从事网络犯罪并不复杂,也不需要特殊的技能。正是由于以上主要原因,导致网络犯罪成为了一个利润达几十亿美元的产业,并且具有自身的自给自足经济生态系统。
感染网站的恶意程序
感染和恶意程序传播手段
目前,恶意程序感染网站主要有三种主要途径和手段:
首先,最普遍的是利用网站本身漏洞,例如SQL注入漏洞。该漏洞允许在网站上附加恶意代码。一些攻击工具,例如ASPXor就能够很好的针对这种漏洞进行攻击。这些攻击工具能够一次扫描上千个IP地址,并进行恶意程序注入。网页服务器的日志文件中经常能看到这种攻击留下的痕迹。
第二种常用方式是利用恶意程序感染网页开发者的计算机,从而对创建和上载的HTML文件进行监控,并且将恶意代码注入到这些生成的文件中。
此外,还可以通过使用盗号木马(例如Trojan-Ransom.Win32.Agent.ey)感染网页开发者或其他具有网站账户访问权限用户的计算机。通常,盗号木马会通过HTTP协议联系远程服务器,将从常见FTP工具如FileZilla或CuteFTP中盗取到的网站FTP帐号和密码发送出去。服务器端组件会将这些帐号密码信息记录于SQL数据库中。然后,基于服务器的工具会搜寻数据库中的数据,登录所有窃取到的FTP帐号,获取网站的检测页面文件,并将木马代码加入这些文件中,重新上传到网站。
最后一种感染方式中,网站服务的帐号木马等信息已经被窃取。即使网站开发者或浏览者觉察到网站被感染,并且清楚了恶意程序,很有可能第二天又会被重新感染。
示例:一个网站(*.*.148.240)从被感染,清除感染到又被感染的过程
还有一种情况经常发生,即不同的网络罪犯集团同时使用相同的漏洞或获取到了同一个网站帐号。他们之间会为了获取网站控制权互相斗争,将网站植入自己的恶意程序。下面为示例:
示例:一个网站(*.*.176.6)被多种恶意程序感染的扫描报告
首先,根据监测,该网站在2009年6月11日时没有被感染。而到2009年7月5日,发现被Trojan-Clicker.JS.Agent.gk感染。接下来,到2009年7月15日,一种名为Trojan-Downloader.JS.Iframe.bin的恶意程序被注入到网站。十天后,感染网站的恶意程序又发生了变化。这种现象相对来说很普遍,很多网站都包含不止一种恶意程序,而且很多都是被不同的网络罪犯集团放置。
一旦发现网站被感染,请采取下列措施:
确认所有具有网站服务访问权的用户,使用最新的互联网安全软件对上述用户的计算机彻底扫描,将发现的恶意程序清除
更改网站服务访问密码,并加大密码强度。高强度的密码包含字母、数字以及特殊符号,不容易被猜出
使用干净的备份文件替换染毒文件
找出可能被感染的备份文件并清除其中的恶意程序
按照以往经验,即使将感染网站中的恶意程序清除,也很容易再次被感染。但是,很多情况下,这种重复感染只会遭遇一次。虽然第一次被感染后所采取的应对措施看似效果不大,但发现第二次感染后,网站管理员就应该仔细调查感染原因。
网友评论