安全研究者解釋了如何檢測(cè)木馬，但是許多人指責(zé)網(wǎng)站負(fù)責(zé)人沒有技術(shù)專家來解決這一問題。

安全廠商ScanSafe的高級(jí)安全研究者M(jìn)ary Landesman闡述了如何解碼和檢測(cè)PHP后門腳本——這種編碼和FTP竊取木馬Gumblar有關(guān)聯(lián)。

Gumblar和Martuz木馬在今年年初出現(xiàn)，已經(jīng)成功地竊取了成千上萬的FTP證書，取得了訪問網(wǎng)站的權(quán)限并將受控制的機(jī)器變?yōu)閻阂廛浖墓羝脚_(tái)。由于許多跟蹤木馬的安全廠商不能夠提供任何具體的數(shù)目，我們無法獲知Gumblar的具體流行程度，但有一點(diǎn)值得確信：Gumblar的持續(xù)擴(kuò)散速度已達(dá)到值得關(guān)注的程度。ScanSafe、Symantec、McAfee和其他廠商警示稱已有成千上萬的網(wǎng)站被Gumblar所侵害，并構(gòu)成了一個(gè)相當(dāng)強(qiáng)大的僵尸網(wǎng)絡(luò)。

除了檢查日志文件進(jìn)行異常檢測(cè)之外，Landesman說網(wǎng)站管理員還能通過以下的方式做到先發(fā)制人：

搜索意外的PHP文件或在上個(gè)月意外修改過的PHP文件（將你的文件按照日期進(jìn)行分類）；
在PHP可疑文件的存放位置處查找相應(yīng)的子文件夾。
檢查網(wǎng)站上的所有文件夾，因?yàn)镚umblar有可能安裝在多個(gè)位置。

問題是許多這些網(wǎng)站都很小，有可能無人管理或者是由缺乏專業(yè)技術(shù)知識(shí)的人員來管理。幾位安全研究人員和我交流過，他們都已嘗試聯(lián)系過那些受影響的網(wǎng)站的負(fù)責(zé)人。有些網(wǎng)站的所有人甚至沒有意識(shí)到他們的網(wǎng)站已被利用來構(gòu)成攻擊平臺(tái)。其余的則沒有技術(shù)專家來采取任何解決措施。

這種問題正不斷涌現(xiàn)，可能需要注冊(cè)主管者在向任何擁有信用卡的人員銷售域名的過程中解決。誰負(fù)責(zé)這個(gè)域名？很明顯，在許多網(wǎng)站所有者只是為網(wǎng)站門面“掛名”的情況下，這一問題是得不到一個(gè)明確的答案的。

【編輯推薦】

1. ScanSafe:近期3波SQL注入攻擊100萬中國(guó)網(wǎng)站
2. 利用安全VPN遠(yuǎn)程訪問 確保企業(yè)內(nèi)部網(wǎng)絡(luò)安全
3. 美網(wǎng)絡(luò)安全不足 官僚機(jī)構(gòu)權(quán)責(zé)不明