烽火18台之五--如何拯救你我的网站

欧洲杯在历时1个月后,终在11日落下帷幕。作为第三方球迷,首先恭喜葡萄牙,也祝贺C罗,老天夺走了他的下半场,却还给了这个队长整个葡萄牙的胜利。他下场时的泪水没有白流。法国虽然没能第三次捧杯,但也让我们看到了一支强队在欧洲杯的精彩表现。

当然,我们今天的目的不是要写一篇欧洲杯观后感,而是和大家聊聊伴随着欧洲杯,热度不断升高的“赌球”。按照我国法规,只要没有经过国务院特许,在国内擅自发行、销售的境外彩票,都属于非法彩票。而在欧洲杯期间,许多境外的赌博机构,以及一些国内的不法人员私自搭建网站在国内经营在线赌博。其中很多组织动起了搜索引擎的主意,为了能在搜索结果中排名靠前、吸引更多的人访问、获取更多的利益,其使用了多种手段来躲避审查、提升排名,在正规网站中添加暗链就是一种常见手段。

央广网揭秘赌球黑幕

首先我们先来看看央广网在7月9日发表的一篇报道《揭秘赌球黑幕:境外集团违规推广 政府官网沦陷 搜索引擎被渗透》。

报道中提出了一个现状,有些搜索引擎搜索“赌球”等名词时,在首页就能体现赌博网站,而这些网站却往往披着政府、事业单位的外衣。“通过输入网址进入这些网站都可以正常显示,而使用‘赌球’这一关键词再进入,就成了赌球网站。”

“暗链”黑产浮出水面

如央广网报道中所指出的这种情况,多数属于网站被挂“暗链”的情况。下面我们就来讲讲“暗链”。

什么是“暗链”?

其实“暗链”就是看不见的网站链接,其概念基本等同于“黑链”。其隐藏在正常的网站页面之下,很难被网站管理者或者搜索引擎发现。

下图就是一个被挂了“暗链”的网页源代码,我们可以看到在这个网页下被挂了10多个链接,而其中主要是赌博网站。

“暗链”有什么作用?

说到暗链的作用,就要从搜索引擎说起。人们为了从网络海量的信息中找到自己需要的内容,发明了搜索引擎。搜索引擎通过一定的算法,将有价值的信息进行排序并展现给用户。

搜索引擎在判定一个网站价值时会参考其他网站的超链接。如果一个网站A有指向网站B的超链接,则搜索引擎会认为A的所有者认定B是有价值的,并乐意将自己的权重分给B。通常一个网站能分给另一个网站的权重很低,但是如果有大量的网站都链向该网站的话,积少成多,权重还是很可观的。“暗链”就可以实现大量网站的链接指向同一网站的目的。

这种机制也就给黑产带来了商机。

“暗链”与黑产

对于黑产来说,“暗链”主要通过入侵网站之后植入,其主要目标为缺少安全监测及防护能力,而且可信度较高,分配权重较高的网站。这也就是为什么被植入“暗链”的网站多数为地方政府、教育类网站以及事业单位的原因。而黑产对于“暗链”也有明码标价,下图就是某宝上的价格说明。

但是“暗链”的危害不仅如此,因为网站如果能够被注入”暗链”,往往说明黑客已经通过漏洞入侵了该网站,甚至拿到了一定的权限。利用该权限,黑客可以获取网站的数据,或者植入木马及后门。

烽火台解决“暗链”问题

对于“暗链”问题的解决可以分为三个阶段:监控网站发现“暗链”,修补漏洞拒绝入侵,找出后门避免反复。

WebRAY烽火台-网站监控预警平台从风险控制到态势感知,可以帮助用户发现网站web层面、系统层面、数据库、中间件漏洞,提供修补建议;通过网站安全监控,帮助用户第一时间发现“暗链”行为并告警;配合网站后门检测,杜绝黑客通过后门再次入侵,从根本解决“暗链”问题。

在监控平台首页即可查看所监控网站的安全动态,包含各类问题的变化趋势,从而及时进行决策。

通过查看统计分析中的监控站点详情,即可查看每个网站的可用性、篡改、暗链、木马、钓鱼、后门等情况,下图为监控平台所发现的“暗链”网站,通过点击即可查看被挂网站及非法链接。

通过站点漏洞查询界面可以查看网站漏洞,除此之外,WebRAY烽火台还提供对于漏洞更详细的内容,包括漏洞描述、解决方案、测试用例以及提供三种验证手段。

下图为通过烽火台的浏览器验证功能实现的网页测试结果。

讲了这么多关于“暗链”的内容,但其实这只是黑产中很小的一部分。后续我将给大家带来对于Webshell(网站后门)的讲解,面对黑客最为常用的工具,其对应的可能是更大的利益。

上一篇:Fortinet因高效安全和数据中心总体拥有成本获得NSS Labs推荐

下一篇:攻城狮终于迎来IT运维管理的春天!