PW论坛程序爆漏洞 大量网站遇黑色周末
“黑客”:这个周末有点High
2007年4月6日18:09,PW官方论坛出现一个标题为《PW5.X所有版本通杀的最新漏洞……》的提醒帖子,与此同时,“黑色周末”降临了。陆续有人四处发布关于漏洞的信息,并且迅速在各大黑客论坛转载甚至提供攻击工具的下载。比较有讽刺意义的是——许多人看到这个消息的第一反应是:黑一个来试试!
众多使用PW程序的论坛迅速成为攻击目标——攻击方法不可想象的简单,所能获取的权限前所未有的大,而这些论坛却毫无还手之力。这甚至谈不上任何黑客技术,更像一场恶意的游戏——游戏操控者的心态和目的决定了结果。于是,有的论坛被关闭了,有的被挂上木马了,有的被勒索了;有的网站数据被全盘删除,幸运一点的则只是收到了安全警告……
那一夜,一些黑客论坛沸腾了,都在讨论和关注着这件事,有人黑了别人的网站发帖炫耀,有人蠢蠢欲动,也有正直网友呼吁停止恶意攻击……在半夜十二点以后,用百度搜索关键字,前几十页的PW论坛几乎都被关闭了……
这一场“腥风血雨”,亦是一场对个人网站安全意识的重大考验。
站长:飞来横祸难消受
此次漏洞事件,最受伤的莫过于被黑论坛的站长们。
案例一:陈先生是在接到PW官方的电话提醒后,才发现自己的论坛数据已经全部被清空的。黑客还在论坛上留下了联系方式,称只有“付一点网站维护费”才能取回所有的数据文件。陈先生的网站是技术类论坛,并推出了VIP付费会员服务,所以数据至关重要。更惨的是,论坛的最后一次数据备份是在半年前……不愿意迁就黑客的陈生生将服务器硬盘拿到数据恢复的公司,花高价才成功修复了网站数据。
案例二:一个日IP过万的网站站长王先生,最近一直没有登录自己论坛的管理后台,也就不知道最新的漏洞。直到升级了杀毒软件,才发现网页已经被植入了木马病毒。王先生以最快速度删除了病毒木马,并在网站发布了让会员查毒的公告。但显然,这次事件,无论是对网站的发展还是用户粘性,都有不小的破坏。
案例三:一位网名叫Sun的站长,网站数据被全部删除,三天里他只睡了三个小时,所有时间都用来恢复数据库。但即使数据已经成功恢复,论坛人气和流量已经下降了很多。
PW官方: 愿给站长一个说法
应该说,PHPWind官方对此次漏洞事件的反应还是相当迅速的。在攻击工具流传的两个小时之内,官方论坛就及时发布了安全修复补丁以及密码恢复工具,并发出远程更新通告,所有没打补丁的论坛将持续显示更新公告。同时,还为站长提供无偿的故障排查及善后修复服务。
虽然PW程序是免费的,但官方网站还是竭尽全力负起责任,表示一定要给站长一个说法。PW的技术人员解释,此次程序漏洞是出在require文件夹中的passport_client.php文件过滤不严格造成的,从而导致数据库存在了注入隐患,使攻击者可以任意修改别人的密码。技术人员说,希望通过《电脑报》向广大站长说明整个事件经过,让所有PW论坛的用户尽快打好补丁,以使由此事件带来的潜在风险降到最低。同时,他们已经向公安机关报案,希望能用法律来保护站长的利益。
官方解决方案:http://www.phpwind.net/read-htm-tid-392683.html
专家:网站被黑为哪般
一位不愿意透露姓名的黑客,向记者道出了此次事件影响巨大的根本原因。他说,网站程序出现漏洞是很平常的事情,只是这次漏洞被检测者发现后并没有通知官方,而是先发布了漏洞利用工具。攻击方法实在太简单,只要输入论坛地址和管理员账号就可以更改密码。即使是对电脑知识了解不深的人,也能轻易“黑”掉一个没打补丁的站点。
如今,网站被黑已经是一个普遍现象。回顾过去,每次各种程序的安全漏洞,都会引来众多黑客的“邪恶目光”。目前,有80%的恶意软件是通过网页病毒传播的。这在个人网站上表现尤甚,往往因为站长一时疏忽,网站就被人嵌入了木马。而且,网站遭到破坏后,很难取证,这就助长了不负责任的“黑客”行为。而且,漏洞的补丁大多会在黑客攻击后才放出,这意味着总会有一批站长在补丁未发放前,成为黑客攻击的牺牲品。
专家认为,此次PW事件也不能全怪在工具研制者和程序本身。从安全角度来讲,任何程序都没有绝对的安全可言。专家建议各位站长,每天按时备份网站数据。
网站安全的预防与善后
此次PW论坛程序漏洞事件,也暴露了部分站长安全意识不强的问题。其实,只要平时注意防范,同时,万一网站被黑,采取正确的处理方式,是可以最大限度地减少自己网站损失的。
生于防范,死于疏忽
目前,大多数站长在建站时都是使用现成的网站程序,比如ASP或PHP语言建站程序虽然使用方便,但也存在一定的安全隐患,一定要提前做好安全防范,才能够高枕无忧。
修改管理文件名称
很多网站程序的管理后台都使用默认的文件名称,例如admin等常用单词很容易被猜解,类似的文件名称对网站的安全性有害无益,如果我们将文件名改为复杂的字母组合,比如将admin.php修改为endtoweb123.php等名称,管理网站的时候直接输入文件名称即可(如http://www.你的域名.com/endtoweb123.php)。这样做的好处就是,即使黑客破解了程序的管理账号密码,也无法登录管理后台,从而阻断黑客的入侵。
加强管理账号复杂度
设置复杂的账号密码是老生常谈的话题,网站程序也是一样,如果设置了足够复杂的管理密码,即使黑客通过下载数据库得到了密码的MD5数据,也很难对它进行转换破解。虽然复杂的密码在使用时会比较麻烦,但我们的偷懒只会方便了黑客。字母+数字+符号是比较好的密码组合。对了,你千万不要忘记自己设置的密码哟!
提高服务器安全性
服务器的安全设置方法众多,所谓简单就是实用,我们就以Windows系统为例进行说明。 亡羊补牢,未为晚也
第一步:依次点选“IIS文件安全性→文件安全性→匿名访问和安全控制”,在弹出的控制面板中去掉“允许匿名访问”前的复选框,然后增加一个“集成Windows验证”。或者也可以把系统中的默认管理员账户禁用,另外再建立一个管理员账户使用。
第二步:如果网站仅使用单一的程序语言,可以在IIS应用程序配置里只留下对应的文件,由于很多网页木马都是使用asa后缀,如果仅使用PHP程序,还要注意去掉asa选项。对于虚拟主机用户,建议最好不要使用ASP、PHP语言都支持的全功能网站空间。
第三步:服务器的权限分配一定要仔细设置,务必要安装所有的Windows更新补丁。
经过以上设置后,黑客就算破解了程序的管理账号密码进入网站后台,也不能进行其它提升权限、种植木马的恶意操作。
如果发现网站出现异常情况,如页面被修改、管理账号不能登录,则说明网站已经被入侵。这时就需要尽快进行处理,以防止黑客种植的网页病毒扩散。
暂时关闭网站
网站被黑客入侵后,最常见的情况就是被植入木马程序,为了保证浏览者的安全,必须先关闭网站,待处理完毕后再开放。关闭时可以暂时将域名转向其它地址,如建立一个网站的帖吧,或者放置一个说明页面。
使用备份恢复
如果网站文件被黑客破坏或删除,假如事先进行过网站数据备份的话,可以直接使用备份文件恢复。万一没有对备份进行备份,而数据又非常重要的话,建议先不要进行任何操作,立即请专门进行数据恢复的公司尝试恢复服务器硬盘中的数据。
因为有些虚拟主机服务商会定时备份服务器中的数据,使用虚拟主机空间的用户,还可以联系空间商获取数据备份。
打补丁查漏洞
当程序漏洞被公布时,程序的官方网站都会发布程序的补丁,只需要下载相应的文件,按照说明上传到网站空间覆盖原文件即可。如果暂时没有出现相关的补丁,则可以暂时禁用或删除某些功能文件。
接着我们可以查看网站的访问日志,找出访问木马程序的IP地址记录,根据查询到的IP地址,再次查看黑客还访问了哪些页面,检查这些页面是否有其它漏洞。
木马程序检测
站长可以根据网页文件的修改时间来判断是否被植入木马,方法是察看所有被更改的文件的更改日期,由于是木马修改了这些页面,因此它们修改日期非常接近。然后查询此日期最近新建立的asp、aspx、asa文件,将异常文件进行隔离或删除。
使用PhpWind论坛程序的站长还可以下载专用的网页木马检测工具来进行木马的检测和清除(下载地址:http://www.phpwind.com/2.0/safe.zip),解压后将文件全部上传到论坛目录中,如果服务器是Linux 或FreeBSD系统还需要设置论坛目录为可读写模式。接着在浏览器中输入safe.php文件的绝对地址,程序将自动检测站点中的文件,检测完成后将会显示安全报告。
我们也可以使用专门的网页木马检测工具进行检查,下载一款“网站程序安全分析器”(下载地址:http://www.zyw365.com/soft/softdown.asp?softid=1780),解压后打开主程序(图1),接着使用FTP软件将网站文件全部下载到本地硬盘,选择文件所在的文件夹后点击“扫描”按钮即可。稍等片刻,软件将显示扫描到的木马文件名称,要注意的是,该软件检测比较苛刻,一些组件文件和后台管理程序也会被列入危险文件,在使用时需要仔细鉴别。
批量修复网页
一般黑客侵入网站后都是在网页中加入代码进行木马的种植,从而使用户在浏览网站时自动打开并下载木马程序,一些木马程序会自动在所有的网页文件后面添加一行代码:,如果网站文件很多,手工一个个清除简直是不可能的事。这时可以使用数码龙网页批量修改器进行恶意代码的批量删除。
首先删除网站空间中存在的木马文件,接着下载数码龙网页批量修改器,打开软件主程序后在“删除字符”栏目中输入检测出的恶意代码,然后选择网站文件所在的文件夹,单击“开始”按钮,软件将自动完成网页的修复操作(图2)。当确认没有恶意代码后,将所有文件上传到网站空间即可。