【51CTO.com 綜合消息】隨著中國(guó)互聯(lián)網(wǎng)的發(fā)展，安全問(wèn)題越來(lái)越多，由于受到巨額經(jīng)濟(jì)利益的驅(qū)使，網(wǎng)站掛馬尤為猖獗。2009年8月江蘇警方破獲了一起特大制售木馬病毒案，涉案金額高達(dá)3000余萬(wàn)元。據(jù)統(tǒng)計(jì)，截止2009年9月我國(guó)網(wǎng)民數(shù)量已達(dá)到3.6億，而另一方面的統(tǒng)計(jì)顯示地下黑色產(chǎn)業(yè)鏈的規(guī)模也將達(dá)到100億，其對(duì)企業(yè)用戶帶來(lái)的間接損失則無(wú)法估量。

2010年初，國(guó)內(nèi)廣泛使用的Web論壇—Discuz!7.x、主流下載軟件迅雷（Thunder5.9.14.1246）、網(wǎng)際快車（Amazesoft FlashGet 3.x）和網(wǎng)絡(luò)傳送帶（Net Transport）相繼爆出安全漏洞。黑客可以精心構(gòu)建惡意網(wǎng)站，利用這些漏洞偷偷在客戶端電腦中安裝木馬軟件，竊取用戶的QQ、網(wǎng)游和銀行卡等機(jī)密信息，并形成僵尸網(wǎng)絡(luò)。

黑客如何通過(guò)網(wǎng)站掛馬賺錢

首先，應(yīng)該明確掛馬只是一個(gè)途徑，在訪問(wèn)惡意站點(diǎn)的客戶端電腦中安裝木馬軟件才是其根本目的。電腦被種植木馬就變成了一臺(tái)傀儡機(jī)，攻擊者可以在電腦中做任何操作，包括：盜取各類用戶賬號(hào)，如QQ賬號(hào)、網(wǎng)銀賬號(hào)、網(wǎng)游賬號(hào)、管理員賬號(hào)；盜竊各種重要機(jī)密的文件資料；非法轉(zhuǎn)賬；破壞數(shù)據(jù)；完全控制電腦等等。攻擊者將盜取的賬號(hào)信息、游戲裝備等變賣獲利；被攻擊主機(jī)也將成為僵尸網(wǎng)絡(luò)中的一員，攻擊者利用僵尸網(wǎng)絡(luò)進(jìn)行收費(fèi)的DDoS攻擊是賺錢的另一種手段。由于網(wǎng)站掛馬隱蔽性強(qiáng)，感染了“木馬”的主機(jī)就成為埋藏在組織內(nèi)部的定時(shí)炸彈。

如何防范網(wǎng)站掛馬攻擊

網(wǎng)站掛馬一般可以分為以下幾個(gè)流程：

1. 制作黑頁(yè)：針對(duì)客戶端軟件存在的漏洞，黑客構(gòu)建的包含惡意代碼的網(wǎng)頁(yè)；

2. 網(wǎng)站掛馬：利用SQL注入、XSS跨站腳本等攻擊入侵合法網(wǎng)站并嵌入可跳轉(zhuǎn)到黑頁(yè)的鏈接；

3. 下載木馬：客戶端訪問(wèn)被掛馬網(wǎng)站，并跳轉(zhuǎn)到黑頁(yè)，這是由于客戶端軟件存在漏洞會(huì)執(zhí)行惡意代碼自動(dòng)下載木馬軟件。

上述流程涉及了三個(gè)主體：被掛馬網(wǎng)站、黑頁(yè)（也叫做掛馬源）、有漏洞的客戶端軟件。要解決網(wǎng)站掛馬問(wèn)題，就要從這三方面入手。 

◆消除被掛馬網(wǎng)站 

◆增強(qiáng)客戶端的安全性 

◆阻止客戶端訪問(wèn)掛馬網(wǎng)站、黑頁(yè)

目前，中國(guó)已有280萬(wàn)注冊(cè)網(wǎng)站，網(wǎng)站開發(fā)水平參差不齊，特別是Web2.0的廣泛應(yīng)用，增強(qiáng)交互水平的同時(shí)也大大增加了被掛馬的可能性，據(jù)全球知名反惡意軟件組織StopBadware的研究顯示：全球的掛馬站點(diǎn)52%來(lái)自中國(guó)。而要想從客戶端解決問(wèn)題也并非易事，企業(yè)中的大量終端安裝了眾多的應(yīng)用軟件，難以有效保證所有終端都是安全的。

因此，檢測(cè)并阻止客戶端訪問(wèn)掛馬網(wǎng)站、黑頁(yè)是最佳的解決方案。對(duì)企業(yè)用戶來(lái)講，在網(wǎng)關(guān)處進(jìn)行統(tǒng)一防護(hù)非常重要。

聯(lián)想網(wǎng)御惡意站點(diǎn)檢測(cè)與阻斷模塊

聯(lián)想網(wǎng)御公司在其全線網(wǎng)關(guān)產(chǎn)品中集成了惡意站點(diǎn)檢測(cè)與阻斷模塊，該模塊維護(hù)實(shí)時(shí)更新的惡意站點(diǎn)數(shù)據(jù)庫(kù)。部署聯(lián)想網(wǎng)御網(wǎng)關(guān)產(chǎn)品后，對(duì)內(nèi)網(wǎng)用戶訪問(wèn)的目標(biāo)站點(diǎn)進(jìn)行安全檢查，當(dāng)內(nèi)網(wǎng)用戶訪問(wèn)的站點(diǎn)是被惡意掛馬的站點(diǎn)時(shí)，網(wǎng)關(guān)會(huì)阻斷該訪問(wèn)，并向訪問(wèn)者的瀏覽器推送告警信息“阻斷訪問(wèn)掛馬網(wǎng)站”。  

【聯(lián)想網(wǎng)御惡意站點(diǎn)檢測(cè)與阻斷模塊工作示意圖】

聯(lián)想網(wǎng)御惡意站點(diǎn)庫(kù)包含可信站點(diǎn)和惡意站點(diǎn)兩大類，惡意站點(diǎn)庫(kù)又細(xì)分為掛馬網(wǎng)站和掛馬源兩種類型，覆蓋了中國(guó)已注冊(cè)的400多萬(wàn)個(gè)網(wǎng)站。為保證可靠性，會(huì)實(shí)時(shí)對(duì)網(wǎng)絡(luò)站點(diǎn)進(jìn)行檢查，并根據(jù)檢查結(jié)果定期對(duì)全庫(kù)進(jìn)行更新。對(duì)于不在可信站點(diǎn)和惡意站點(diǎn)數(shù)據(jù)庫(kù)的新網(wǎng)站，網(wǎng)關(guān)則通過(guò)實(shí)時(shí)分析網(wǎng)頁(yè)的行為動(dòng)作來(lái)確定訪問(wèn)的安全性。當(dāng)某網(wǎng)頁(yè)試圖執(zhí)行程序、下載可執(zhí)行文件等敏感操作時(shí)判別其為惡意網(wǎng)站并進(jìn)行攔截，同時(shí)也會(huì)將這個(gè)網(wǎng)頁(yè)的URL加入到惡意站點(diǎn)數(shù)據(jù)庫(kù)中。由于采用了基于行為動(dòng)作的分析技術(shù)，使得攻擊者無(wú)論是采用老的掛馬代碼，還是全新的基于IE、Office、Flash、AdobeReader等流行軟件漏洞的掛馬代碼，都可以進(jìn)行有效攔截。此外，由于大量的惡意站點(diǎn)都使用了JavaScript腳本來(lái)書寫攻擊代碼，聯(lián)想網(wǎng)御惡意站點(diǎn)檢測(cè)與阻斷模塊集成了JavaScript腳本檢測(cè)技術(shù)來(lái)檢測(cè)掛馬網(wǎng)站。

聯(lián)想網(wǎng)御UTM、IPS產(chǎn)品不僅可以阻止內(nèi)部客戶端訪問(wèn)外部掛馬站點(diǎn)，還可以通過(guò)深度過(guò)濾功能，準(zhǔn)確攔截SQL注入、XSS跨站腳本和針對(duì)系統(tǒng)漏洞的攻擊，從而防止內(nèi)部網(wǎng)站被掛馬。

內(nèi)外兼顧，聯(lián)想網(wǎng)御網(wǎng)關(guān)產(chǎn)品可以有效保障企事業(yè)單位用戶免受網(wǎng)站掛馬的危害，為各種業(yè)務(wù)的正常運(yùn)轉(zhuǎn)提供強(qiáng)有力地防護(hù)。