerSignature和ServerTokens条目.

另一个默认功能是在网站目录中打印文件列表. 此功能使攻击者可以映射您的服务器并识别潜在的易受攻击的文件. 为避免此类问题，您需要禁用自动索引模块. 只需打开终端并执行以下命令:

基于Web的分布式创作和版本控制（WebDAV）是一种HTTP文件访问协议，允许在网站上上载，下载和更改文件内容. 任何生产网站都应禁用WebDAV能预防感染恶意代码的方法有，以确保攻击者无法更改文件以上传恶意代码.

使用终端执行以下命令，通过删除它们来禁用dav，dav_fs和dav_lock文件:

HTTP TRACE请求可用于打印会话cookie，然后使用此信息劫持用户会话并发起XSS攻击. 您可以导航到/etc/apache2/apache2.conf文件，并确保将TraceEnable设置为TraceEnable off以禁用这种跟踪.

对于消费市场，WindowsServer®产品最吸引人的功能之一就是易于安装. 借助IIS，企业只需单击几下鼠标就可以设置Web服务器并将其投入运行. 开箱即用地安装服务器软件时，您需要执行一些配置任务: 但是IIS将为您完成这些任务.

为了解决Web服务器产品的安全性问题，Microsoft对IIS的配置和默认安装的内容进行了一些重大更改. 但是，您仍然可以采取一些措施，以更好地防御威胁.

红色代码和Nimda代码都是攻击Windows Server操作系统的蠕虫，并且都造成了极大的破坏. 如果主机操作系统本身没有重组的反恶意软件保护，则该网站将非常脆弱. 攻击者使用键盘记录器，木马和其他恶意软件，不仅可以轻松地入侵Web管理员的登录凭据，还可以在提供给网站访问者的文件中插入恶意代码.

在安装了反恶意软件程序之后，您应该及时更新程序，然后运行它，然后再上传任何网站文件. 如果发现任何异常，应立即更改所有密码.

在运行IIS的Web服务器限制之前，请确保更新操作系统软件和Web服务器软件，并安装Microsoft发布的最新更新. 这些更新通常包括修补程序，以解决Microsoft产品独有的漏洞.

网站对访问者造成损失后，必须立即采取纠正措施. 您应该首先使站点脱机并隔离它. 如果需要使站点正常运行以避免业务中断，则应使用经过验证的，无恶意软件的备份.

处理完状态后，接下来应清除受感染的文件. 某些感染仅需要删除几行代码，而更复杂的攻击则可能需要重写整个文件. 此时，应采取一切必要措施从网站中删除恶意软件.

在Google和其他搜索引擎找到传播恶意软件的网站之后，它将从搜索结果中删除该网站. 这可能会对业务造成灾难性的影响.

在删除所有恶意软件并修补所有漏洞之后，应将网站提交给搜索引擎进行审查. 如果搜索引擎确定不再存在对任何访问者有害的威胁，则可以将网站重新包含在搜索结果中，并且搜索引擎带来的访问流量可以照常恢复.

如果恶意软件感染违反了用户帐户信息，则应立即通知所有用户，以便他们应对由此引起的任何后果. 此外，组织还需要检查这种入侵是否违反任何法律或法规，并采取必要的措施来消除负面影响，以确保遵守法律和法规.

Dasient的一份报告指出，在2010年第四季度，发现约110万个网站包含某种类型的恶意软件. 其他研究表明，约有85％的恶意软件来自网络. 如果从一开始就引起所有这些问题的网站是一个恶意网站，则问题可能会简单得多. 不幸的是，许多计算机都被小型企业网站，教堂网站甚至著名的新闻网站感染.

Web开发人员负责保护网站免受攻击. 只需编写一些出色的代码即可完成任务的日子已经一去不复返了. 现在，开发人员必须确保其代码功能正常且安全.

本文中列出的技术无疑可以帮助尚不了解网站安全性的开发人员奠定知识基础，但是还有更多的知识需要探索. 威胁情况日新月异. 随着零日攻击的兴起以及针对电子分子的对策的发展，Web开发人员还需要适应这种情况并试图更好地保护其网站.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-264354-1.html