防御掛馬攻擊最佳實(shí)踐
網(wǎng)站一旦遭受掛馬攻擊,可能會導(dǎo)致數(shù)據(jù)泄露、資產(chǎn)損失等嚴(yán)重危害。為了應(yīng)對掛馬攻擊,您需要在網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫和應(yīng)用等多個層面采取相應(yīng)的安全措施。本文介紹如何在這些關(guān)鍵層面防御掛馬攻擊,并提供清除掛馬文件的有效方法。
什么是掛馬攻擊
掛馬攻擊也稱為馬式攻擊(Horse Attack),是指攻擊者通過各種手段,在目標(biāo)服務(wù)器或網(wǎng)站中植入惡意程序,以獲取系統(tǒng)權(quán)限或竊取敏感信息的攻擊方式。攻擊者通常會使用iframe框架掛馬、JS掛馬、Body掛馬、隱蔽掛馬、CSS掛馬等方式。
掛馬攻擊通常是通過系統(tǒng)漏洞、SQL注入、文件上傳等方式進(jìn)行的。攻擊者利用這些漏洞或技術(shù),在目標(biāo)服務(wù)器或網(wǎng)站中上傳惡意文件,并通過一定的手段使其在服務(wù)器或網(wǎng)站中執(zhí)行。一旦惡意程序被執(zhí)行,攻擊者就可以利用其獲取系統(tǒng)權(quán)限,控制服務(wù)器或網(wǎng)站,并竊取敏感信息。
掛馬攻擊有什么危害
網(wǎng)站被掛馬攻擊,表示黑客已成功入侵該網(wǎng)站。黑客可以獲取該網(wǎng)站用戶的賬號密碼、業(yè)務(wù)數(shù)據(jù)等敏感數(shù)據(jù)。如果網(wǎng)站用戶訪問了被攻擊成功的網(wǎng)站,用戶計算機(jī)就可能被植入惡意木馬病毒,這些病毒會盜取用戶的各類賬號密碼和數(shù)據(jù),例如網(wǎng)銀賬戶、社交賬號和密碼等。
惡意木馬病毒還可能會破壞被病毒感染計算機(jī)的本地數(shù)據(jù),給用戶的信息資產(chǎn)帶來巨大的損失。因此,網(wǎng)站被掛馬攻擊不僅會影響網(wǎng)站的公共形象,還可能會造成該網(wǎng)站用戶的計算機(jī)系統(tǒng)故障和存儲數(shù)據(jù)泄露,給用戶的信息資產(chǎn)帶來巨大的損失。
如何防御掛馬攻擊
及時修復(fù)網(wǎng)站系統(tǒng)和網(wǎng)站所在服務(wù)器的各類漏洞,可以降低網(wǎng)站被掛馬攻擊的風(fēng)險。網(wǎng)站被掛馬攻擊會產(chǎn)生較大的危害主要是因?yàn)楣粽咴诠舫晒螅梢岳帽淮鄹木W(wǎng)頁、瀏覽器或操作系統(tǒng)的漏洞、網(wǎng)頁木馬的下載執(zhí)行和惡意程序的下載執(zhí)行等方式,進(jìn)一步擴(kuò)大攻擊范圍。
因此,您需要從網(wǎng)站系統(tǒng)各個架構(gòu)層級去防護(hù)網(wǎng)站,抵御掛馬入侵。下圖是一般網(wǎng)站系統(tǒng)的架構(gòu)。
建議您采用以下解決方法:
網(wǎng)絡(luò)安全層面
建議您使用ECS安全組、負(fù)載均衡白名單、云防火墻等服務(wù)限制不必要的服務(wù)端口暴露在外網(wǎng),防止暴露的服務(wù)器端口被黑客利用。
主機(jī)系統(tǒng)層面
建議您使用堡壘機(jī)管理ECS的登錄方式,并針對不同運(yùn)維人員按照最小授權(quán)原則進(jìn)行精細(xì)化授權(quán)。
為云賬號配置強(qiáng)密碼。安全密碼建議設(shè)置為8位以上,必須包括大寫字母、小寫字母、數(shù)字和特殊字符,同時建議每隔幾個月更換一次密碼,保證安全性。建議開通多因素認(rèn)證(MFA)或SSH Key憑證登錄。
關(guān)注安全漏洞情報,例如關(guān)注阿里云官網(wǎng)發(fā)布的安全漏洞公告。定期檢測并修復(fù)網(wǎng)站本身以及網(wǎng)站所在服務(wù)端環(huán)境的各類漏洞,及時更新操作系統(tǒng)、應(yīng)用服務(wù)軟件補(bǔ)丁。
建議您開通云安全中心服務(wù),使用云安全中心檢測并修復(fù)您服務(wù)器上的安全告警、不安全配置項(xiàng)、操作系統(tǒng)漏洞、中間件漏洞等風(fēng)險。
加強(qiáng)文件訪問權(quán)限管理。設(shè)置敏感目錄訪問權(quán)限,限制修改目錄的腳本執(zhí)行權(quán)限,遵循最小授權(quán)原則配置文件系統(tǒng)的訪問和修改權(quán)限。
數(shù)據(jù)庫層面
強(qiáng)烈建議不要使用數(shù)據(jù)庫Web管理工具來管理數(shù)據(jù)庫,也不要讓W(xué)eb管理系統(tǒng)直接對公網(wǎng)開放。
配置網(wǎng)絡(luò)訪問控制策略,僅允許應(yīng)用服務(wù)器訪問數(shù)據(jù)庫服務(wù),禁止數(shù)據(jù)庫服務(wù)端口對公網(wǎng)開放。
配置復(fù)雜密碼,對數(shù)據(jù)庫服務(wù)進(jìn)行加固。
應(yīng)用安全層面
對Web應(yīng)用中間件進(jìn)行安全加固。
在業(yè)務(wù)代碼上線前,進(jìn)行代碼安全測試、白盒代碼審計等工作,并在修復(fù)已發(fā)現(xiàn)漏洞后,再上線發(fā)布,防止業(yè)務(wù)代碼上線后黑客利用存在的漏洞入侵業(yè)務(wù)系統(tǒng)。
業(yè)務(wù)系統(tǒng)上線前或上線后,使用云安全中心漏洞管理服務(wù)定期對網(wǎng)站和Web業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描,及時處理存在的安全漏洞。
排查程序存在的漏洞,并及時修復(fù)漏洞。您可以使用應(yīng)急響應(yīng)服務(wù)協(xié)助您排查漏洞及入侵原因,同時可以使用Web應(yīng)用防火墻保護(hù)您的Web應(yīng)用。Web應(yīng)用防火墻可以幫助您攔截外部攻擊行為,降低您的Web應(yīng)用被黑客入侵的可能性。
如何查找并清除掛馬文件
一般操作系統(tǒng)或應(yīng)用代碼文件成百上千,靠人工很難識別掛馬文件,建議您使用云安全中心自動化檢測和處理掛馬文件。
發(fā)現(xiàn)掛馬文件時,建議您采用以下方法清除掛馬文件:
清除相應(yīng)的Webshell文件。同時使用云安全中心的掃描功能進(jìn)行Web目錄主動掃描,以及使用Agentless掃描功能進(jìn)行全盤掃描。具體操作,請參見安全告警設(shè)置和無代理檢測。
使用云安全中心的漏洞管理能力,確定漏洞是否都修復(fù)完畢。具體操作,請參見查看和處理漏洞。
使用人工專家應(yīng)急響應(yīng)服務(wù),排查入侵原因,找到漏洞并清理木馬,確保系統(tǒng)安全可靠后再加強(qiáng)防護(hù)措施,以避免二次入侵或重復(fù)發(fā)生掛馬事件。