 |
阻擊惡意軟件--清除和保護你的網(wǎng)站的小技巧 |
| 譯者按: StopBadware.org是一個獨立于Google的致力于消除惡意軟件(badware)的非盈利組織。根據(jù)StopBadware.org對惡意軟件(亦稱流氓軟件)和惡意軟件網(wǎng)站的定義,Google對索引中帶有惡意軟件的搜索結(jié)果會加上“This site may harm your computer” 或 “這個網(wǎng)站有可能會損害您的計算機”。如何清除惡意軟件并保護你的網(wǎng)站不受惡意軟件的侵犯?StopBadware.org在他們的英文網(wǎng)站上給出很多非常實用的小技巧。我們剛剛翻譯了StopBadware.org的惡意軟件網(wǎng)站指南,在此,我們繼續(xù)為廣大中文站長翻譯StopBadware.org關(guān)于阻擊惡意軟件的小技巧。 清除并保衛(wèi)你的網(wǎng)站的小技巧 這篇文章提供從網(wǎng)站上清除惡意軟件并保持網(wǎng)站干凈的方法。它是一個起始點。之所以是起始點,是因為我們應(yīng)該會不斷更新它并提供更多的方法。請注意,這篇文 章中的方法絕不是全面的或詳盡的。我們只想把它作為是關(guān)心惡意軟件的站長們要做的第一步。我們鼓勵站長們和網(wǎng)站寄存服務(wù)商們撇開這里所提供的建議,獨立研 究網(wǎng)站的安全。獲取關(guān)于網(wǎng)站安全問題的最新消息是站長和網(wǎng)站寄存服務(wù)商們自己的責(zé)任。 通常有三個基本步驟來保持一個網(wǎng)站的潔凈: 惡意軟件的識別 惡意軟件的清除 惡意軟件的預(yù)防 惡意軟件的識別 讓您的網(wǎng)站保持不受惡意軟件侵犯的第一步是檢查你的網(wǎng)站上是不是已經(jīng)有了惡意軟件。惡意軟件往往根本不顧用戶選擇如何使用他們的計算機。有些應(yīng)用軟件是惡意軟件,因為他們的行為是欺騙性的或不可逆轉(zhuǎn)的(例如,有的應(yīng)用程序秘密安裝難以或根本無法卸載的間諜軟件)。還有些應(yīng)用軟件是惡意軟件,因為他們有不良行為(如顯示彈出式廣告或改變用戶的主頁設(shè)置)。這些行為往往事先不讓用戶知道,也無從得到用戶的同意。你可以從我們的軟件指南中學(xué)到更多東西。 這里是一些你應(yīng)該查一查的常見的惡意軟件類型: (譯者按: 如果你的網(wǎng)站被Google在搜索結(jié)果加上"惡意軟件“標(biāo)記,或是在谷歌站長工具里的某個網(wǎng)站概括中有一個惡意軟件標(biāo)簽,那么你在站長工具里可以看到你的感染了惡意軟件的URL的樣本。) 1. 你的網(wǎng)站有可以下載的惡意軟件 根據(jù)StopBadware的軟件指南,評估你提供下載的軟件(包括任何第三方捆綁在你的軟件上的應(yīng)用軟件)。如過你提供下載的軟件違背了我們的指南,它就構(gòu)成了惡意軟件。 如果你的軟件和第三方應(yīng)用程序捆綁,你可能還需要檢查是否捆綁軟件會安裝任何危險性或欺騙性的代碼。一個檢測方法是,下載整個捆綁軟件到一個虛擬機,然后使用反病毒或反間諜軟件對它掃描。 2. 在你指向的網(wǎng)站中存在的惡意軟件 如果你的網(wǎng)站鏈向惡意網(wǎng)站,你的網(wǎng)站訪問者就處于危險之中,哪怕是惡意軟件或代碼漏洞實際上不寄存在你的網(wǎng)站上。在以下情況下,你的網(wǎng)站可能違反了我們的網(wǎng)站指南:如果你的網(wǎng)頁自動重定向到一個寄存或傳播惡意軟件的網(wǎng)站; 直接鏈接到惡意軟件的可執(zhí)行文件上; 鏈接到另一個企圖自動安裝惡意軟件到用戶電腦的網(wǎng)站; 或者是含有大量鏈接到其他主要是寄存或傳播惡意軟件的網(wǎng)站。 有一些方法可以判斷你網(wǎng)站上的鏈接是否違反了我們的指南。檢查你的所有鏈接,看是否有些鏈接會讓用戶下載其他網(wǎng)站上的惡意軟件,或?qū)е掠脩羧ピL問其他網(wǎng)站上已被惡意軟件感染的網(wǎng)頁。(我們建議你在找惡意軟件的時候用一個虛擬機,以避免損壞你自己的電腦)。以下方法也可能是有用的:通過搜索你的網(wǎng)站的源代碼來并尋找到不明網(wǎng)站的鏈接,特別是到可執(zhí)行文件的鏈接。可執(zhí)行文件的擴展名包含.exe, .bat, .cmd, .scr, 以及.pif。有的應(yīng)用軟件可讓您對一個網(wǎng)頁的惡意鏈接進行掃描。你也可以使用這些應(yīng)用程序來幫助決定是否鏈接到該網(wǎng)頁。 您也可以把StopBadware報告以及我們的惡意軟件網(wǎng)站清除站作為一種資源。你可以查詢我們的數(shù)據(jù)庫來得到你已經(jīng)鏈接到的或者是想要鏈接到的網(wǎng)站和軟件的信息。 3. 通過你網(wǎng)站上的廣告?zhèn)鞑サ膼阂廛浖? 在你的網(wǎng)站上發(fā)布的廣告是另一種惡意軟件的潛在來源,因為大多數(shù)的廣告包含到一個外部網(wǎng)頁的直接鏈接。關(guān)于通過鏈接找出惡意軟件的指南信息,請參閱第以上的1.2節(jié)。如果你在你的網(wǎng)站上展示第三方的廣告,請確保那些鏈接不被引向不良軟件或被惡意軟件感染的網(wǎng)頁。評估通過廣告?zhèn)鞑サ能浖姆椒愃朴谠谏厦娴?.1節(jié)描述的方法("你的網(wǎng)站有可以下載的惡意軟件")。 您也可以把StopBadware深度報告以及我們的惡意軟件網(wǎng)站清除站作為一種資源。使用我們的數(shù)據(jù)庫來檢查你正在考慮使用的廣告網(wǎng)絡(luò),以了解是否有其他網(wǎng)站已經(jīng)因為那些廣告商而產(chǎn)生了惡意軟件的問題。 4. 貼在你網(wǎng)站的用戶區(qū)上的惡意軟件鏈接 如果在你網(wǎng)站的任何部分,用戶可以張貼或上傳內(nèi)容,這些地區(qū)可能是一個潛在的惡意軟件或惡意軟件鏈接源。關(guān)于惡意軟件和惡意軟件鏈接,請參閱上面的1.1節(jié)及1.2節(jié)。 5. 你的網(wǎng)站受到黑客攻擊 另一種常見的惡意軟件網(wǎng)站來自黑客攻擊。黑客攻擊是第三方在安全性很低的網(wǎng)站上插入代碼或可執(zhí)行文件。一個常見的例子是"注入攻擊",即黑客利用安全漏洞來在你的一個網(wǎng)頁上注入有害代碼。通常這個代碼對你及你的用戶來說是不可見的,但它會在一個訪問者的電腦后臺觸發(fā)惡意軟件的下載。你經(jīng)常通過察看你的網(wǎng)頁的源代碼來發(fā)現(xiàn)這種攻擊是否發(fā)生,從而確定它是否包含你從來沒寫過的任何代碼。 兩種常見的"注入攻擊"類型是: 無形的隱藏框架(invisible iframe) Iframe標(biāo)簽是一種HTML標(biāo)簽。一個iframe在一個網(wǎng)頁上創(chuàng)建一個小"窗口",在這個內(nèi)嵌窗口中可以載入另一個頁面。Iframe并非總是用于不可告人的目的; 它被經(jīng)常用來,舉例來說,在博客中嵌入一個視頻。當(dāng)惡意黑客使用它時,iframe可以被設(shè)置成小到看不見。訪問受感染網(wǎng)頁的用戶永遠(yuǎn)不會知道另一頁也在小iframe窗口里被載入。如果你在你網(wǎng)站上的一頁中看到一個iframe的寬度是"0",高度也是"0"的代碼,你就找到了一個看不見的iframe。Iframe最常見的是被插在網(wǎng)頁源代碼的最上端或最底端。檢查iframe應(yīng)首先檢查開始網(wǎng)頁標(biāo)準(zhǔn)代碼的標(biāo)簽前,或結(jié)束網(wǎng)頁代碼的< / html >標(biāo)簽后。 混淆代碼 (Obfuscated Code) 混淆代碼或腳本通常被隱藏在你的網(wǎng)站正常代碼中,所以他們可以很難被察覺。這些代碼是專門為了防止自動化查找工具發(fā)現(xiàn)他們。混淆代碼不一定是惡意軟件; 一些合法的編程者故意混淆編碼以防止他人復(fù)制自己的工作。但是,如果你為你網(wǎng)站寫的代碼并不是想故意混淆,找到一塊混淆代碼可能說明有一個注入攻擊。最常見的兩種混淆代碼的方式是通過編碼和加密。 編碼有時會很容易被看到,因為編碼或者使用十六進制, "unicode”, 或“寬"字符。如果是十六進制字符,你會看到j(luò)avascript代碼的字符串由一些百分號后加兩個字符的組合組成(例如%AA%BB%CC)。如果是unicode字符,你會看到字符串由一些"\u"緊隨著四個字符組成(例如:\u0048\u0069\u0021)。一般而言,編碼成這種方式的代碼塊會占用若干段落。如果您在你的網(wǎng)頁源代碼里發(fā)現(xiàn)大塊上述模式中的任何一種,它很可能是混淆代碼。 加密代碼更難被找到,因為他們沒有一套模式。然而,加密代碼看上去會像一塊費解的文字。即使你不熟悉javascript編程,你會注意到你的網(wǎng)站上正常的javascript代碼會使用基于常用英語單詞的語法。編碼或加密了的文本看上去就是完全不能理解的字母,數(shù)字和符號塊。你應(yīng)檢查你網(wǎng)站日志來看看有沒有對你所不認(rèn)識的可執(zhí)行文件的引用。可執(zhí)行文件的擴展名包含.exe, .bat, .cmd, .scr, 以及.pif。 雖然大多數(shù)黑客的攻擊重點是html代碼,壞軟件本身也有可能被上載到安全性很差的網(wǎng)站。不良軟件可能包括不明的可執(zhí)行文件(譬如以.exe, .bat, .cmd, .scr, 以及.pif結(jié)束的文件),javascript文件,甚至把圖片上傳到您的網(wǎng)站而你并未發(fā)覺。有時攻擊者僅僅想利用你的網(wǎng)站來寄存惡意軟件,然后從其它受害網(wǎng)站鏈接到該軟件。這里有一個檢測你的網(wǎng)站是否被寄存了不良軟件的方法,即從你的正在運行的網(wǎng)站中下載所有的源代碼到一個虛擬機,然后使用反病毒或反間諜程序進行掃描。 惡意軟件的清除 如何從你的網(wǎng)站去清除惡意軟件取決于你的網(wǎng)站寄存或鏈接了什么樣的惡意軟件。我們一般建議你在清除惡意軟件和加強安全性之前先使你的網(wǎng)站離線,以防止你的網(wǎng)站訪客者在你清除過程中被不知不覺地感染。 1. 如果你的網(wǎng)站寄存了可下載的不良軟件 從你的網(wǎng)站上刪除不良軟件,不要再讓它可供下載除非你確保它不是壞軟件。你可以在我們的指南里了解更多關(guān)于什么是惡意軟件的知識。如果你是一個問題軟件的作者,StopBadware為如何使您的軟件符合我們的指南提供了一些建議。 2. 如果你的站點鏈接到惡意軟件 從你的網(wǎng)站上清除所有到惡意軟件的鏈接。 3. 如果你的網(wǎng)站上的廣告鏈接到惡意軟件 刪除所有鏈接到惡意軟件的廣告。如果你使用一個廣告網(wǎng)絡(luò),這可能意味著從你的網(wǎng)站上刪除該網(wǎng)絡(luò)的所有廣告,直到你肯定該廣告網(wǎng)絡(luò)是干凈的。你也許可以聯(lián)絡(luò)你的廣告商,讓他們知道他們在你的網(wǎng)站上的一個或多個廣告是惡意軟件鏈接。 4. 如果惡意軟件是從你的用戶區(qū)得到的鏈接 從你的站點刪除惡意軟件的鏈接。你可能要編輯用戶的帖子以消除惡意軟件內(nèi)容,或刪除用戶的整個帖子。 5. 如果你的網(wǎng)站已經(jīng)被黑了 首先讓你的網(wǎng)站離線,這樣你網(wǎng)站訪客和你的客戶就不會有訪問風(fēng)險。然后刪除所有不良代碼,修復(fù)所有安全漏洞。最后才把你的網(wǎng)站重新上線。發(fā)現(xiàn)并去除特定的黑客插入的壞代碼塊以使你的站點干凈是一時的。要使你的網(wǎng)站將來也不受到感染,你必須修補安全漏洞來防止黑客在你的網(wǎng)站插入代碼。因此,一定要確保消除任何攻擊者留下的后門。黑客留下的后門會使他們重新回到你的網(wǎng)站,即使你封鎖了你的網(wǎng)站。 你的寄存服務(wù)商也應(yīng)該能夠幫助你查出你網(wǎng)站的安全漏洞,所以如果你認(rèn)為你的網(wǎng)站已經(jīng)被黑,和他們聯(lián)系應(yīng)該是當(dāng)務(wù)之急。你也可以察看一下你的寄存服務(wù)商的論壇,看看使用該寄存服務(wù)的其他網(wǎng)站是否也已經(jīng)被攻破。訪問你網(wǎng)站所使用的軟件的用戶論壇也可以幫你看看有沒有其他用戶因為軟件漏洞而失密,或者是你的網(wǎng)站沒有對該軟件的安全補丁進行更新。 惡意軟件的預(yù)防 1. 在讓網(wǎng)站可下載軟件之前進行惡意軟件檢查 請參閱以上的第1.1節(jié)了解關(guān)于惡意軟件及我們的軟件指南的信息。 2. 在你網(wǎng)站鏈接到其他網(wǎng)址前對鏈接進行惡意軟件檢查 請參閱以上的第1.2節(jié)了解我們的關(guān)于鏈向惡意軟件的信息。 3. 只使用有信譽、有良心的廣告商,并定期監(jiān)測以確保他們的廣告是干凈的 確保你的廣告網(wǎng)絡(luò)是有信譽的并積極為廣告主屏蔽惡意軟件。如果他們不這么做,趕緊換人,并告訴他們你為什么要換。請記住,一個在你網(wǎng)上的廣告,即使是由第三方提供的,仍然是你的網(wǎng)頁的一部分。你應(yīng)該只接受來自為保護客戶不受惡意軟件侵害而不懈努力的廣告商。你可以使用StopBadware的報告作為惡意軟件廣告商的一種來源。StopBadware正致力于把最壞的廣告網(wǎng)絡(luò)通過報告的形式來曝光,報告我們所看到的被這些廣告提供者害苦了的網(wǎng)站。 4. 監(jiān)控你網(wǎng)站的用戶區(qū) 確保你網(wǎng)站的論壇,博客,和其他用戶區(qū)的使用條款中明確禁止鏈接至惡意軟件的帖子。您也可以選擇不讓用戶直接連接到任何形式的可執(zhí)行文件或插入javascript到論壇帖子或其他用戶生成內(nèi)容區(qū)。你要嚴(yán)密監(jiān)督你網(wǎng)站的這些區(qū)域以防止可疑的鏈接或可執(zhí)行文件。請參閱以上的第1.2節(jié)了解我們的關(guān)于鏈向惡意軟件的信息。 5. 堵住安全漏洞以防黑客攻擊以下是使你的網(wǎng)站更安全的一些基本步驟: 使用復(fù)雜的密碼。 使用SSH和SFTP協(xié)議,而不是telnet或FTP。Telnet和FTP都被認(rèn)為是不安全的,因為他們使用純文本協(xié)議。他們傳送的用戶名和密碼可以被任何接入網(wǎng)絡(luò)的人讀懂。SSH和SFTP都是加過密的以防止竊聽。 利用漏洞審查掃描器(有免費的和商業(yè)的版本)來掃描你的網(wǎng)站的安全漏洞。使用安全更新管理工具,以查找被錯過的補丁。一旦找到,要立即應(yīng)用補丁程序。 跟蹤你網(wǎng)站或者你的網(wǎng)站寄存商使用的軟件的最新消息,永遠(yuǎn)運行最新版本,其中包括安全補丁。訂閱,并定期閱讀你的寄存服務(wù)商和軟件提供商的任何通訊或警報。 確保你的寄存服務(wù)商保持所有軟件的更新,包括安全補丁。如果它們不這么做,敦促他們這樣做或轉(zhuǎn)換到另一家能為客戶的網(wǎng)站安全竭盡全力的網(wǎng)站寄存服務(wù)商。 當(dāng)你的網(wǎng)站變得干凈、安全后再重新上線,你可能想通知你的訪問者你們所遇到的惡意軟件問題,以及你解決問題的措施。如果一個用戶因為訪問了你的網(wǎng)站而已感染了惡意軟件,讓他們知道你的發(fā)現(xiàn)會幫助他們清理他們的計算機。講述你的故事可以幫助其他管理員處理在自己網(wǎng)站上的類似情況。如果你想和其他站長分享你如何清潔你的網(wǎng)站的故事,或者想分享如何保持網(wǎng)站安全的小技巧,請訪問我們的討論組。 這一頁是一個不斷被更新的資源。如果你有進一步的問題或建議作為補充,請加入我們的討論組分享你的想法。 (本站大部分文章來自網(wǎng)絡(luò)收集和整理,如有侵權(quán)請聯(lián)系我們,24小時內(nèi)處理.) |