【51CTO.com 綜合消息】隨著中國互聯(lián)網(wǎng)的發(fā)展，安全問題越來越多，由于受到巨額經(jīng)濟利益的驅使，網(wǎng)站掛馬尤為猖獗。2009年8月江蘇警方破獲了一起特大制售木馬病毒案，涉案金額高達3000余萬元。據(jù)統(tǒng)計，截止2009年9月我國網(wǎng)民數(shù)量已達到3.6億，而另一方面的統(tǒng)計顯示地下黑色產(chǎn)業(yè)鏈的規(guī)模也將達到100億，其對企業(yè)用戶帶來的間接損失則無法估量。

2010年初，國內(nèi)廣泛使用的Web論壇—Discuz!7.x、主流下載軟件迅雷（Thunder5.9.14.1246）、網(wǎng)際快車（Amazesoft FlashGet 3.x）和網(wǎng)絡傳送帶（Net Transport）相繼爆出安全漏洞。黑客可以精心構建惡意網(wǎng)站，利用這些漏洞偷偷在客戶端電腦中安裝木馬軟件，竊取用戶的QQ、網(wǎng)游和銀行卡等機密信息，并形成僵尸網(wǎng)絡。

黑客如何通過網(wǎng)站掛馬賺錢

首先，應該明確掛馬只是一個途徑，在訪問惡意站點的客戶端電腦中安裝木馬軟件才是其根本目的。電腦被種植木馬就變成了一臺傀儡機，攻擊者可以在電腦中做任何操作，包括：盜取各類用戶賬號，如QQ賬號、網(wǎng)銀賬號、網(wǎng)游賬號、管理員賬號；盜竊各種重要機密的文件資料；非法轉賬；破壞數(shù)據(jù)；完全控制電腦等等。攻擊者將盜取的賬號信息、游戲裝備等變賣獲利；被攻擊主機也將成為僵尸網(wǎng)絡中的一員，攻擊者利用僵尸網(wǎng)絡進行收費的DDoS攻擊是賺錢的另一種手段。由于網(wǎng)站掛馬隱蔽性強，感染了“木馬”的主機就成為埋藏在組織內(nèi)部的定時炸彈。

如何防范網(wǎng)站掛馬攻擊

網(wǎng)站掛馬一般可以分為以下幾個流程：

1. 制作黑頁：針對客戶端軟件存在的漏洞，黑客構建的包含惡意代碼的網(wǎng)頁；

2. 網(wǎng)站掛馬：利用SQL注入、XSS跨站腳本等攻擊入侵合法網(wǎng)站并嵌入可跳轉到黑頁的鏈接；

3. 下載木馬：客戶端訪問被掛馬網(wǎng)站，并跳轉到黑頁，這是由于客戶端軟件存在漏洞會執(zhí)行惡意代碼自動下載木馬軟件。

上述流程涉及了三個主體：被掛馬網(wǎng)站、黑頁（也叫做掛馬源）、有漏洞的客戶端軟件。要解決網(wǎng)站掛馬問題，就要從這三方面入手。 

◆消除被掛馬網(wǎng)站 

◆增強客戶端的安全性 

◆阻止客戶端訪問掛馬網(wǎng)站、黑頁

目前，中國已有280萬注冊網(wǎng)站，網(wǎng)站開發(fā)水平參差不齊，特別是Web2.0的廣泛應用，增強交互水平的同時也大大增加了被掛馬的可能性，據(jù)全球知名反惡意軟件組織StopBadware的研究顯示：全球的掛馬站點52%來自中國。而要想從客戶端解決問題也并非易事，企業(yè)中的大量終端安裝了眾多的應用軟件，難以有效保證所有終端都是安全的。

因此，檢測并阻止客戶端訪問掛馬網(wǎng)站、黑頁是最佳的解決方案。對企業(yè)用戶來講，在網(wǎng)關處進行統(tǒng)一防護非常重要。

聯(lián)想網(wǎng)御惡意站點檢測與阻斷模塊

聯(lián)想網(wǎng)御公司在其全線網(wǎng)關產(chǎn)品中集成了惡意站點檢測與阻斷模塊，該模塊維護實時更新的惡意站點數(shù)據(jù)庫。部署聯(lián)想網(wǎng)御網(wǎng)關產(chǎn)品后，對內(nèi)網(wǎng)用戶訪問的目標站點進行安全檢查，當內(nèi)網(wǎng)用戶訪問的站點是被惡意掛馬的站點時，網(wǎng)關會阻斷該訪問，并向訪問者的瀏覽器推送告警信息“阻斷訪問掛馬網(wǎng)站”。  

【聯(lián)想網(wǎng)御惡意站點檢測與阻斷模塊工作示意圖】

聯(lián)想網(wǎng)御惡意站點庫包含可信站點和惡意站點兩大類，惡意站點庫又細分為掛馬網(wǎng)站和掛馬源兩種類型，覆蓋了中國已注冊的400多萬個網(wǎng)站。為保證可靠性，會實時對網(wǎng)絡站點進行檢查，并根據(jù)檢查結果定期對全庫進行更新。對于不在可信站點和惡意站點數(shù)據(jù)庫的新網(wǎng)站，網(wǎng)關則通過實時分析網(wǎng)頁的行為動作來確定訪問的安全性。當某網(wǎng)頁試圖執(zhí)行程序、下載可執(zhí)行文件等敏感操作時判別其為惡意網(wǎng)站并進行攔截，同時也會將這個網(wǎng)頁的URL加入到惡意站點數(shù)據(jù)庫中。由于采用了基于行為動作的分析技術，使得攻擊者無論是采用老的掛馬代碼，還是全新的基于IE、Office、Flash、AdobeReader等流行軟件漏洞的掛馬代碼，都可以進行有效攔截。此外，由于大量的惡意站點都使用了JavaScript腳本來書寫攻擊代碼，聯(lián)想網(wǎng)御惡意站點檢測與阻斷模塊集成了JavaScript腳本檢測技術來檢測掛馬網(wǎng)站。

聯(lián)想網(wǎng)御UTM、IPS產(chǎn)品不僅可以阻止內(nèi)部客戶端訪問外部掛馬站點，還可以通過深度過濾功能，準確攔截SQL注入、XSS跨站腳本和針對系統(tǒng)漏洞的攻擊，從而防止內(nèi)部網(wǎng)站被掛馬。

內(nèi)外兼顧，聯(lián)想網(wǎng)御網(wǎng)關產(chǎn)品可以有效保障企事業(yè)單位用戶免受網(wǎng)站掛馬的危害，為各種業(yè)務的正常運轉提供強有力地防護。