攻擊步驟

攻擊對(duì)象

黑客行為

應(yīng)對(duì)措施

補(bǔ)充說(shuō)明

第一步: 掃描后門(mén)

服務(wù)器Web站點(diǎn)

掃描服務(wù)器上運(yùn)行的網(wǎng)站是否存在漏洞,以便下一步上傳惡意文件。

防火墻禁止掃描行為。

防火墻基本上只能判斷常規(guī)的惡意掃描，攻擊者常常通過(guò)80 web端口進(jìn)行掃描,服務(wù)器應(yīng)當(dāng)理解為正常的訪問(wèn)行為，因此防火墻在針對(duì)該階段的防護(hù)能力有限。

第二步: 上傳后門(mén)

服務(wù)器硬盤(pán)

通過(guò)掃描到的漏洞上傳木馬、webshell等惡意程序，以便下一步向網(wǎng)站頁(yè)面或數(shù)據(jù)庫(kù)中嵌入惡意代碼。

殺毒軟件識(shí)別并刪除部分的惡意程序。

目前的殺毒軟件原理都是基于特征代碼識(shí)別技術(shù)，如果黑客上傳的惡意軟件是自己手工編寫(xiě)，或者是最新出現(xiàn)的惡意軟件工具，殺毒軟件往往無(wú)法正常識(shí)別，因此在此階段，殺毒軟件能消滅上傳到服務(wù)硬盤(pán)上的80%惡意軟件，但無(wú)法全部識(shí)別。

第三步: 嵌入代碼

網(wǎng)站頁(yè)面文件及數(shù)據(jù)庫(kù)

通過(guò)上傳的木馬或webshell向網(wǎng)站頁(yè)面文件和數(shù)據(jù)庫(kù)中嵌入惡意代碼。

鎖定頁(yè)面文件修改權(quán)限，增加數(shù)據(jù)庫(kù)防篡改的代碼模塊。

鎖定頁(yè)面文件修改權(quán)限較為有效，但是對(duì)于數(shù)據(jù)庫(kù)防篡改代碼方面，因?yàn)榍度敕绞降亩鄻有?，只能防?0%左右的數(shù)據(jù)庫(kù)嵌入行為，但是將網(wǎng)站數(shù)據(jù)庫(kù)設(shè)定為不具備存儲(chǔ)過(guò)程和運(yùn)行時(shí)環(huán)境的access類(lèi)文件數(shù)據(jù)能有效的防止數(shù)據(jù)庫(kù)篡改。

第四步: 網(wǎng)站受攻擊

網(wǎng)站頁(yè)面文件及數(shù)據(jù)庫(kù)

網(wǎng)站頁(yè)面和數(shù)據(jù)庫(kù)已經(jīng)包含了惡意代碼。

頁(yè)面代碼分離軟件批量清除網(wǎng)站頁(yè)面中的惡意代碼；數(shù)據(jù)庫(kù)清洗腳本清理數(shù)據(jù)庫(kù)中的惡意代碼。

原理上清理過(guò)程一般能在2分鐘內(nèi)完成，而且不影響到網(wǎng)站的原始數(shù)據(jù)，但是考慮到實(shí)施的具體情況，一般響應(yīng)數(shù)據(jù)清理的請(qǐng)求時(shí)間一般需要更長(zhǎng)。

被嵌入的惡意代碼原理上只是一段調(diào)用遠(yuǎn)程頁(yè)面的鏈接,由于被調(diào)用的遠(yuǎn)程頁(yè)面上存在木馬或其他惡意程序，所以網(wǎng)站訪問(wèn)者在訪問(wèn)時(shí)會(huì)被提示發(fā)現(xiàn)木馬或病毒，但是被嵌入的這段代碼在程序語(yǔ)法或者特征上是完全合理而且無(wú)害的，所以服務(wù)器上的殺毒軟件完全不能做成任何響應(yīng)，只能通過(guò)手動(dòng)方式清楚掛接的代碼。