網(wǎng)站暗鏈問題淺析

■山東 王大龍

近期的一次網(wǎng)絡(luò)安全通報(bào)中，一家委托我們單位管理的網(wǎng)站被通報(bào)藏有暗鏈。收到安全通報(bào)后，我們首先了解了這個(gè)網(wǎng)站的基本情況，這個(gè)網(wǎng)站所在的服務(wù)器上，除了這個(gè)被通報(bào)的網(wǎng)站外，還有幾個(gè)其他幾家托管網(wǎng)站，所以我們對(duì)這個(gè)通報(bào)還是相當(dāng)重視的，如果多個(gè)網(wǎng)站都存在問題的話，那么影響面就會(huì)比較大，后果也會(huì)比較惡劣，這些網(wǎng)站都是托管在我們單位服務(wù)器上的，當(dāng)時(shí)開發(fā)的源代碼都不是由我們負(fù)責(zé)編寫的，而且這些網(wǎng)站由不同的開發(fā)公司負(fù)責(zé)開發(fā)，這讓問題的處理顯得更加棘手。當(dāng)然，也正是由于這些網(wǎng)站的開發(fā)公司不同，我們預(yù)計(jì)到會(huì)存在各種不同的漏洞，所以這臺(tái)服務(wù)器進(jìn)行了相應(yīng)的安全加固，總體來說安全性比較高。為了處理這個(gè)網(wǎng)站中存在暗鏈的問題，我們先來了解下暗鏈。

暗鏈也稱為黑鏈，正如它的名字所描述的一樣，是一種在頁面上不可見或極易被忽視的超鏈接，它盡量不去破壞網(wǎng)頁原有的結(jié)構(gòu)。雖然這些超鏈接在網(wǎng)頁頁面上是“不可見”的，但是仍然可以在網(wǎng)頁源代碼中看到，所以搜索引擎仍然可以通過分析網(wǎng)頁的源代碼收錄這些鏈接。暗鏈和普通超鏈接沒有太大的不同，而且沒有實(shí)質(zhì)性的威脅，所以大部分安全軟件很難準(zhǔn)確地判斷網(wǎng)站是否存在暗鏈，這就導(dǎo)致很多網(wǎng)站都存在黑客惡意插入暗鏈的現(xiàn)象。

暗鏈的危害

其實(shí)暗鏈對(duì)于普通用戶沒有實(shí)質(zhì)性的危害，但是暗鏈所指向的網(wǎng)站通常是不正規(guī)的網(wǎng)站，甚至是非法網(wǎng)站。據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示，暗鏈所指向的網(wǎng)站主要有以下幾種類型：網(wǎng)游私服、醫(yī)療、博彩、色情、股票內(nèi)幕信息和網(wǎng)游外掛，這些網(wǎng)站在通過大量暗鏈增加權(quán)重后，會(huì)排在搜索結(jié)果的前列。當(dāng)用戶搜索某一特定關(guān)鍵詞時(shí)，可能被欺騙至這些網(wǎng)站。

暗鏈的植入方式

暗鏈的植入方式大致有兩種：一種是web應(yīng)用開發(fā)廠商在應(yīng)用中植入的，還有一種是黑客入侵網(wǎng)站之后植入的。從實(shí)際檢測(cè)情況來看，前者的比例相對(duì)較少，也就是說，如果一個(gè)網(wǎng)站存在暗鏈，那么就說明這個(gè)網(wǎng)站很可能已經(jīng)被黑客成功入侵，網(wǎng)站的注冊(cè)用戶信息可能已經(jīng)泄露，網(wǎng)站提供下載的資源可能被綁定了木馬或后門。

自動(dòng)化掛鏈程序的出現(xiàn)導(dǎo)致大批網(wǎng)站受害。自動(dòng)化掛鏈程序可以自動(dòng)對(duì)大批網(wǎng)站發(fā)起掃描并針對(duì)具體漏洞進(jìn)行攻擊，成功獲得權(quán)限后可以自動(dòng)向網(wǎng)頁或數(shù)據(jù)庫中插入暗鏈代碼。不過，值得慶幸的是，自動(dòng)化程序所能利用的漏洞相對(duì)較少，目前主要針對(duì)FTP權(quán)限設(shè)置漏洞、少數(shù)SQL注入漏洞和后門。

了解了主要的暗鏈植入方式后，我們對(duì)自己的網(wǎng)站進(jìn)行了分析。由于同一臺(tái)服務(wù)器上還有其他網(wǎng)站，但是其他網(wǎng)站并沒有被通報(bào)存在暗鏈的問題?；谶@臺(tái)服務(wù)器本身做過安全加固，安全性較好，并且通過查看日志，也沒有發(fā)現(xiàn)入侵痕跡，所以基本排除了服務(wù)器被攻破的可能。由于這個(gè)網(wǎng)站的開發(fā)公司不是我們單位，我們只是代為管理，所以不排除網(wǎng)站開發(fā)公司在網(wǎng)站中植入暗鏈的可能性。我們咨詢了開發(fā)公司，并要求他們對(duì)代碼進(jìn)行檢查，并提供網(wǎng)站完整的源代碼，問題基本上就確定是這個(gè)網(wǎng)站本身代碼有問題了，我們利用D盾對(duì)網(wǎng)站代碼進(jìn)行了掃描，發(fā)現(xiàn)代碼本身存在著后門，黑客很容易通過后門對(duì)此網(wǎng)站加掛暗鏈，并且這個(gè)后門可以繞開我們的安全防護(hù)機(jī)制，暗鏈的加掛被認(rèn)為是正常的信息維護(hù)更新，這就解釋了為什么單獨(dú)這個(gè)網(wǎng)站被加掛了暗鏈，而且安全防護(hù)機(jī)制都沒起到效果。

暗鏈的處理方法

暗鏈大都是網(wǎng)站被入侵之后植入的，所以修補(bǔ)安全漏洞、清除后門是防治暗鏈的根本。單純清除暗鏈代碼，黑客仍可以通過漏洞或后門侵入網(wǎng)站，再次植入暗鏈，甚至?xí)h除整個(gè)網(wǎng)站。有些小網(wǎng)站懾于黑客的威脅，甚至不敢刪除暗鏈代碼，若一個(gè)網(wǎng)站已經(jīng)被入侵過了，單純修補(bǔ)安全漏洞是不夠的，黑客入侵一個(gè)網(wǎng)站之后，往往會(huì)留后門，以便下次入侵，后門不僅僅限于web層面，還可能涉及到操作系統(tǒng)層面，例如系統(tǒng)隱藏賬戶、終端服務(wù)開啟、遠(yuǎn)程控制軟件等，這就需要我們更加深入地對(duì)網(wǎng)站做一個(gè)全面檢測(cè)。

從前面的分析可以看出，我們服務(wù)器本身沒有受到攻擊，只是這個(gè)網(wǎng)站的程序代碼中存在后門。因此，我們首先對(duì)網(wǎng)站的代碼進(jìn)行了修改，將網(wǎng)站的后門問題處理掉。由于網(wǎng)站中存在的暗鏈很難全部被發(fā)現(xiàn)和刪除，因此為了徹底地清除掉這些暗鏈，我們將網(wǎng)站的文件全部刪除掉，又重新對(duì)網(wǎng)站進(jìn)行了部署，部署之后又更新了部分信息，并重新對(duì)網(wǎng)站進(jìn)行了安全漏洞和后門的掃描。從掃描結(jié)果看，后門問題已經(jīng)被解決了。除此之外我們也對(duì)服務(wù)器的安全策略進(jìn)行了升級(jí)，進(jìn)一步提升了安全性。

如何有效防止暗鏈出現(xiàn)

在處理完網(wǎng)站的暗鏈之后，我們更關(guān)心的是如何能夠有效地防止暗鏈的出現(xiàn)呢？

1.經(jīng)常查看自己網(wǎng)站的源代碼，形成良好的防黑意識(shí)。

我們知道，一般情況下，黑鏈被黑客掛在首頁的最多，或許某些出售黑鏈的朋友也會(huì)有喜歡掛在網(wǎng)站內(nèi)頁的喜好，這樣可以稍微加深一點(diǎn)難度，所以我們需要經(jīng)常查看網(wǎng)站的源代碼，方法是：點(diǎn)擊網(wǎng)站文字位置或空白地方右鍵，我們發(fā)現(xiàn)有一個(gè)“查看源文件”的選項(xiàng)，點(diǎn)開即可查看。

2.查看網(wǎng)站文件的修改時(shí)間。

每個(gè)網(wǎng)站文件都有自己的修改時(shí)間，要是沒修改時(shí)間，系統(tǒng)會(huì)按照文件的創(chuàng)建時(shí)間來顯示，如果現(xiàn)在這個(gè)網(wǎng)站的上傳時(shí)間是8月8日，那么大部分文件都是8月8日的，突然看到某個(gè)文件的修改時(shí)間變成了與現(xiàn)在相近的時(shí)間，那么這個(gè)文件就有可能已經(jīng)被人家動(dòng)了手腳，被修改了文件源代碼，掛了暗鏈，現(xiàn)在最好把這個(gè)文件下載到本地，詳細(xì)查看一下文件源代碼里有沒有掛黑鏈的痕跡。

3.巧用站長工具里的“網(wǎng)站死鏈檢測(cè)”功能來檢查黑鏈。

可以到各大站長網(wǎng)上找到站長工具，利用“網(wǎng)站死鏈檢測(cè)”功能，查看到網(wǎng)站頁面的所有鏈接，這個(gè)工具即可以查看網(wǎng)站里面的鏈接是否可以訪問，也可以顯示出網(wǎng)站頁面里所有的鏈接，當(dāng)你發(fā)現(xiàn)有未知名的鏈接時(shí)，馬上采取相關(guān)措施刪除掉此鏈接，因?yàn)樗锌赡苁前垫湣?/p>

4.經(jīng)常修改網(wǎng)站后臺(tái)管理系統(tǒng)的用戶名和密碼。

有的用戶后臺(tái)管理系統(tǒng)密碼設(shè)置得很簡(jiǎn)單，有的用戶使用原始密碼不進(jìn)行修改，自己都沒有一點(diǎn)安全意識(shí)，這種情況下，網(wǎng)站很容易就被攻破了。我們需要設(shè)置復(fù)雜一點(diǎn)的密碼，可以設(shè)置為數(shù)字、字母、特殊符號(hào)相結(jié)合的密碼，并做到定期地修改密碼，不要等到被掛黑鏈了才想起來需要修改密碼，否則就來不及了。如果后臺(tái)管理系統(tǒng)的密碼都被盜用的話，再多的安全措施也都沒有作用了，因?yàn)檫@相當(dāng)于是通過正常的方式來添加信息，安全措施是不會(huì)起作用的。

5.巧用站長工具里的“同IP站點(diǎn)查詢”功能。

通過這個(gè)工具，可以查詢到跟你網(wǎng)站在同一服務(wù)器的部分網(wǎng)站，如果你自己的網(wǎng)站被掛黑鏈了，那么你就可以再查一下同一服務(wù)器的其它網(wǎng)站，當(dāng)查到其他的某個(gè)網(wǎng)站也有被掛黑鏈的時(shí)候，我們就可以懷疑到服務(wù)器安全的問題了，而不是自己網(wǎng)站程序的漏洞問題，那么接下來就是對(duì)服務(wù)器安全策略進(jìn)行升級(jí)了。

網(wǎng)站防止暗鏈入侵的方法有很多，但只要我們平時(shí)養(yǎng)成一些良好的防黑意識(shí)，網(wǎng)站還是比較安全的，我們只能盡量做到安全，沒有人敢說他的網(wǎng)站永遠(yuǎn)安全、永遠(yuǎn)平安無事，因此，我們平時(shí)還要養(yǎng)成良好的網(wǎng)站數(shù)據(jù)備份習(xí)慣，萬一真的被入侵了，啟用我們的備份就可以了。