阿里云云安全acp認(rèn)證知識(shí)點(diǎn)精講之掛馬攻擊防御

掛馬攻擊防御

什么是掛馬攻擊：掛馬攻擊是指攻擊者在攻擊成功并獲得了網(wǎng)站控制權(quán)后，在網(wǎng)站的網(wǎng)頁(yè)中嵌入惡意代碼。攻擊者通常會(huì)使用iframe框架掛馬、JS掛馬、Body掛馬、隱蔽掛馬、CSS掛馬等方式。

當(dāng)網(wǎng)站用戶訪問(wèn)被攻擊成功的網(wǎng)頁(yè)時(shí)，嵌入的惡意代碼利用瀏覽器本身的漏洞、第三方ActiveX漏洞或其它插件（例如Flash、PDF插件等）漏洞，在用戶不知情的情況下下載并執(zhí)行惡意木馬。

掛馬攻擊有什么危害：

網(wǎng)站被掛馬攻擊后，表示黑客已成功入侵該網(wǎng)站。黑客可以獲取該網(wǎng)站用戶的賬號(hào)密碼、業(yè)務(wù)數(shù)據(jù)等敏感數(shù)據(jù)。如果網(wǎng)站用戶訪問(wèn)了被攻擊成功的網(wǎng)站，用戶計(jì)算機(jī)就可能被植入惡意木馬病毒，這些病毒會(huì)盜取用戶的各類賬號(hào)密碼和數(shù)據(jù)，例如網(wǎng)銀賬戶、社交賬號(hào)和密碼等。惡意木馬病毒還可能會(huì)破壞被病毒感染計(jì)算機(jī)的本地?cái)?shù)據(jù)，給用戶的信息資產(chǎn)帶來(lái)巨大的損失。因此，網(wǎng)站被掛馬不僅會(huì)影響網(wǎng)站的公共形象，還可能會(huì)造成該網(wǎng)站用戶的計(jì)算機(jī)系統(tǒng)故障和存儲(chǔ)數(shù)據(jù)泄露。

如何查找并清除掛馬文件：

網(wǎng)站被掛馬攻擊是指黑客通過(guò)漏洞成功入侵網(wǎng)站，并在網(wǎng)站服務(wù)器文件系統(tǒng)或代碼內(nèi)植入了惡意代碼或文件。建議您采用以下方法查找并清除掛馬文件：

如果是特定的惡意代碼，建議您快速根據(jù)URL目錄找到掛馬文件，然后刪除。

一般操作系統(tǒng)或應(yīng)用代碼文件成百上千，靠人工很難識(shí)別掛馬文件，建議您使用云安全中心自動(dòng)化檢測(cè)和處理掛馬文件。

您也可以使用人工專家應(yīng)急響應(yīng)服務(wù)，排查入侵原因，找到漏洞并清理木馬，確保系統(tǒng)安全可靠后再加強(qiáng)防護(hù)措施。避免二次入侵或重復(fù)發(fā)生掛馬事件。

如何防御掛馬攻擊：

及時(shí)修復(fù)網(wǎng)站系統(tǒng)和網(wǎng)站所在服務(wù)器的各類漏洞，可以降低網(wǎng)站被掛馬攻擊的風(fēng)險(xiǎn)。網(wǎng)站被掛馬攻擊會(huì)產(chǎn)生較大的危害主要是因?yàn)楣粽咴诠舫晒?，可以利用被篡改網(wǎng)頁(yè)、瀏覽器或操作系統(tǒng)的漏洞、網(wǎng)頁(yè)木馬的下載執(zhí)行和惡意程序的下載執(zhí)行等方式，進(jìn)一步擴(kuò)大攻擊范圍。因此，您需要從網(wǎng)站系統(tǒng)各個(gè)層級(jí)去防護(hù)網(wǎng)站，抵御掛馬入侵。下圖是一般網(wǎng)站系統(tǒng)的架構(gòu)。

建議您采用以下解決方法：

1.網(wǎng)絡(luò)安全層。

建議您使用ECS安全組、SLB白名單、云防火墻等服務(wù)限制不必要的服務(wù)端口暴露在外網(wǎng)，防止暴露的服務(wù)器端口被黑客利用。

2.主機(jī)系統(tǒng)層面。

建議您使用堡壘機(jī)管理ECS的登錄方式，并針對(duì)不同運(yùn)維人員按照最小授權(quán)原則進(jìn)行精細(xì)化授權(quán)。

為云賬號(hào)配置強(qiáng)密碼。安全密碼建議設(shè)置為8位以上，必須包括大寫(xiě)字母、小寫(xiě)字母、數(shù)字和特殊字符。同時(shí)建議每隔幾個(gè)月更換一次密碼，保證安全性。建議開(kāi)通多因素認(rèn)證（MFA）或SSH Key憑證登錄。

關(guān)注安全漏洞情報(bào)，例如關(guān)注阿里云網(wǎng)站發(fā)布的安全漏洞公告。定期檢測(cè)并修復(fù)網(wǎng)站本身以及網(wǎng)站所在服務(wù)端環(huán)境的各類漏洞，及時(shí)更新操作系統(tǒng)、應(yīng)用服務(wù)軟件補(bǔ)丁。

建議您開(kāi)通云安全中心服務(wù)，使用云安全中心檢測(cè)并修復(fù)您服務(wù)器上的安全風(fēng)險(xiǎn)、不安全配置項(xiàng)、操作系統(tǒng)漏洞、中間件漏洞等安全風(fēng)險(xiǎn)。

加強(qiáng)文件訪問(wèn)權(quán)限管理。設(shè)置敏感目錄訪問(wèn)權(quán)限，限制修改目錄的腳本執(zhí)行權(quán)限，遵循最小授權(quán)原則配置文件系統(tǒng)的訪問(wèn)和修改權(quán)限。

3.數(shù)據(jù)庫(kù)層面。

強(qiáng)烈建議不要使用數(shù)據(jù)庫(kù)Web管理工具來(lái)管理數(shù)據(jù)庫(kù)，也不要讓W(xué)eb管理系統(tǒng)直接對(duì)公網(wǎng)開(kāi)放。

配置網(wǎng)絡(luò)訪問(wèn)控制策略，僅允許應(yīng)用服務(wù)器訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)，禁止數(shù)據(jù)庫(kù)服務(wù)端口對(duì)公網(wǎng)開(kāi)放。

配置復(fù)雜密碼，對(duì)數(shù)據(jù)庫(kù)服務(wù)進(jìn)行加固。更多信息請(qǐng)參見(jiàn)數(shù)據(jù)庫(kù)服務(wù)安全加固。

4.應(yīng)用安全層面。

對(duì)Web應(yīng)用中間件進(jìn)行安全加固。更多信息請(qǐng)參見(jiàn)Web應(yīng)用安全加固。

在業(yè)務(wù)代碼上線前，進(jìn)行代碼安全測(cè)試、白盒代碼審計(jì)等工作，并在修復(fù)已發(fā)現(xiàn)漏洞后，再上線發(fā)布，防止業(yè)務(wù)代碼上線后黑客利用存在的漏洞入侵業(yè)務(wù)系統(tǒng)。

業(yè)務(wù)系統(tǒng)上線前或上線后，使用漏洞掃描服務(wù)定期對(duì)網(wǎng)站和Web業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描，及時(shí)處理存在的安全漏洞。

排查程序存在的漏洞，并及時(shí)修復(fù)漏洞。您可以使用應(yīng)急響應(yīng)服務(wù)協(xié)助您排查漏洞及入侵原因，同時(shí)可以使用Web應(yīng)用防火墻保護(hù)您的Web應(yīng)用。Web應(yīng)用防火墻可以幫助您攔截外部攻擊行為，降低您的Web應(yīng)用被黑客入侵的可能性。

點(diǎn)擊下方圖片可購(gòu)買阿里云云安全acp認(rèn)證網(wǎng)絡(luò)課程，個(gè)性化服務(wù)，為你的升職加薪之路助力！??！