随着中国互联网的发展,安全问题越来越多,由于受到巨额经济利益的驱使,网站挂马尤为猖獗。2009年8月江苏警方破获了一起特大制售木马病毒案,涉案金额高达3000余万元。据统计,截止2009年9月我国网民数量已达到3.6亿,而另一方面的统计显示地下黑色产业链的规模也将达到100亿,其对企业用户带来的间接损失则无法估量。
黑客如何通过网站挂马赚钱
如何防范网站挂马攻击
网站挂马一般可以分为以下几个流程:
1. 制作黑页:针对客户端软件存在的漏洞,黑客构建的包含恶意代码的网页;
2. 网站挂马:利用SQL注入、XSS跨站脚本等攻击入侵合法网站并嵌入可跳转到黑页的链接;
3. 下载木马:客户端访问被挂马网站,并跳转到黑页,这是由于客户端软件存在漏洞会执行恶意代码自动下载木马软件。
上述流程涉及了三个主体:被挂马网站、黑页(也叫做挂马源)、有漏洞的客户端软件。要解决网站挂马问题,就要从这三方面入手。
消除被挂马网站
增强客户端的安全性
阻止客户端访问挂马网站、黑页
目前,中国已有280万注册网站,网站开发水平参差不齐,特别是Web2.0的广泛应用,增强交互水平的同时也大大增加了被挂马的可能性,据全球知名反恶意软件组织StopBadware的研究显示:全球的挂马站点52%来自中国。而要想从客户端解决问题也并非易事,企业中的大量终端安装了众多的应用软件,难以有效保证所有终端都是安全的。
因此,检测并阻止客户端访问挂马网站、黑页是最佳的解决方案。对企业用户来讲,在网关处进行统一防护非常重要。
联想网御恶意站点检测与阻断模块
联想网御公司在其全线网关产品中集成了恶意站点检测与阻断模块,该模块维护实时更新的恶意站点数据库。部署联想网御网关产品后,对内网用户访问的目标站点进行安全检查,当内网用户访问的站点是被恶意挂马的站点时,网关会阻断该访问,并向访问者的浏览器推送告警信息“阻断访问挂马网站”。
【联想网御恶意站点检测与阻断模块工作示意图】
联想网御恶意站点库包含可信站点和恶意站点两大类,恶意站点库又细分为挂马网站和挂马源两种类型,覆盖了中国已注册的400多万个网站。为保证可靠性,会实时对网络站点进行检查,并根据检查结果定期对全库进行更新。对于不在可信站点和恶意站点数据库的新网站,
网关则通过实时分析网页的行为动作来确定访问的安全性。当某网页试图执行程序、下载可执行文件等敏感操作时判别其为恶意网站并进行拦截,同时也会将这个网
页的URL加入到恶意站点数据库中。由于采用了基于行为动作的分析技术,使得攻击者无论是采用老的挂马代码,还是全新的基于IE、Office、
Flash、AdobeReader等流行软件漏洞的挂马代码,都可以进行有效拦截。此外,由于大量的恶意站点都使用了JavaScript脚本来书写攻击代码,联想网御恶意站点检测与阻断模块集成了JavaScript脚本检测技术来检测挂马网站。
联想网御UTM、IPS产品不仅可以阻止内部客户端访问外部挂马站点,还可以通过深度过滤功能,准确拦截SQL注入、XSS跨站脚本和针对系统漏洞的攻击,从而防止内部网站被挂马。
内外兼顾,联想网御网关产品可以有效保障企事业单位用户免受网站挂马的危害,为各种业务的正常运转提供强有力地防护。
==============================
积德虽无人见,行善自有天知。
==============================
若您喜欢,觉得有用,请分享给您的朋友!
本号承诺,绝不发送商业广告!
阿拉网络安全科普台,只为弥补大家缺乏的意识。
