劉有才

張女士是某上市企業(yè)的CIO,剛才被總經(jīng)理訓斥了一頓,原因是用戶在Google上搜索公司站點,居然被提示“該網(wǎng)站可能含有惡意軟件有可能會危害您的電腦”。

作為一家上市企業(yè),網(wǎng)站就是企業(yè)在網(wǎng)絡上的形象,被提示含有惡意軟件是一件無法容忍的錯誤,于是張女士很快找來了安全專家進行分析。依據(jù)專家建議,張女士修補了網(wǎng)站漏洞并申報取消了小尾巴提示。為了避免再次長上“小尾巴”,張女士還選擇購買了安星網(wǎng)站掛馬檢測服務,定期對網(wǎng)站頁面進行檢查,并同時部署了天清入侵防御系統(tǒng)作為阻隔攻擊的防線。

Google的“惡評”

很多人都曾看到過Google的小尾巴提示:訪問該網(wǎng)站可能會損害您的計算機!這個提示意味著什么呢?由于Google與StopBadware.org合作,而StopBadware所公布的指南會羅列出帶有惡意軟件問題的網(wǎng)站,無論該網(wǎng)站的問題產(chǎn)生是有意而為,還是黑客通過不良的惡意軟件寄存手法產(chǎn)生,Google都會在搜索結果中給出用戶提示。

一般情況下,一個網(wǎng)站是否為攜帶惡意軟件的網(wǎng)站,StopBadware會根據(jù)如下行為進行判斷:

·在網(wǎng)站上直接寄存或傳播惡意軟件;

·自動重定向到一個寄存或傳播惡意軟件的網(wǎng)站;

·鏈接到惡意軟件的可執(zhí)行文件,無論是寄存在自己的網(wǎng)站或其他網(wǎng)站上;

·鏈接到另一個企圖自動安裝惡意軟件到用戶電腦的網(wǎng)站;

·使瀏覽器自動從另一個網(wǎng)站加載代碼,然后企圖在用戶計算機上安裝惡意軟件。

StopBadware所提供的網(wǎng)站指南,也包括一些例外的情況:

·為探測和刪除惡意軟件而做出不懈努力的下載中心;

·從事合法,非營利性惡意軟件研究或教育的網(wǎng)站或網(wǎng)頁;

·自動、綜合的索引網(wǎng)站。

清理Google小尾巴

當網(wǎng)站出現(xiàn)了Google小尾巴,用戶需要通過兩個步驟來解決這個問題:其一就是增強系統(tǒng)防御能力,避免再次中招;其二就是向Google申請去掉這個小尾巴。

Google小尾巴是被黑客實施XSS攻擊后的一種最常見表現(xiàn)形態(tài),作為普通用戶來說,如果看到準備訪問的站點被掛上了這樣一個小尾巴,多數(shù)人不會有膽量繼續(xù)訪問該網(wǎng)站,

出現(xiàn)小尾巴了該如何處理?由于這個小尾巴是網(wǎng)站頁面存在或自動跳轉/鏈接到惡意軟件站點導致的,所以,最關鍵的操作步驟就是清理惡意代碼和鏈接。

通過檢索網(wǎng)站的源碼,嵌入的惡意代碼或惡意鏈接一般都能找到。但需要注意的是,這些代碼或鏈接通常會以16進制字符顯示,需要轉化為標準字符串后才能方便人工分析識別。

在清理完成后,并不意味著工作就完成了,還需要做如下兩步,來徹底去掉小尾巴:

1. 到 StopBadware.org 申請重新索引。

2. 到Google網(wǎng)站管理員工具中的診斷選項中“申請審核” 并填寫相關資料。

對應到上面的案例中的去掉小尾巴,網(wǎng)站就可以恢復正常。當然,針對Web服務器被Google掛上小尾巴,我們僅申請去除小尾巴也是不夠的,還需要找到問題原因,進行相應的增強,并委托專業(yè)人士進行安全服務,部署相應安全產(chǎn)品。