葉正旺，莊 嚴

(通化師范學院 網(wǎng)絡中心，吉林 通化134002)

1 引言

網(wǎng)站掛馬近年來一直是國內(nèi)互聯(lián)網(wǎng)安全最嚴重的威脅，對教育網(wǎng)網(wǎng)站也構成了危害.在2010年9月，北大計算機所信安中心利用研發(fā)實現(xiàn)的北大網(wǎng)頁掛馬檢測平臺，針對教育網(wǎng)中的網(wǎng)站進行網(wǎng)站掛馬檢測，發(fā)現(xiàn)分別屬于314所不同高校的577個網(wǎng)站被惡意掛馬，網(wǎng)站掛馬率為3.15%，高于同期檢測的科研系統(tǒng)網(wǎng)站掛馬率(2.46%)和政府網(wǎng)站掛馬率(1.03%).而且在高校網(wǎng)站掛馬統(tǒng)計中，發(fā)現(xiàn)87.9%的網(wǎng)站均為二級或者三級域名網(wǎng)站，而一級域名網(wǎng)站掛馬僅為少數(shù).這些數(shù)據(jù)表明高校網(wǎng)站，特別是二級網(wǎng)站存在很大的安全隱患[1].

為了保障高校與外界網(wǎng)絡信息溝通的通道暢通無阻.必須加強高校網(wǎng)站的安全管理，尤其是學校二級網(wǎng)站的安全管理.

2 二級網(wǎng)站惡意掛馬的常見形式

高校二級網(wǎng)站的建設，主要是為各系部用于解決師生信息獲得，網(wǎng)上教學、交流，院系動態(tài)信息發(fā)布和后臺管理維護等問題.不僅是教學、科研等各項活動的交互窗口，更是一種高效的管理方法和手段.但同時它也成為網(wǎng)絡攻擊的對象，經(jīng)常會受到攻擊而使一些網(wǎng)站被篡改、被掛馬，不能正常發(fā)揮原有的作用.

2.1 黑客入侵

黑客入侵是比較普遍的一種攻擊，主要包括掃描攻擊：這類攻擊是黑客利用端口或地址掃描技術，探測目標地址或開放的端口.體系機構探測攻擊：是使用具有已知響應類型數(shù)據(jù)庫的自動工具，對來自目標主機的數(shù)據(jù)包傳送所作出的響應進行檢查，從而獲取系統(tǒng)信息，進一步達到控制服務器的目的.另外還有部分二級學院網(wǎng)站可能采用動易、風訊等新聞類發(fā)布系統(tǒng)，由于其源代碼的開放性，黑客可輕而易舉獲取系統(tǒng)已知存在的漏洞[2].

2.2 病毒攻擊

計算機病毒由于具有寄生性、破壞性、隱蔽性、潛伏性、傳染性和可觸發(fā)性等特點，而更加難以防范，中毒后將導致IIS等正常的程序無法運行，系統(tǒng)癱瘓，網(wǎng)站內(nèi)容遭到刪除或受到不同程度的損壞[3].

2.3 惡意代碼攻擊

此類威脅在二級學院網(wǎng)站尤其突出，由于多個二級學院網(wǎng)站架設在同一臺服務器上，惡意代碼會自動在各個網(wǎng)站源代碼中嵌入病毒代碼，用戶瀏覽嵌套有惡意代碼網(wǎng)站時，會自動在客戶端下載木馬，造成用戶電腦感染病毒.從而獲得管理員權限，控制整個網(wǎng)站.針對二級網(wǎng)站被惡意掛馬可以歸結為以下幾類：

(1)IFRAME框架掛馬：是常見的一種掛馬方式，通常的掛馬代碼是：.這種掛馬方式通過在網(wǎng)頁內(nèi)嵌入0*0的框架，讓用戶在視覺上看不見.當運行時，網(wǎng)頁木馬利用iframe語句，加載到任意頁中都可執(zhí)行實現(xiàn)入侵網(wǎng)站服務器.

(2)JS掛馬：JS腳本是JavaScript腳本語言的簡稱，它是一種面向對象的腳本語言，目前廣泛用于動態(tài)網(wǎng)頁的編程.JS腳本在掛馬時可以直接將JS代碼寫在網(wǎng)頁中，也可以通過注入網(wǎng)頁，讓網(wǎng)站遠程調(diào)取異地JS腳本.JS掛馬插入Web頁面的方法對于一般人來說很難辨別木馬在何處.通常代碼如下：.這里http://www.xxx.com/gm.js就是一個js腳本文件，通過它調(diào)用和執(zhí)行木馬的服務端.JS掛馬侵入很深的網(wǎng)站代碼中，不明顯，不容易發(fā)現(xiàn)，所以很難防范.

(3)CSS掛馬：類似JS掛馬，沒有JS靈活，就是在CSS加入iframe.在互動性非常強的論壇和博客中，往往提供豐富的功能，并且會允許用戶使用CSS層疊樣式表來對網(wǎng)站的網(wǎng)頁進行自由的修改，這為CSS掛馬創(chuàng)造了條件.黑客在利用CSS掛馬時，往往是借著網(wǎng)民對某些大網(wǎng)站的信任，將CSS惡意代碼掛到博客或者其他支持CSS的網(wǎng)頁中，當網(wǎng)民訪問該網(wǎng)頁時惡意代碼就會執(zhí)行.

(4)圖片掛馬[4]：是將一些木馬文件修改后綴名(修改為圖像文件后綴)進行上傳.另外有的是通過偽造圖片繞過各網(wǎng)站的上傳系統(tǒng)，將代碼隱藏在圖片文件中以獲得執(zhí)行.這種掛馬方式是將HTML代碼偽裝成圖片，瀏覽器在對其進行解析的時候會將其中隱藏的HTML或客戶端腳本代碼解釋執(zhí)行.圖片木馬是比較新穎的一種掛馬隱蔽方法，但簡單講就是圖片本身是html文件，只是把擴展名改了.

(5)偽裝調(diào)用掛馬[5]：它是網(wǎng)絡中最常見的欺騙手段，黑客們利用人們的獵奇、貪心等心理偽裝構造一個鏈接或者一個網(wǎng)頁，利用社會工程學欺騙方法，引誘點擊，當用戶打開一個看似正常的頁面時，網(wǎng)頁代碼隨之運行.這種掛馬方式主要是通過欺騙用戶輸入某些個人隱私信息，然后竊取個人隱私.比如攻擊者模仿騰訊公司設計了一個獲取QQ幣的頁面，引誘輸入QQ號和密碼.等用戶輸入完提交后，就把這些信息發(fā)送到攻擊者指定的地方.這種掛馬方式隱蔽性極高.

3 導致高校二級網(wǎng)站存在安全問題的癥結

高校二級網(wǎng)站被惡意掛馬數(shù)量呈明顯上升趨勢，要節(jié)制高校網(wǎng)站掛馬事情發(fā)生，就需要從造成網(wǎng)站被掛馬的原因說起，對高校二級網(wǎng)站掛馬存在的原因可歸結如下[6]：

(1)管理者、制作者的因素.首先，重視程度不夠.觀念問題是影響高校網(wǎng)站建設與發(fā)展的首要問題，一些學院的領導和管理人員對網(wǎng)站建設缺乏足夠認識，對本部門信息資源的開發(fā)利用，依然習慣于傳統(tǒng)的管理模式.或者僅僅是把建設網(wǎng)站當作一個“門面”，一個形象工程，只注重前期建設，而忽略信息維護.對安全這一塊，很多領導和管理人員只單純的認為安全問題是和網(wǎng)絡中心的服務器有關，與他們的網(wǎng)站建設沒有任何關系.黑客所利用的漏洞看似出于技術，究其深層次原因，不難發(fā)現(xiàn)正是網(wǎng)站的制作者以及管理人員對各個過程中出現(xiàn)的問題缺少必要的風險控制意識，才導致最終完成的網(wǎng)站漏洞百出.而終端用戶對網(wǎng)絡安全意識的漠視也是導致黑客能夠得手的重要原因.其次，二級網(wǎng)站開發(fā)人員不穩(wěn)定.高校各個院系部門都要建設屬于自己的二級網(wǎng)站，但高校二級網(wǎng)站開發(fā)制作隊伍多以研究生或本科生為主，雖然開發(fā)制作能力較強，但由于學生交替頻繁，隊伍不夠穩(wěn)定，直接造成網(wǎng)站升級困難.

(2)網(wǎng)站技術路線簡單，安全性差.學校二級網(wǎng)站多以WINDOWS2000SERVER作為服務器系統(tǒng)，采用ASP技術，也有少量網(wǎng)站采用靜態(tài)頁面，信息量和交互功能相對簡單.由于WINDOWS2000SERVER本身存在安全漏洞較多，易受黑客及病毒攻擊.

4 高校二級網(wǎng)站掛馬防范措施

針對二級網(wǎng)站惡意掛馬的常見威脅以及高校二級網(wǎng)站存在的問題，筆者提出以下幾點防范措施:

(1)加強網(wǎng)絡安全意識與領導管理力度，加強專業(yè)人員培訓.高校二級網(wǎng)站作為各個院系部門宣傳辦公的一個平臺，要想發(fā)揮它的作用，首先要保障它的安全運行，保證數(shù)據(jù)的安全性.所以各個部門的負責人一定要高度重視網(wǎng)站的安全問題.要建立一套完整的網(wǎng)站維護、更新、升級的管理制度，安排專人負責制，建立相應的應急預案.對于網(wǎng)站掛馬，數(shù)據(jù)篡改等情況能夠及時做出響應.

針對高校二級網(wǎng)站開發(fā)人員技術問題和相應的后期維護工作，各個部門應有規(guī)律的組織專業(yè)人員的培訓工作.在技術層次達到一定的高度，對各個過程中可能出現(xiàn)的問題具有風險控制意識，防患于未然.

(2)服務器端加強防范.針對高校二級網(wǎng)站面臨的威脅，作為網(wǎng)管人員首先要加強自身專業(yè)技術能力，對網(wǎng)站服務器或源代碼存在的漏洞能迅速甄別，發(fā)現(xiàn)可疑文件后及時處理.做好服務器端安全工作，安裝最新版服務器端殺毒軟件以及入侵檢測系統(tǒng)，通過監(jiān)視系統(tǒng)安全日志、IIS系統(tǒng)日志、網(wǎng)站后臺記錄日志，分析檢測出WEB服務器被非法攻擊行為，記錄攻擊者IP，屏蔽該IP所在區(qū)域或上報相關部門.做好網(wǎng)站加密和備份工作，對數(shù)據(jù)庫內(nèi)容進行MD5加密，密碼登陸采用驗證碼機制，可有效防止密碼暴利破解；做好本地數(shù)據(jù)備份工作，以最大限度減少病毒所帶來的危險.經(jīng)常性地檢查服務器日志，提高服務器安全配置.其中主要包括：ftp安全設置；iss目錄是否被鎖定；權限方面的配置；策略問題；端口和服務關閉問題；管理員口令問題；發(fā)現(xiàn)異常信息等等.

5 結語

高校二級網(wǎng)站建設越來越受到教育機構的重視，網(wǎng)站的建設對學院擴大對外宣傳力度，推進學院管理信息化，提高學院知名度和辦學影響力起著極為重要的作用.

筆者針對高校二級網(wǎng)站掛馬率高的這種情況，在分析網(wǎng)站惡意掛馬常用方式、總結高校網(wǎng)站安全問題癥結后，給出了高校二級網(wǎng)站惡意掛馬的防范措施.

[1]張聰，張慧.特洛伊木馬程序隱藏技術分析[J].武漢工業(yè)學院學報，2005，24(2):19-21.

[2]天才.黑客是如何騙取你執(zhí)行木馬的[J].網(wǎng)絡與信息，2005，19(2):52-53.

[3]褚誠云.Web安全開發(fā):SQL注入攻擊和網(wǎng)頁掛馬[J].程序員，2008(7):102-104.

[4]羅川，辛茗庭.網(wǎng)頁木馬剖析與實現(xiàn)[J].計算機安全，2007(12):83-85.

[5]韓法旺.Web網(wǎng)頁木馬研究初探[J].科技信息，2008(19)：71-72.

[6]程文彬.基于網(wǎng)站建設中網(wǎng)頁設計的安全缺陷及對策[J].電子科技大學學報，2003(6):711-712.