h

拥有自己的网站已经够难了。除了添加内容、增加受众、维护内容之外,现在你还必须小心恶意软件可能通过你喜爱的网站传播?

根据帕洛阿尔托网络公司最近的报道现代恶意软件评论,“90%的未知恶意软件是通过网络浏览传播的。”

这证实了大多数基于网络的感染在被主要的防病毒产品检测到之前在雷达下飞行了几个小时/几天。

在我们之前的博客文章中,我们讨论了如何网络利用影响最终用户的机器并提供恶意有效负载。

让我们来看看隐藏恶意软件的网站和网络服务器,以及如何更好地保护你自己的网站。

有数百万个网站,获得自己的过程是相当微不足道的。毫无疑问,易于部署网站和相对低成本的人对我们所面临的许多安全问题负责。虽然您可能会将网站视为个人博客,电子商务网站或论坛,但坏人认为它是一种资源,有很多目的:

  • 免费托管非法/有版权的文件。
  • 托管恶意软件,网络钓鱼和假制药页面。
  • 发送垃圾邮件(恶意软件可以在网站上运行,就像它在桌面计算机上执行)。
  • 游戏谷歌的SEO排名算法填满页面的反向链接。
  • 执行拒绝服务攻击,使其他网站脱机。

寻找缺陷

主导的Web服务器软件是Apache,它在Linux上运行。虽然存在广泛接受的信念,即Linux比Windows更安全,攻击者不断地被攻击者攻击到专业的Pentesters。

让我们回顾一些最常见的原因,为什么网站被黑客攻击:

偷来的用户凭证

你可以通过登录控制面板或者从你最喜欢的博客软件比如WordPress登录页面来访问你的网站。偶尔,你也可以使用FTP程序来上传文件。如果恶意软件出现在你的电脑上,它碰巧是一个键盘记录器或其他类型的密码窃取者,你输入的所有内容,以及你的配置文件,都可能被收集并发送回坏人。同样,从免费的Wi-Fi热点或不安全的接入点登录你的网站会暴露你的密码。

密码薄弱

大多数攻击者保留默认的“admin”用户名,并通过执行称为蛮力攻击的技术选择易于猜测的密码。这包括尝试数十万个密码,直到其中一个密码匹配为止。如果你用一本典型的字典或一个可爱的宠物名字,你还不如把你房子的钥匙给坏人。

软件漏洞

网站运行多个软件程序,以呈现页面、存储客户数据等。如果这些错误配置不当或过时,远程攻击者就可以利用大量错误来访问系统。

危险的配置

Linux安全性的一个非常重要的方面是文件权限。然而,这是一把双刃剑,因为如果设置得当,文件权限可以使站点非常安全,反之亦然。许多人不太了解权限,或者干脆将其完全禁用,以便安装抱怨限制的插件。您可以在此中阅读有关文件权限的更多信息博文

一种流行的攻击方法,允许无数脚本的欺诈网站和扩展恶意软件被称为远程文件包含(RFI)。它包括将Web服务器施加到思考它应该打开一个文件,就像它通过将特定的参数传递到URL即可在本地居住。远程文件可能是任何东西,但黑客将使用脚本,也称为“shells”(稍后更多),以便在网站上直接访问访问和执行管理操作。

拥有这个盒子

攻击者的最终目标是完全拥有目标系统,即所谓的根系统。除非您拥有管理凭证,否则您的本地用户帐户的权限非常有限,不允许您更改网站的核心部分。同样,web服务器有足够的漏洞来利用用户的权限提升到root。

在大多数情况下,攻击者会重用公开可用的漏洞,可能会稍微调整它们,向好友添加签名或消息。即使使用了几年的漏洞仍然有效,这显示了网站安全的一大问题:缺乏安全维护。对于补丁程序,主机提供商和客户之间也存在一些混淆。有些供应商不会为你执行升级,特别是如果你安装自己的内容管理系统(WordPress, Joomla!Drupal)。原因有很多:

  • 成本:当你每月只支付几美元的网站托管,你的供应商不会浪费时间和金钱故障排除你的网站。
  • 职责:如果在站点上执行更新会破坏数据库或其他关键部分,这是一个相当大的责任。你的托管公司不是网页开发工作室。

问题是,大多数网站所有者错误地认为一切都已得到妥善处理,或者网站出于某种原因“免疫”安全问题。

预防是很重要的

  • 仅从您信任的设备管理您的网站,这些设备是没有恶意软件的设备。如果你不确定,为什么不跑我们的必威平台APP伪反恶意软件程序
  • 不要使用免费的Wi-Fi热点(比如你当地的星巴克)来管理你的网站。如果您必须,请使用一个免费或便宜的VPN程序加密您的连接。
  • 保持你的网站更新,就像你会(或应该)保持你的电脑修补。如果你使用WordPress,主仪表板会告诉你何时有更新可用。
  • 如果花时间保护您的站点不适合您,那么您可能需要多花一点时间来进行“托管”,这是一种包办一切的解决方案。
  • 使用强密码并定期更改它们。
  • 每月至少备份一次站点。

对于那里更高级的用户来说,让我们卷起我们的袖子并深入挖掘。

网络恶意软件与我们在Windows平台上看到的非常不同。首先,还有很多脚本(与编译后的二进制文件相反)可以用Perl、PHP、Python或流行的Unix shell语言bash编写。这样的脚本也被称为“后门”或“shell”,因为一旦上传到网站(例如我们前面讨论的远程文件包含),它们就允许不受限制的远程访问。

一个叫做C99的流行shell可以让攻击者直接从浏览器浏览整个网站的内容:

壳

图1:C99 Shell:黑客的最爱

此外,此shell允许您删除和添加文件,转储数据库,甚至更改文件权限。

在几乎所有涉及网站入侵的案例中,你都会发现某种后门。它可能没有完整的图形界面,但只要允许黑客远程访问,就足以让网站处于他们的控制之下。从本质上讲,shell的大小非常小,并且会试图隐藏在特定的目录中,如果不可能,则会隐藏在权限更宽松的文件夹中,比如/images,因为这是注入它们最容易的地方。

如何识别后门

访问您的文件

如果您试图搜索恶意文件,您将需要访问您的网站内部。可以通过FTP、SFTP或SSH实现。FTP是一种使用FileZilla或CuteFTP等客户端上传文件的老式方式。我推荐使用SFTP,它支持加密(而不是使用FTP明文发送登录凭据)。到目前为止,访问web服务器的最好方法是通过SSH使用命令行终端。请记住,这需要对Linux命令有一定的了解,而且看起来有点难以应付。最后,你当然可以使用你的虚拟主机公司的控制面板(Cpanel和Plesk)来浏览你的文件。

plesk

图2:Plesk控制面板

文件名称模式/位置

尽管不是一种非常可靠的方法,但通过名称搜索恶意shell可以获得一些好的结果。许多黑客都懒得重新命名他们上传的后门。因此,如果您看到一个名为c99.php或r57.php(两个非常流行的后门程序)的文件,那么您几乎可以肯定它是坏的。坏人使用的另一个技巧是用另一个扩展名重命名这些文件,比如“.txt”,所以也要注意这些扩展名(例如c99.php.txt, r57.php.txt)。

查看插件或图像通常居住的文件夹可以非常透露,如果您搜索在那里没有业务的文件。

c99

图3:隐藏在图像中的后门

文件修改日期

如果你的网站最近被黑了,但还好,比如一个月前,那么你就有东西可做了:时间戳。寻找任何最近添加或修改的文件,对待是可疑的。

文件权限和所有权

正如我们前面所说的,文件权限和所有权对于保证网站的安全至关重要。与此同时,许多被上传的后门经常会显示不寻常的属性,或者属性再次与周围的其他文件“不相称”。因此,如果您看到一个具有“777”权限的文件,应该立即发出危险信号。请参阅此文章了解有关文件权限和所有权的更多信息。

文件内容

识别后门的一个更强大的方法是在文件本身中搜索模式和字符串。这就是诸如grep之类的Linux命令的知识发挥作用的地方。当然,这依赖于有一个保持最新的恶意字符串或模式列表。在许多方面,您可以将其与防病毒签名和恶意软件数据库进行比较。

filesman

图4:另一个叫做“文件人”的后门

日志分析

当其他方法都失败时,日志分析是你最好的朋友。可以把日志文件想象成调查人员为了了解更多事故信息而恢复的黑匣子。日志包含在您的网站上发生的所有事件的跟踪,按时间戳排序。有两种类型的日志经常被提到:Apache的访问日志和错误日志。每当有人访问您站点上的页面时,就会在Apache的访问日志中创建一个记录。错误日志显示导致错误的命令的条目,通常指示恶意活动,如试图暴力破解登录页面或执行黑客操作。可以想象,日志文件可能会变得非常大,这使得搜索它们非常困难。有工具,比如奥斯克这让这个过程更容易一些。

如果你正在使用你的网络主机的控制面板,日志可能被定位如下图所示。

日志

图5:显示Apache日志的控制面板

完整的网站妥协

在你的网站上注入一个后门只是一系列后续事件的第一步。一旦攻击者能够控制您的服务器,它就会想要执行某种类型的操作。请注意,大多数(如果不是全部)站点妥协是自动化的,这意味着没有人坐在终端上攻击您的特定站点。自动化脚本不断地探测线路,以攻击任何易受攻击的地方。

如前所述,您的网站可以利用来做各种各样的事情。让我们来看看一些最常见的动机以及它是如何完成的。

垃圾邮件(AKA Pharma Hack)

看来垃圾邮件是长期存在的。很少有人知道,医药垃圾邮件也会影响网站。虽然网站所有者可能看不到,但制药垃圾邮件肯定会被搜索引擎发现。突然间,你们的网站开始推销假药和其他可疑产品。这不仅会占用大量的带宽,还会把网站放到谷歌的黑名单中,从而导致搜索排名的结果。

制药公司

图6:合法网站广告各种毒品

制药公司的黑客攻击很难根除,因为它经常深埋在网站的文件甚至数据库中。关于这个主题的更多信息,我推荐这个优秀的免费资源

恶意软件

利用你的网站传播恶意软件可能是网站妥协背后最流行的动机。一个合法的网站已经有了流量,甚至可能有了良好的搜索引擎优化排名,对黑客来说不需要花费任何费用。最值得注意的是,如果它被列入黑名单,谁将承担后果?你和黑客可以再找一个受害者。

虽然一些网站被用来承载恶意软件,但大多数只是重定向链的一部分,这让当局更难找到罪魁祸首。因此,该网站的主要目的是将您的合法访问者重定向到恶意网站。一种方法是破解一个名为.htaccess的核心Apache文件。这个文件有多种用途,实际上可以配置为防止坏人进入。同时,它也是黑客植入恶意重定向代码的首选文件。大多数拥有网站的人可能从未听说过。htaccess,也就是说,直到他们被黑的那一天。

htaccess.

图7:.htaccess文件中的恶意重定向代码

上面的图片显示了一个典型的重定向,也称为条件重定向。条件是,访问您的站点的访问者必须来自上述站点之一(主要是搜索引擎)。如果条件匹配,则规则是将访问者直接发送到坏人的网站。这个小技巧非常有效,可以让网站的所有者在你的雷达下进行重定向,因为你很可能总是直接输入URL到你的网站,而不需要通过搜索引擎来访问它。

另一种重定向流量的方法是入侵网站的CMS(内容管理系统)。如果您使用WordPress或Joomla!,你知道他们需要PHP,一种通用的服务器端脚本语言。核心PHP文件很容易被注入恶意内容,就像Windows文件被病毒感染并仍能正常工作一样。在许多情况下,恶意代码会插入页面的顶部或底部,但这绝不是一个标准。

如果你浏览你的网站并查看它的源代码,你可能会看到这样的东西:

注射

图8:用于推送恶意软件的注入代码

如果你直接从你的服务器访问受感染的文件(通过FTP/控制面板/SSH),你可能会看到:

phphack

图9:恶意混淆脚本

您看到不同之处的原因是,PHP作为一种服务器端脚本语言,将把页面呈现给客户机(从外部浏览您的站点的人),而不暴露底层代码。

不管怎样,坏人喜欢使用加密或编码,尤其是Base64编码。我们的目标是对代码进行足够的模糊处理,使其更难真正了解它的功能,尤其是在进行字符串或模式搜索时。此外,base 64还用于合法用途,因此如果不产生误报,就不能完全将其标记为坏。Sucuri提供了一个很酷的服务,可以让你去除Base64和其他编码;过来看在这里

流氓模块和rootkit

坏人想要在你的网站上建立一个长期和不被发现的存在。侵入。htaccess文件或PHP文件太明显了,很容易清理。由于这个原因,我们看到越来越多的高级恶意软件二进制文件,甚至是难以识别和删除的rootkit。

入侵整个网络服务器可能需要更多的工作,但也会带来巨大的回报。毕竟,当坏人可以通过破坏一个服务器来控制成百上千个网站时,他们为什么要浪费时间一次入侵一个网站呢?

在最近的新闻中,我们听到了这样的消息妥协影响Apache,例如LinuxCdorked后门.我们看到的是更复杂的网站妥协,动态的恶意负载只向同一受害者发送一次,内置先进的机制来击败爬行器和蜜罐,以逃避检测。

就在上周我们听说德国网络托管公司Hetzner遭到黑客攻击,客户数据泄露。报告指出,攻击者使用了一个前所未有的带有后门组件的rootkit。这显示了坏人是如何迅速地爬上这条链条,人们只能想象黑客在源头上的潜力。

那么Linux恶意软件是什么样的?如果您掌握了样品,您可以首先在静态分析它。在下面的例子中,我们将乘坐现在着名的CDORKED后门,负责那些隐身的APACHE感染。当文件首次浮出水面时,实际上未被发现,只有一旦公开就慢慢获得主要防病毒供应商的更多通用签名。说法被告知,收获这种恶意软件是困难的,需要从托管提供商的root级访问以及与托管提供商的合作。

Linux中的文件命令将显示二进制格式(ELF),并且为64位处理器编译它。

fileinfo

图10:文件命令显示有关二进制文件的信息

如果您有兴趣签出它的部分,另一个命令(objdump–h filename)将列出它们。

部分

图11:查看二进制部分

在所有这些部分中,以下是最重要的:

  • .text:包含可执行代码。
  • .rodata:包含字符串常量。
  • .data:它包含初始化的数据。
  • .bss:包含未初始化的静态变量。

另一个nifty命令可以向您展示字符串转储:字符串文件名|更多的。

弦

图12:二进制字符串转储

虽然它无法保证,但有时可以了解代码中的内容。但是没有什么比拆卸文件,以真正达到其核心。这是一个更繁琐而冗长的过程,我们现在不会进入。但是,知道所有这些都可以通过本机Linux命令和一些其他开源程序来实现。

分开的想法

正如你所看到的,网络服务器恶意软件已经发展了很多年,就像它的传统客户端对手一样。当那些投资了大量资金和技术的主要主机提供商被黑客攻击时,人们不得不怀疑我们是否真的能免受网络罪犯的攻击。事实是,在大多数情况下,如果你运行自己的网站并进行(或让一家公司进行)持续的维护和预防,你最有可能是安全的。在安全领域,你永远不能说永远不可能,这就是为什么当发生什么事情时备份是如此重要。

大多数确实遭到黑客攻击的网站都在一个或几个方面出现了故障,例如密码弱、配置糟糕的系统自实施以来从未更新,以及主机提供商在所有方面都很便宜。在某种程度上,你可以将你的网站与你的汽车进行比较。如果你把最便宜的汽油放进去,永远不要把它交给修理工维修,而且总是不上锁,你很可能会遇到一些问题。

有用的链接:

StopBadware: StopBadware.org及其社区论坛BadwareBusters.org致力于打击网络恶意软件,并在这个问题上教育人们。它还为受感染的网站运营着一个大型URL信息中心。必威平台APP恶意软件字节是阻止恶意软件的一种赞助合作伙伴必威客服app

谷歌网站管理员工具当谷歌把他们的网站列入黑名单时,很多人都很生气,但这通常有一个或多个原因。如果您的站点被感染,并且您正在恢复中,那么这是一个必须访问的资源。

Sucuri SiteCheck:此免费扫描仪将检查您的网站是否存在恶意软件,并检查其是否已列入任何黑名单。

RedLeg当前位置有一些好心人,他们致力于在论坛上帮助他人。这个人就是这样,他也在他的网站上提供了大量有用的提示。