安装防恶意软件程序
禁用横幅
默认情况下,Apache 会在发出 Web 请求时显示其名称和版本号,告诉潜在攻击者网站实际运行的内容。禁用该横幅使潜在攻击者更难查明是否存在其他漏洞。为此,可以导航到 /etc/apache2/apache2.conf 并禁用 ServerSignature 和 ServerTokens 条目。
禁用目录索引
另外一项默认功能就是打印 Web 站点目录中的文件列表。这项特性使攻击者能够映射您的服务器,并识别可能存在漏洞的文件。为了避免这样的问题发生,您需要禁用自动索引模块。只需打开终端并执行以下命令即可:
rm -f /etc/apache2/mods-enabled/autoindex.load
rm -f /etc/apache2/mods-enabled/autoindex.conf
禁用 WebDAV
基于 Web 的分布式创作和版本控制 (WebDAV) 是 HTTP 的文件访问协议,允许在网站中上传、下载和更改文件内容。任何生产网站都应禁用 WebDAV,确保攻击者无法更改文件以上传恶意代码。
使用终端执行以下命令,通过删除 dav、dav_fs 和 dav_lock 文件来禁用这些文件:
rm -f /etc/apache2/mods-enabled/dav.load
rm -f /etc/apache2/mods-enabled/dav_fs.conf
rm -f /etc/apache2/mods-enabled/dav_fs.load
rm -f /etc/apache2/mods-enabled/dav_lock.load
关闭 TRACE HTTP 请求
HTTP TRACE 请求可用于打印会话 cookie,此后利用这些信息劫持用户会话,发起 XSS 攻击。您可以导航到 /etc/apache2/apache2.conf 文件,确保 TraceEnable 设置为 TraceEnable off,以禁用此类跟踪。
限制 IIS 中的漏洞
对于消费者市场来说,Windows Server? 产品最吸引人的一项特征就是易于安装。利用 IIS,企业只需轻点几下鼠标即可设置好一个 Web 服务器并将其投入运行。以开箱即用的方式安装服务器软件时,需要执行一些配置任务:但 IIS 会代替您完成这些任务。
为了解决 Web 服务器产品的安全性问题,Microsoft 对 IIS 的配置方式以及默认安装的内容作出了一些重大变更。然而,您仍然可以采取一些措施来提供更好的保护,避免威胁。
安装防恶意软件程序
Code Red 和 Nimda 均属于攻击 Windows Server 操作系统的蠕虫,两者均造成了极大的损害。如果主机操作系统本身不具备重组的防恶意软件保护,那么网站就极易受到攻击。利用按键记录器、木马和其他恶意软件,攻击者不仅能够轻松入侵 Web 管理员的登录凭据,还能在提供给网站访问者的文件中插入恶意代码。
安装防恶意软件程序之后,应该及时更新程序,随后在上传任何网站文件之前运行。如果发现任何异常之处,则应立即更改所有密码。
更新其他所有内容
在运行 IIS 的 Web 服务器上限之前,请务必更新操作系统软件和 Web 服务器软件,安装 Microsoft 发布的最新更新。这些更新通常包括解决 Microsoft 产品特有漏洞的补丁程序。
在发生攻击后进行清理
在网站导致访问者蒙受损失之后,必须立即采取纠正措施。首先应将站点脱机,并将之隔离。如果需要将站点投入运行,以避免业务中断,那么应该使用经过验证、确无恶意软件的备份。
处理在线状态之后,接下来就应该清理受感染的文件。某些感染仅需移除几行代码,而较为复杂的攻击则可能要求您重新编写整个文件。此时,应采取一切必要措施,从站点中移除恶意软件。
挽救您的名誉
Google 和其他搜索引擎发现一个网站传播恶意软件之后,就会将该网站从搜索结果中剔除。这会给业务造成灾难性的影响。
移除所有恶意软件、修补所有漏洞之后,应将网站提交给搜索引擎,供其审查。如果搜索引擎确定其中不再存在对任何访问者有害的威胁,该网站即可重新列入搜索结果,搜索引擎带来的访问流量即可恢复如常。
如果恶意软件感染侵害了用户帐户信息,那么应该立即通知所有用户,使之能够处理因之产生的任何后果。除此之外,组织还需要查看此类入侵是否违反了任何法律或法规,并采取必要的措施来应对负面影响,保证符合法律法规。
结束语
Dasient 的一份报告指出,2010 年第四季度发现约 110 万个网站中包含某种类型的恶意软件。其他研究表明,大约有 85% 的恶意软件来自 Web。如果导致所有这些问题的网站都是从最初起便心怀恶意的网站,那么问题或许就简单多了。但遗憾的是,许多计算机的感染源头是小型企业的网站、教会网站,甚至是名声良好的新闻网站。
Web 开发人员需要承担起保护网站免受攻击的重责。单纯地编写一些出色的代码就可以完成任务的日子已经一去不复返。现在,开发人员必须确保其代码功能正常并且安全可靠。
本文所列举的技术无疑能帮助尚不了解网站安全性的开发人员打下知识基础,但还有更多的知识需要探索。威胁形势日新月异。随着零日攻击的兴起和电子犯罪者对抗措施的发展,Web 开发人员也需要适应形势,设法更好地保护自己的网站
网友评论