 |
阻擊惡意軟件--清除和保護你的網站的小技巧 |
| 譯者按: StopBadware.org是一個獨立于Google的致力于消除惡意軟件(badware)的非盈利組織。根據StopBadware.org對惡意軟件(亦稱流氓軟件)和惡意軟件網站的定義,Google對索引中帶有惡意軟件的搜索結果會加上“This site may harm your computer” 或 “這個網站有可能會損害您的計算機”。如何清除惡意軟件并保護你的網站不受惡意軟件的侵犯?StopBadware.org在他們的英文網站上給出很多非常實用的小技巧。我們剛剛翻譯了StopBadware.org的惡意軟件網站指南,在此,我們繼續為廣大中文站長翻譯StopBadware.org關于阻擊惡意軟件的小技巧。 清除并保衛你的網站的小技巧 這篇文章提供從網站上清除惡意軟件并保持網站干凈的方法。它是一個起始點。之所以是起始點,是因為我們應該會不斷更新它并提供更多的方法。請注意,這篇文 章中的方法絕不是全面的或詳盡的。我們只想把它作為是關心惡意軟件的站長們要做的第一步。我們鼓勵站長們和網站寄存服務商們撇開這里所提供的建議,獨立研 究網站的安全。獲取關于網站安全問題的最新消息是站長和網站寄存服務商們自己的責任。 通常有三個基本步驟來保持一個網站的潔凈: 惡意軟件的識別 惡意軟件的清除 惡意軟件的預防 惡意軟件的識別 讓您的網站保持不受惡意軟件侵犯的第一步是檢查你的網站上是不是已經有了惡意軟件。惡意軟件往往根本不顧用戶選擇如何使用他們的計算機。有些應用軟件是惡意軟件,因為他們的行為是欺騙性的或不可逆轉的(例如,有的應用程序秘密安裝難以或根本無法卸載的間諜軟件)。還有些應用軟件是惡意軟件,因為他們有不良行為(如顯示彈出式廣告或改變用戶的主頁設置)。這些行為往往事先不讓用戶知道,也無從得到用戶的同意。你可以從我們的軟件指南中學到更多東西。 這里是一些你應該查一查的常見的惡意軟件類型: (譯者按: 如果你的網站被Google在搜索結果加上"惡意軟件“標記,或是在谷歌站長工具里的某個網站概括中有一個惡意軟件標簽,那么你在站長工具里可以看到你的感染了惡意軟件的URL的樣本。) 1. 你的網站有可以下載的惡意軟件 根據StopBadware的軟件指南,評估你提供下載的軟件(包括任何第三方捆綁在你的軟件上的應用軟件)。如過你提供下載的軟件違背了我們的指南,它就構成了惡意軟件。 如果你的軟件和第三方應用程序捆綁,你可能還需要檢查是否捆綁軟件會安裝任何危險性或欺騙性的代碼。一個檢測方法是,下載整個捆綁軟件到一個虛擬機,然后使用反病毒或反間諜軟件對它掃描。 2. 在你指向的網站中存在的惡意軟件 如果你的網站鏈向惡意網站,你的網站訪問者就處于危險之中,哪怕是惡意軟件或代碼漏洞實際上不寄存在你的網站上。在以下情況下,你的網站可能違反了我們的網站指南:如果你的網頁自動重定向到一個寄存或傳播惡意軟件的網站; 直接鏈接到惡意軟件的可執行文件上; 鏈接到另一個企圖自動安裝惡意軟件到用戶電腦的網站; 或者是含有大量鏈接到其他主要是寄存或傳播惡意軟件的網站。 有一些方法可以判斷你網站上的鏈接是否違反了我們的指南。檢查你的所有鏈接,看是否有些鏈接會讓用戶下載其他網站上的惡意軟件,或導致用戶去訪問其他網站上已被惡意軟件感染的網頁。(我們建議你在找惡意軟件的時候用一個虛擬機,以避免損壞你自己的電腦)。以下方法也可能是有用的:通過搜索你的網站的源代碼來并尋找到不明網站的鏈接,特別是到可執行文件的鏈接。可執行文件的擴展名包含.exe, .bat, .cmd, .scr, 以及.pif。有的應用軟件可讓您對一個網頁的惡意鏈接進行掃描。你也可以使用這些應用程序來幫助決定是否鏈接到該網頁。 您也可以把StopBadware報告以及我們的惡意軟件網站清除站作為一種資源。你可以查詢我們的數據庫來得到你已經鏈接到的或者是想要鏈接到的網站和軟件的信息。 3. 通過你網站上的廣告傳播的惡意軟件 在你的網站上發布的廣告是另一種惡意軟件的潛在來源,因為大多數的廣告包含到一個外部網頁的直接鏈接。關于通過鏈接找出惡意軟件的指南信息,請參閱第以上的1.2節。如果你在你的網站上展示第三方的廣告,請確保那些鏈接不被引向不良軟件或被惡意軟件感染的網頁。評估通過廣告傳播的軟件的方法類似于在上面第1.1節描述的方法("你的網站有可以下載的惡意軟件")。 您也可以把StopBadware深度報告以及我們的惡意軟件網站清除站作為一種資源。使用我們的數據庫來檢查你正在考慮使用的廣告網絡,以了解是否有其他網站已經因為那些廣告商而產生了惡意軟件的問題。 4. 貼在你網站的用戶區上的惡意軟件鏈接 如果在你網站的任何部分,用戶可以張貼或上傳內容,這些地區可能是一個潛在的惡意軟件或惡意軟件鏈接源。關于惡意軟件和惡意軟件鏈接,請參閱上面的1.1節及1.2節。 5. 你的網站受到黑客攻擊 另一種常見的惡意軟件網站來自黑客攻擊。黑客攻擊是第三方在安全性很低的網站上插入代碼或可執行文件。一個常見的例子是"注入攻擊",即黑客利用安全漏洞來在你的一個網頁上注入有害代碼。通常這個代碼對你及你的用戶來說是不可見的,但它會在一個訪問者的電腦后臺觸發惡意軟件的下載。你經常通過察看你的網頁的源代碼來發現這種攻擊是否發生,從而確定它是否包含你從來沒寫過的任何代碼。 兩種常見的"注入攻擊"類型是: 無形的隱藏框架(invisible iframe) Iframe標簽是一種HTML標簽。一個iframe在一個網頁上創建一個小"窗口",在這個內嵌窗口中可以載入另一個頁面。Iframe并非總是用于不可告人的目的; 它被經常用來,舉例來說,在博客中嵌入一個視頻。當惡意黑客使用它時,iframe可以被設置成小到看不見。訪問受感染網頁的用戶永遠不會知道另一頁也在小iframe窗口里被載入。如果你在你網站上的一頁中看到一個iframe的寬度是"0",高度也是"0"的代碼,你就找到了一個看不見的iframe。Iframe最常見的是被插在網頁源代碼的最上端或最底端。檢查iframe應首先檢查開始網頁標準代碼的標簽前,或結束網頁代碼的< / html >標簽后。 混淆代碼 (Obfuscated Code) 混淆代碼或腳本通常被隱藏在你的網站正常代碼中,所以他們可以很難被察覺。這些代碼是專門為了防止自動化查找工具發現他們。混淆代碼不一定是惡意軟件; 一些合法的編程者故意混淆編碼以防止他人復制自己的工作。但是,如果你為你網站寫的代碼并不是想故意混淆,找到一塊混淆代碼可能說明有一個注入攻擊。最常見的兩種混淆代碼的方式是通過編碼和加密。 編碼有時會很容易被看到,因為編碼或者使用十六進制, "unicode”, 或“寬"字符。如果是十六進制字符,你會看到javascript代碼的字符串由一些百分號后加兩個字符的組合組成(例如%AA%BB%CC)。如果是unicode字符,你會看到字符串由一些"\u"緊隨著四個字符組成(例如:\u0048\u0069\u0021)。一般而言,編碼成這種方式的代碼塊會占用若干段落。如果您在你的網頁源代碼里發現大塊上述模式中的任何一種,它很可能是混淆代碼。 加密代碼更難被找到,因為他們沒有一套模式。然而,加密代碼看上去會像一塊費解的文字。即使你不熟悉javascript編程,你會注意到你的網站上正常的javascript代碼會使用基于常用英語單詞的語法。編碼或加密了的文本看上去就是完全不能理解的字母,數字和符號塊。你應檢查你網站日志來看看有沒有對你所不認識的可執行文件的引用。可執行文件的擴展名包含.exe, .bat, .cmd, .scr, 以及.pif。 雖然大多數黑客的攻擊重點是html代碼,壞軟件本身也有可能被上載到安全性很差的網站。不良軟件可能包括不明的可執行文件(譬如以.exe, .bat, .cmd, .scr, 以及.pif結束的文件),javascript文件,甚至把圖片上傳到您的網站而你并未發覺。有時攻擊者僅僅想利用你的網站來寄存惡意軟件,然后從其它受害網站鏈接到該軟件。這里有一個檢測你的網站是否被寄存了不良軟件的方法,即從你的正在運行的網站中下載所有的源代碼到一個虛擬機,然后使用反病毒或反間諜程序進行掃描。 惡意軟件的清除 如何從你的網站去清除惡意軟件取決于你的網站寄存或鏈接了什么樣的惡意軟件。我們一般建議你在清除惡意軟件和加強安全性之前先使你的網站離線,以防止你的網站訪客者在你清除過程中被不知不覺地感染。 1. 如果你的網站寄存了可下載的不良軟件 從你的網站上刪除不良軟件,不要再讓它可供下載除非你確保它不是壞軟件。你可以在我們的指南里了解更多關于什么是惡意軟件的知識。如果你是一個問題軟件的作者,StopBadware為如何使您的軟件符合我們的指南提供了一些建議。 2. 如果你的站點鏈接到惡意軟件 從你的網站上清除所有到惡意軟件的鏈接。 3. 如果你的網站上的廣告鏈接到惡意軟件 刪除所有鏈接到惡意軟件的廣告。如果你使用一個廣告網絡,這可能意味著從你的網站上刪除該網絡的所有廣告,直到你肯定該廣告網絡是干凈的。你也許可以聯絡你的廣告商,讓他們知道他們在你的網站上的一個或多個廣告是惡意軟件鏈接。 4. 如果惡意軟件是從你的用戶區得到的鏈接 從你的站點刪除惡意軟件的鏈接。你可能要編輯用戶的帖子以消除惡意軟件內容,或刪除用戶的整個帖子。 5. 如果你的網站已經被黑了 首先讓你的網站離線,這樣你網站訪客和你的客戶就不會有訪問風險。然后刪除所有不良代碼,修復所有安全漏洞。最后才把你的網站重新上線。發現并去除特定的黑客插入的壞代碼塊以使你的站點干凈是一時的。要使你的網站將來也不受到感染,你必須修補安全漏洞來防止黑客在你的網站插入代碼。因此,一定要確保消除任何攻擊者留下的后門。黑客留下的后門會使他們重新回到你的網站,即使你封鎖了你的網站。 你的寄存服務商也應該能夠幫助你查出你網站的安全漏洞,所以如果你認為你的網站已經被黑,和他們聯系應該是當務之急。你也可以察看一下你的寄存服務商的論壇,看看使用該寄存服務的其他網站是否也已經被攻破。訪問你網站所使用的軟件的用戶論壇也可以幫你看看有沒有其他用戶因為軟件漏洞而失密,或者是你的網站沒有對該軟件的安全補丁進行更新。 惡意軟件的預防 1. 在讓網站可下載軟件之前進行惡意軟件檢查 請參閱以上的第1.1節了解關于惡意軟件及我們的軟件指南的信息。 2. 在你網站鏈接到其他網址前對鏈接進行惡意軟件檢查 請參閱以上的第1.2節了解我們的關于鏈向惡意軟件的信息。 3. 只使用有信譽、有良心的廣告商,并定期監測以確保他們的廣告是干凈的 確保你的廣告網絡是有信譽的并積極為廣告主屏蔽惡意軟件。如果他們不這么做,趕緊換人,并告訴他們你為什么要換。請記住,一個在你網上的廣告,即使是由第三方提供的,仍然是你的網頁的一部分。你應該只接受來自為保護客戶不受惡意軟件侵害而不懈努力的廣告商。你可以使用StopBadware的報告作為惡意軟件廣告商的一種來源。StopBadware正致力于把最壞的廣告網絡通過報告的形式來曝光,報告我們所看到的被這些廣告提供者害苦了的網站。 4. 監控你網站的用戶區 確保你網站的論壇,博客,和其他用戶區的使用條款中明確禁止鏈接至惡意軟件的帖子。您也可以選擇不讓用戶直接連接到任何形式的可執行文件或插入javascript到論壇帖子或其他用戶生成內容區。你要嚴密監督你網站的這些區域以防止可疑的鏈接或可執行文件。請參閱以上的第1.2節了解我們的關于鏈向惡意軟件的信息。 5. 堵住安全漏洞以防黑客攻擊以下是使你的網站更安全的一些基本步驟: 使用復雜的密碼。 使用SSH和SFTP協議,而不是telnet或FTP。Telnet和FTP都被認為是不安全的,因為他們使用純文本協議。他們傳送的用戶名和密碼可以被任何接入網絡的人讀懂。SSH和SFTP都是加過密的以防止竊聽。 利用漏洞審查掃描器(有免費的和商業的版本)來掃描你的網站的安全漏洞。使用安全更新管理工具,以查找被錯過的補丁。一旦找到,要立即應用補丁程序。 跟蹤你網站或者你的網站寄存商使用的軟件的最新消息,永遠運行最新版本,其中包括安全補丁。訂閱,并定期閱讀你的寄存服務商和軟件提供商的任何通訊或警報。 確保你的寄存服務商保持所有軟件的更新,包括安全補丁。如果它們不這么做,敦促他們這樣做或轉換到另一家能為客戶的網站安全竭盡全力的網站寄存服務商。 當你的網站變得干凈、安全后再重新上線,你可能想通知你的訪問者你們所遇到的惡意軟件問題,以及你解決問題的措施。如果一個用戶因為訪問了你的網站而已感染了惡意軟件,讓他們知道你的發現會幫助他們清理他們的計算機。講述你的故事可以幫助其他管理員處理在自己網站上的類似情況。如果你想和其他站長分享你如何清潔你的網站的故事,或者想分享如何保持網站安全的小技巧,請訪問我們的討論組。 這一頁是一個不斷被更新的資源。如果你有進一步的問題或建議作為補充,請加入我們的討論組分享你的想法。 (本站大部分文章來自網絡收集和整理,如有侵權請聯系我們,24小時內處理.) |