防范黑客從點(diǎn)滴做起 六招防御網(wǎng)頁掛馬
網(wǎng)頁木馬能夠在用戶不知覺的情況下改變用戶配置或者下載運(yùn)行非法程序以實(shí)現(xiàn)某種不可告人的目的。當(dāng)用戶訪問某個網(wǎng)站時,如果這個網(wǎng)站中有木馬文件,則會在沒有任何安全提示的情況下,自動下載遠(yuǎn)程CHM文件中的程序并運(yùn)行,或者在后臺運(yùn)行網(wǎng)頁上的惡意代碼。網(wǎng)頁木馬雖然比較可怕,但是向非典一樣,仍然是可防可控的。筆者下面列舉了網(wǎng)頁木馬的常見防范措施,供各位讀者參考。
防范措施一:更改系統(tǒng)的環(huán)境變量
木馬本質(zhì)上是一種程序,一段惡意代碼。其需要運(yùn)行的話,必須要借助于一定的平臺。如VBS、JS平臺等等。如果我們能夠?qū)⑦@些平臺禁用掉,那么即使用戶訪問的網(wǎng)頁中有這些代碼,其也不會對用戶造成損害。因?yàn)槠涓静荒軌蛟谟脩舻碾娔X上運(yùn)行。眾所周知,在操作系統(tǒng)中有一個環(huán)節(jié)變量,在這里可以定義常見應(yīng)用程序的路徑。如果我們在這里將一些比較危險的應(yīng)用程序的路徑去掉,那么木馬就會因?yàn)檎也坏娇梢赃\(yùn)行的平臺而無疾而終。
如上圖所示,我們可以在操作系統(tǒng)的環(huán)境變量中,找到PATHEXT變量名,將這里面的一些經(jīng)常容易被網(wǎng)頁木馬利用的變量值刪除。如可以將VBS、JS等等內(nèi)容刪掉。這些變量是木馬經(jīng)常使用的。不過在更改這個環(huán)境變量的值的時候,需要注意最好能夠事先對其進(jìn)行必要的備份。特別是不能夠確認(rèn)哪些是操作系統(tǒng)或者其他應(yīng)用程序運(yùn)行必須的變量的時候,對這個變量值進(jìn)行備份。這可以防止因?yàn)檎`操作而帶來的損失。
防范措施二:要養(yǎng)成看網(wǎng)頁源代碼的習(xí)慣
一個網(wǎng)絡(luò)安全人員,如何才能夠提高網(wǎng)頁木馬的識別能力呢?俗話說,知己知彼,百戰(zhàn)百勝。筆者認(rèn)為,要提高管理員的木馬識別能力,最好的途徑就是要學(xué)會看網(wǎng)頁的源代碼。最高明的木馬,也需要通過一定的代碼來實(shí)現(xiàn)。只是有些木馬的代碼有一定的隱蔽性與欺騙性而已。為此安全人員需要多查看網(wǎng)頁源代碼。通常情況下,無論多高明的網(wǎng)頁木馬,都會在源代碼中看出一點(diǎn)端倪。通過代碼,可以了解木馬的工作原理、變現(xiàn)形式、欺騙的手段以及未來的發(fā)展趨勢等等。只要了解這些內(nèi)容,在防護(hù)木馬的時候,才能夠?qū)ΠY下藥。當(dāng)然,要能夠看懂這些木馬,具有一定的難度。不過當(dāng)能夠看懂網(wǎng)頁代碼的時候,對于安全人員來說,可能是受益無窮。
當(dāng)我們發(fā)現(xiàn)可疑網(wǎng)頁,可以點(diǎn)擊工具欄上的“查看”按鈕,然后選擇源文件,就可以看到這個網(wǎng)頁的源代碼。如上圖所示。然后分析其可以的代碼。一般來說,網(wǎng)頁木馬代碼雖然有一定的隱蔽性與欺騙性,但是安全人員只要多花點(diǎn)心思,就可以找到相關(guān)的規(guī)律。其實(shí)跟木馬制作者勾心斗角的斗爭,也是很有趣的一件事情。當(dāng)發(fā)現(xiàn)對方的惡意企圖時,你或許會很有成就感。從此一發(fā)不可收拾。
防范措施三:禁用危險的端口與服務(wù)
在默認(rèn)情況下,IE瀏覽器啟用的端口數(shù)量會比較多,這主要是為了方便用戶的使用。但是其也帶來了很多的安全隱患。很多木馬就喜歡使用這些途徑來發(fā)起攻擊。如像FTP、TFTP這些服務(wù),對于普通用戶來說,基本上用不著。而這些服務(wù)以及對應(yīng)的端口就可能成為木馬發(fā)動攻擊的漏洞。為此在必要的情況下,需要禁用FTP等服務(wù)于端口,防止網(wǎng)頁木馬利用這些途徑來發(fā)起攻擊。當(dāng)用戶有需要使用的時候,管理員可以再替用戶打開。雖然這會在一定程度上影響用戶的工作效率,但是相比安全來說,這還是可以接受的。特別是在一些比較重要的場合,更需要這么做。如企業(yè)的財務(wù)部門,現(xiàn)在很多公司都直接使用網(wǎng)上銀行來進(jìn)行付款等操作。如此的話,就不用老是跑銀行。對于這些比較敏感的主機(jī),更加需要禁用不需要使用的服務(wù)與端口,讓木馬沒有可乘之機(jī)。
防范措施四:更新補(bǔ)丁
人無完人。軟件也是。微軟等IE瀏覽器雖然功能比較完善,但是漏洞也比較多。根據(jù)以往的經(jīng)驗(yàn),IE瀏覽器功能越多,其漏洞也越多。從瀏覽器補(bǔ)丁越來越多、發(fā)布的頻率越來越短,就可以知道。而大部分網(wǎng)頁木馬會利用IE等瀏覽器的漏洞來進(jìn)行攻擊。為此,要有效的防范木馬,一個比較簡單的方式就是及時的更新補(bǔ)丁。當(dāng)有新補(bǔ)丁出來的時候,要根據(jù)其危險的級別,確定網(wǎng)絡(luò)中各個客戶端的升級計劃。
不過在升級之前,筆者要提醒大家,要注意與現(xiàn)有應(yīng)用程序的兼容性。如一些外貿(mào)企業(yè),可能有電子口岸等應(yīng)用系統(tǒng)。這些系統(tǒng)都是基于Web應(yīng)用的。在升級瀏覽器補(bǔ)丁時,需要考慮這些應(yīng)用程序?qū)@些補(bǔ)丁的兼容性。為此在升級之前,必要的測試是少不了的。另外有可能還需要進(jìn)行備份。當(dāng)發(fā)現(xiàn)有不兼容的情況時,可能在短時間內(nèi)還是需要先使用以前的IE瀏覽器。特別是像這種有政府背景的應(yīng)用軟件,其升級往往會慢一拍。所以更加需要注意其兼容性問題。
防范措施五:日常操作中要引起警覺
在實(shí)際工作中,木馬的防護(hù)不僅僅是企業(yè)網(wǎng)絡(luò)安全瓜管理人員的工作。而是安全人員與普通用戶共同參與的一項(xiàng)大工程。企業(yè)普通員工在日常工作中,需要提高警惕性。特別是像使用網(wǎng)上銀行或者其他類似的關(guān)鍵應(yīng)用時,要有安全意識。如在使用網(wǎng)上銀行時,要注意其網(wǎng)頁地址的格式。一般來說,網(wǎng)上銀行的格式都是以HTTPS開頭的。這表示雙方之間的通信已經(jīng)被加密了等等。
一旦發(fā)現(xiàn)IE運(yùn)行不正常,如速度比較慢或者自動關(guān)閉等等,需要及時的告知安全管理人員,而不能夠事不關(guān)己、高高掛起。安全管理人員也需要對企業(yè)的關(guān)鍵用戶加強(qiáng)培訓(xùn),讓他們養(yǎng)成很好的安全操作習(xí)慣。另外在有必要的情況下,需要對用戶訪問的網(wǎng)頁進(jìn)行監(jiān)控。因?yàn)橛袝r候在用戶不知覺的情況下,網(wǎng)頁木馬會自動訪問其他的網(wǎng)頁,以下載木馬程序等等。對用戶的訪問進(jìn)行監(jiān)控,有利于發(fā)現(xiàn)這種未經(jīng)授權(quán)的訪問。
防范措施六:要注意內(nèi)部的安全
企業(yè)有些員工可能比較用功。工作做不完,都利用U盤等移動設(shè)備拷回到家里繼續(xù)做。第二天再帶回到公司。在這個過程中,木馬可能已經(jīng)悄無聲息的進(jìn)入到了企業(yè)的內(nèi)部網(wǎng)絡(luò)。一般來說,企業(yè)都會有防火墻等安全設(shè)備。為此要木馬要從企業(yè)的外部進(jìn)入到企業(yè)的內(nèi)部網(wǎng)絡(luò),還是有一定困難的。但是員工的家里的電腦,往往沒有很好的安全措施,有些甚至殺毒軟件都沒有安裝,從此成為了木馬的溫床。然后其就可以借助員工的移動存儲設(shè)備等等進(jìn)入到企業(yè)內(nèi)部的網(wǎng)絡(luò)。此時由于沒有了企業(yè)防火墻的保護(hù),木馬就可以肆無忌憚的在企業(yè)內(nèi)部進(jìn)行傳播。為此在木馬防護(hù)中,還需要注意企業(yè)內(nèi)部的安全。如在必要的情況下,在企業(yè)中禁用移動存儲設(shè)備。可是使用FTP服務(wù)器或者郵件服務(wù)器來代替移動存儲設(shè)備。
總之,網(wǎng)頁木馬可能會給用戶帶來比較大的損失,但是其基本上是可防可控的。合理的采取預(yù)防措施,可以將網(wǎng)頁木馬消除與無形之中。
關(guān)鍵詞:防范黑客,防御網(wǎng)頁掛馬
閱讀本文后您有什么感想? 已有 人給出評價!
- 0
- 0
- 0
- 0
- 0
- 0