烽火18臺之五--如何拯救你我的網站
責編:mhshi |2016-07-14 10:02:51歐洲杯在歷時1個月后,終在11日落下帷幕。作為第三方球迷,首先恭喜葡萄牙,也祝賀C羅,老天奪走了他的下半場,卻還給了這個隊長整個葡萄牙的勝利。他下場時的淚水沒有白流。法國雖然沒能第三次捧杯,但也讓我們看到了一支強隊在歐洲杯的精彩表現。
當然,我們今天的目的不是要寫一篇歐洲杯觀后感,而是和大家聊聊伴隨著歐洲杯,熱度不斷升高的“賭球”。按照我國法規(guī),只要沒有經過國務院特許,在國內擅自發(fā)行、銷售的境外彩票,都屬于非法彩票。而在歐洲杯期間,許多境外的賭博機構,以及一些國內的不法人員私自搭建網站在國內經營在線賭博。其中很多組織動起了搜索引擎的主意,為了能在搜索結果中排名靠前、吸引更多的人訪問、獲取更多的利益,其使用了多種手段來躲避審查、提升排名,在正規(guī)網站中添加暗鏈就是一種常見手段。
央廣網揭秘賭球黑幕
首先我們先來看看央廣網在7月9日發(fā)表的一篇報道《揭秘賭球黑幕:境外集團違規(guī)推廣 政府官網淪陷 搜索引擎被滲透》。
報道中提出了一個現狀,有些搜索引擎搜索“賭球”等名詞時,在首頁就能體現賭博網站,而這些網站卻往往披著政府、事業(yè)單位的外衣。“通過輸入網址進入這些網站都可以正常顯示,而使用‘賭球’這一關鍵詞再進入,就成了賭球網站。”
“暗鏈”黑產浮出水面
如央廣網報道中所指出的這種情況,多數屬于網站被掛“暗鏈”的情況。下面我們就來講講“暗鏈”。
什么是“暗鏈”?
其實“暗鏈”就是看不見的網站鏈接,其概念基本等同于“黑鏈”。其隱藏在正常的網站頁面之下,很難被網站管理者或者搜索引擎發(fā)現。
下圖就是一個被掛了“暗鏈”的網頁源代碼,我們可以看到在這個網頁下被掛了10多個鏈接,而其中主要是賭博網站。
“暗鏈”有什么作用?
說到暗鏈的作用,就要從搜索引擎說起。人們?yōu)榱藦木W絡海量的信息中找到自己需要的內容,發(fā)明了搜索引擎。搜索引擎通過一定的算法,將有價值的信息進行排序并展現給用戶。
搜索引擎在判定一個網站價值時會參考其他網站的超鏈接。如果一個網站A有指向網站B的超鏈接,則搜索引擎會認為A的所有者認定B是有價值的,并樂意將自己的權重分給B。通常一個網站能分給另一個網站的權重很低,但是如果有大量的網站都鏈向該網站的話,積少成多,權重還是很可觀的。“暗鏈”就可以實現大量網站的鏈接指向同一網站的目的。
這種機制也就給黑產帶來了商機。
“暗鏈”與黑產
對于黑產來說,“暗鏈”主要通過入侵網站之后植入,其主要目標為缺少安全監(jiān)測及防護能力,而且可信度較高,分配權重較高的網站。這也就是為什么被植入“暗鏈”的網站多數為地方政府、教育類網站以及事業(yè)單位的原因。而黑產對于“暗鏈”也有明碼標價,下圖就是某寶上的價格說明。
但是“暗鏈”的危害不僅如此,因為網站如果能夠被注入”暗鏈”,往往說明黑客已經通過漏洞入侵了該網站,甚至拿到了一定的權限。利用該權限,黑客可以獲取網站的數據,或者植入木馬及后門。
烽火臺解決“暗鏈”問題
對于“暗鏈”問題的解決可以分為三個階段:監(jiān)控網站發(fā)現“暗鏈”,修補漏洞拒絕入侵,找出后門避免反復。
WebRAY烽火臺-網站監(jiān)控預警平臺從風險控制到態(tài)勢感知,可以幫助用戶發(fā)現網站web層面、系統(tǒng)層面、數據庫、中間件漏洞,提供修補建議;通過網站安全監(jiān)控,幫助用戶第一時間發(fā)現“暗鏈”行為并告警;配合網站后門檢測,杜絕黑客通過后門再次入侵,從根本解決“暗鏈”問題。
在監(jiān)控平臺首頁即可查看所監(jiān)控網站的安全動態(tài),包含各類問題的變化趨勢,從而及時進行決策。
通過查看統(tǒng)計分析中的監(jiān)控站點詳情,即可查看每個網站的可用性、篡改、暗鏈、木馬、釣魚、后門等情況,下圖為監(jiān)控平臺所發(fā)現的“暗鏈”網站,通過點擊即可查看被掛網站及非法鏈接。
通過站點漏洞查詢界面可以查看網站漏洞,除此之外,WebRAY烽火臺還提供對于漏洞更詳細的內容,包括漏洞描述、解決方案、測試用例以及提供三種驗證手段。
下圖為通過烽火臺的瀏覽器驗證功能實現的網頁測試結果。
講了這么多關于“暗鏈”的內容,但其實這只是黑產中很小的一部分。后續(xù)我將給大家?guī)韺τ赪ebshell(網站后門)的講解,面對黑客最為常用的工具,其對應的可能是更大的利益。