首先介绍两种常见的“注入攻击”类型是:
无形的隐藏框架(invisible iframe)
Iframe标签是一种 HTML标签。一个 iframe在一个网页上创建一个小“窗口”,在这个内嵌窗口中可以载入另一个页面。
Iframe并非总是用于不可告人的目的; 它被经常用来,举例来说,在博客中嵌入一个视频。当恶意黑客使用它时,iframe可以被设置成小到看不见。访问受感染网页的用户永远不会知道另一页也在小 iframe窗口里被载入。如果你在你网站上的一页中看到一个iframe的宽度是“0”,高度也是“0”的代码,你就找到了一个看不见的 iframe。Iframe最常见的是被插在网页源代码的最上端或最底端。检查 iframe应首先检查开始网页标准代码的标签前,或结束网页代码的标签后。
混淆代码(Obfuscated Code)
混淆代码或脚本通常被隐藏在你的网站正常代码中,所以他们可以很难被察觉。这些代码是专门为了防止自动化查找工具发现他们。混淆代码不一定是恶意软件; 一些合法的编程者故意混淆编码以防止他人复制自己的工作。但是,如果你为你网站写的代码并不是想故意混淆,找到一块混淆代码可能说明有一个注入攻击。最常见的两种混淆代码的方式是通过编码和加密。
编码有时会很容易被看到,因为编码或者使用十六进制,“unicode”, 或“宽”字符。如果是十六进制字符,你会看到 javascript 代码的字符串由一些百分号后加两个字符的组合组成(例如%AA%BB%CC)。如果是 unicode 字符,你会看到字符串由一些“\u”紧随着四个字符组成(例如: \u0048\u0069\u0021)。一般而言,编码成这种方式的代码块会占用若干段落。如果您在你的网页源代码里发现大块上述模式中的任何一种,它很可能是混淆代码。
加密代码更难被找到,因为他们没有一套模式。然而,加密代码看上去会像一块费解的文字。即使你不熟悉 javascript 编程,你会注意到你的网站上正常的javascript代码会使用基于常用英语单词的语法。编码或加密了的文本看上去就是完全不能理解的字母,数字和符号块。你应检查你网站日志来看看有没有对你所不认识的可执行文件的引用。可执行文件的扩展名包含.exe、.bat、.cmd、.scr以及.pif。
虽然大多数黑客的攻击重点是 html 代码,坏软件本身也有可能被上载到安全性很差的网站。不良软件可能包括不明的可执行文件(譬如以.exe、.bat、.cmd、.scr 以及.pif 结束的文件),javascript 文件,甚至把图片上传到您的网站而你并未发觉。有时攻击者仅仅想利用你的网站来寄存恶意软件,然后从其它受害网站链接到该软件。这里有一个检测你的网站是否被寄存了不良软件的方法,即从你的正在运行的网站中下载所有的源代码到一个虚拟机,然后使用反病毒或反间谍程序进行扫描。
如何进行对恶意软件的预防
1. 在让网站可下载软件之前进行恶意软件检查
2. 在你网站链接到其他网址前对链接进行恶意软件检查
3. 只使用有信誉、有良心的广告商,并定期监测以确保他们的广告是干净的确保你的广告网络是有信誉的并积极为广告主屏蔽恶意软件。如果他们不这么做,赶紧换人,并告诉他们你为什么要换。请记住,一个在你网上的广告,即使是由第三方提供的,仍然是你的网页的一部分。你应该只接受来自为保护客户不受恶意软件侵害而不懈努力的广告商。
4. 监控你网站的用户区
确保你网站的论坛,博客,和其他用户区的使用条款中明确禁止链接至恶意软件的帖子。您也可以选择不让用户直接连接到任何形式的可执行文件或插入javascript 到论坛帖子或其他用户生成内容区。你要严密监督你网站的这些区域以防止可疑的链接或可执行文件。
5. 堵住安全漏洞以防黑客攻击以下是使你的网站更安全的一些基本步骤:
* 使用复杂的密码。
* 使用 SSH 和 SFTP协议,而不是 telnet 或 FTP。Telnet和 FTP都被认为是不安全的,因为他们使用纯文本协议。他们传送的用户名和密码可以被任何接入网络的人读懂。SSH 和 SFTP都是加过密的以防止窃听。
* 利用漏洞审查扫描器来扫描你的网站的安全漏洞。使用安全更新管理工具,以查找被错过的补丁。一旦找到,要立即应用补丁程序。
* 跟踪你网站或者你的网站寄存商使用的软件的最新消息,永远运行最新版本,其中包括安全补丁。订阅,并定期阅读你的寄存服务商和软件提供商的任何通讯或警报。
* 确保你的寄存服务商保持所有软件的更新,包括安全补丁。如果它们不这么做,敦促他们这样做或转换到另一家能为客户的网站安全竭尽全力的网站主机服务商。
当你的网站变得干净、安全后再重新上线,你可能想通知你的访问者你们所遇到的恶意软件问题,以及你解决问题的措施。如果一个用户因为访问了你的网站而已感染了恶意软件,让他们知道你的发现会帮助他们清理他们的计算机。
