网站安全与维护精编版

网站安全与维护,现代教育技术中心 吴飞杰 2005.12.8,目录,简单的入侵分析 平时该做些什么？ 如何应对网络安全事件 几个小技巧,一、简单的入侵分析,首先还原一下可能的入侵思路：,通过搜索引擎找到带有特征字符的网站 判断CMS系统类型和版本 测试漏洞是否存在 利用漏洞攻击 留下后门 清除入侵的痕迹,1、技术层面的初步分析 以动力文章系统3.x为例，可能的入侵途径主要有以下三种： 注入：相关内容前面已经有专题讲座，这里不再重复了，可以参考 暴库：即数据库暴露，进而被下载。简单的检测方法就是访问http:/? /inc/conn.asp，如果出错信息中可以显示出数据库的路径，就存在这个漏洞 解决方法，把数据库扩展名改为asa。比如在上面这个例子中，数据库应改为adsfkldfogowerjnokfdslwejhdfsjhk.asa,上传：这是最近几次攻击被普遍利用的漏洞，已经流行了将近两年的攻击方式。相关的安全公告请访问 对于动力系统，最好删除Upfile_AdPic.asp，Upfile_Article.asp，Upfile_OrderPic.asp，Upfile_Photo.asp，Upfile_Soft.asp，Upfile_SoftPic.asp文件或者打补丁。 补丁文件地址： ,2、心理层面的分析 所有的入侵者，归结起来无非这么几种： 无意识破坏 有些人在现实生活中不得志，就幻想通过网络使自己扬名立万，篡改他人网站主页，并打上自己的标记（如昵称，QQ号码，网址等）。这些人的水平一般不高，因为其入侵的目标是随机的，只是通过搜索引擎找到特定的有公开漏洞的系统，然后利用现成的工具进行攻击。这类入侵者防不胜防，不过只要平时安全意识稍微高一些，很容易阻止他们。 善意提醒 此类入侵者并不以破坏为目的，他们会通过和管理员联系或者留下警告页面来提醒管理员。这时切忌恼羞成怒，应用虚心的态度向对方求教，找出漏洞所在，积极进行修补。说不准在这个过程中还能结识一些真正的高手，有助于提高网站的安全性。 蓄意破坏 这种攻击最具破坏性，后果最严重。原因可能是不法分子有针对性的攻击，也可能网站成员的个人问题导致别人的报复。攻击者有明确的目标，其水平一般较高，一旦发生要特别注意应对。,两个被入侵站点的截图,首页被篡改的网站,随着网络技术的发展，网站管理员的工作早已不仅仅局限于简单的添加信息。,二、平时该做些什么？,1、天天关注你负责的网站 把你管理的网站设为浏览器的首页，每天至少看三次你所管理的网站，残酷地说，管理员没有节假日，因为节假日恰恰是攻击的高发时段。 2、 经常关注程序提供商的官方网站或订阅其相关公告的RSS 负责任的开发商都有一个正规的官方网站，及时地公布最新的漏洞和相应的补丁，这也是选用网站系统的标准之一。 以下是常用CMS产品的官方网址 动力（动易） 风迅 乔客 NB文章系统 动网先锋 青创文章系统 ,3、定期备份数据库和供下载的文档 定期备份数据库和上传的文件，如果不是很经常更新，访问量不大，大概每周备份一次，反之每天一次，不要怕麻烦，这个制度很有必要，特别是要经常对外发布信息，提供资料下载的网站，更要做好这方面的工作。,此处以现代教育技术中心网站为例，其他网站的目录名称可能有些不同,4、经常用FTP登陆，查看上传目录下的文件格式 动力系统的上传目录有： UploadAdpic，UploadFiles，UploadPhotos，UploadSoft，UploadSoftPic，UploadThumbs 上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文件. 一般情况下，允许上传的文件格式有： 图片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCX OFFICE文档：DOC,XLS,PPT,MDB 文本文件：TXT,RTF 多媒体文件：MPG,MP3,MIDI,WMA,WMV,WAV,AVI,RM,RMVB,RAM,ASF 压缩文件：RAR,ZIP,ISO,5、选用合适的CMS系统 选用的代码必须比较成熟，经过一段时间检验没有重大问题。代码书写规范，可读性高，方便二次开发或者修改。 尽量从官方网站下载，避免使用插件版，HACK版，修改版等，因为这些版本可能是由业余人士修改的，有些程序的安全性非常脆弱，前一段时间动网论坛的插件漏洞频出就说明了这一点。 经常关注官方网站的补丁发布，及时修改。 如果有必要，通读一遍代码，加深理解，寻找漏洞，至少做到了解每一个文件的具体作用。 这里推荐一个带漏洞搜索引擎的漏洞公布网址： bct.org/,6、强壮的密码 管理的帐号密码应与管理员个人常用的不同，以防他人从别处得到网站的密码。如果有多个管理员，要保证所有人的密码都是“健壮的”，即不能像“123456”这样容易猜测，必须是数字、字母和符号的组合。这点很重要，不然所有的安全措施都是徒劳！ 常见的弱口令有： “空口令” admin 123456 abc 19821017 asdf hello ,三、如何应对网络安全事件？,1、冷静、冷静再冷静 遇到突发的安全事件，首先保持应该冷静，理清头绪，不管情况有多严重。 2、用备份文件替换被篡改的文件，同时注意保存证据 下载被黑的网站以保存相关证据。然后用平时备份的资料替代被篡改的数据，及时恢复网站功能，最大限度降低不良影响。 3、暂时删除网站的后台 暂时把管理后台删除，这是没有办法的办法。在漏洞没找出之前，网站是极不安全的，可能遭到二次破坏，造成更恶劣的影响。 4、及时报告分管领导 在初步处理完后，把损失情况报告分管领导,5、分析入侵途径 可以向虚拟主机管理员索要事故发生前后几天的IIS访问记录，分析漏洞所在。 6、修补漏洞，查找后门 7、总结经验教训 吃一堑长一智，没有任何一个网站是永远安全的，我们不怕出错，只怕一错再错。,四、几个小技巧,1、文件时间一致原则 简单的说就是保持大部分文件的上传时间一致（数据库之类频繁读写的文件除外）。具体做法是一次上传所有文件，这里建议就算修改了一个文件也重新上传一下所有网页，这样做主要是方便查找木马。,2、文件对比法 这里介绍一个简单的文件对比工具Beyond Compare 下载地址：http:/210.34.212.108/softdown/SoftView.Asp?SoftID=8538,3、软件测试法 某些“傻瓜化的”黑客工具能提供一个初步的测试，比如Domain3.2 下载地址： 软件的使用十分简单，比如上传漏洞，只要填入上传文件的地址就可以了 这也从一个侧面反映出入侵一个站点的技术门槛之低，只要会打字，会复制粘贴就行。,SQL注入检测,软件检测结果仅供参考，并不能保证绝对没有问题,4、网站改版后，如需保留旧版，要记得删除旧版的后台。 如果改版，应及时删除旧版的后台管理，特别是上传模块，测试版本尽量不上网，宁可等完善后再上传，要知道现在搜索引擎的技术已十分成熟，别有用心的人很容易找到这些薄弱点进行破坏。 同时，注意清理放到网站上的文件，不要把包含敏感信息的文档放到网站空间里。很多人以为在网页上看不到的文档就是安全的，其实不然。,5、不要把数据库扩展名更名为asp！ 如果使用ACEESS数据库，应把数据库放在比较怪异的文件夹下，并修改扩展名为ASA，试验证明，扩展名改成ASP是没用的，还是可以下载，而且可能被暗藏ASP木马在数据库中。此外，不要使用数据库备份、恢复功能。有证据表明这有可能使入侵者绕过上传文件的限制。要备份，直接FTP下载就可以了。,6、给用户尽可能少的功能和权限 功能越复杂，可能出现的漏洞越多，除非你对自己的技术很有信心，否则请谨慎向用户开放上传等容易受到攻击的功能。很典型的例子是在线投稿功能，其实只要公布一个Email地址就可以了，不需要制作专门的投稿模块。 对于动力文章系统，建议删除以下模块： 所有用户模块 留言系统 广告系统 数据库备份/还原模块,7、出错信息越模糊越好 这里的出错信息包括程序的错误信息和对攻击行为的提示信息。程序的错误信息可能暴露数据库的类型、位置，也可能为注入提供方便；对攻击行为的提示信息太激烈则可能激怒对方，要知道，没有做不到只有想不到，你自以为安全的站点别人总是有办法进入的，不管用什么手段。,不痛不痒，莫名其妙的提示信息,8、请学生兼职建设网站要注意什么？ 有些单位缺乏网站建设方面的人员，就聘请学生兼职，这种情况下，尽量不要让学生一次做完就撒手不管了，最好能作为一个长期的合作。任何网站都不是永远安全的，漏洞的发现需要时间的积累，所以网站也要不断打补丁，这就和操作系统一样。另外，长期的合作能使学生产生责任感，也方便网站的交接工作。 如果管理员对技术问题不是很了解，可以在对兼职学生进行说明的时候，把这里罗列的几个注意事项告诉他们。网站建成后，最好能请第三方进行一次安全测试。,9、访问网站时提示发现病毒怎么办？ 遇到这种情况，十有八九是被入侵了，而且几乎可以肯定是上传漏洞被利用，入侵者在网页中加入了病毒代码，企图让网站访问者中毒。遇到这种情况，首先应该马上替换掉染毒页面，然后按应对安全事件的方法处理。 一般来说，利用网页挂木马，通常都是用iframe链接到另外一个网站的木马文件，所以在检查的时候，只要用记事本打开染毒页面，搜索关键字“IFRAME”即可。 一段典型的病毒代码： ,10、使用动网论坛系统要注意什么？ 按照规定，使用论坛等带有交互式功能的系统需要严格的审批，不能擅自架设。如果是经过批准的，已经在使用的动网论坛系统，要注意以下问题： 1)用官方网站提供的最新正式版，不用插件版，hack版的动网，因为插件编写者很多都是不专业的，没有考虑安全问题 2)关注官方论坛，打补丁，虽然很累，但是从负责任的角度看很有必要 3)关闭头像上传功能，最好关闭所有上传，连负责上传的文件都删掉 4)如果是自己的主机，把上传目录，如UploadFile等的脚本执行权限改为无 5)记得删除install.asp,key.asp文件 6)后台管理登陆密码和前台登陆不一样 7)去掉备份数据库/还原数据库功能，因为此功能可以被asp木马上传者利用，比如上传的木马被自动改为gif后可利用此功能再还原为asp 8)关闭flash标签，设置论坛脚本过滤扩展，iframe,object,script,11、删除管理系统的特征字符 以动力3.51为例，页面下方的“Powered by：MyPower Ver3.51”和管理登陆页面的“后台管理页面需要屏幕分辨率为 1024*768 或以上才能达到最佳浏览效果！”就是入侵者判断文章系统类型的依据之一。如果有可能，还可以把特征文件名改掉，如显示文章的Article_Show.asp，可以在Dreamweaver里面，用全站替换的方法，改成Shownews.asp之类的名字，进一步干扰入侵者的判断。,12、作为一个非计算机专业背景的网站管理员要掌握什么？ 1) 熟悉操作系统，网络浏览器，FTP客户端的使用 2) 认识常见的扩展名 静态网页：HTM，HTML 动态网页：ASP，PHP，Jsp 样式表：CSS Javascript脚本：JS 可执行文件：EXE,COM 批处理文件：BAT 3)Dreamweaver的简单使用，包括建立站点，管理站点，简单页面编辑等。 4)利用搜索引擎查找信息的能力 5)一本工作日志 记载网站的基本信息：FTP密码，管理后台密码，修改了哪些文件，什么时候被入侵过，发现什么漏洞，做了什么修补工作。,相关下载： 动力3.62 SP2修正版 ： 动力3.x上传漏洞补丁： Domain3.2 ： Domain3.2的使用演示： Beyond Compare v2.03 http:/210.34.212.108/softdown/SoftView.Asp?SoftID=8538 Beyond Compare的使用演示： Compare.exe,谢 谢 大 家,