企业级Web服务器安全该怎么做？主动出击！

不但企业的门户网站被篡改、资料被窃取，而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作肉鸡，来传播病毒、恶意插件、木马等等。笔者认为，这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全，笔者认为，Web安全要主动出击。具体的来说，需要做到如下几点。

一、在代码编写时就要进行漏洞测试

现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的，是通过代码堆积起来的。如果这个代码只供企业内部使用，那么不会带来多大的安全隐患。但是如果放在互联网上使用的话，则这些为实现特定功能的代码就有可能成为攻击者的目标。笔者举一个简单的例子。在网页中可以嵌入SQL代码。而攻击者就可以利用这些SQL代码来发动攻击，来获取管理员的密码等等破坏性的动作。有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时，其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。

为此在为网站某个特定功能编写代码时，就要主动出击。从编码的设计到编写、到测试，都需要认识到是否存在着安全的漏洞。笔者在日常过程中，在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。至少现在已知的病毒、木马不能够在你所开发的插件中有机可乘。通过这层层把关，就可以提高代码编写的安全性。

二、对Web服务器进行持续的监控

冰冻三尺、非一日之寒。这就好像人生病一样，都有一个过程。病毒、木马等等在攻击Web服务器时，也需要一个过程。或者说，在攻击取得成功之前，他们会有一些试探性的动作。如对于一个采取了一定安全措施的Web服务器，从攻击开始到取得成果，至少要有半天的时间。如果Web管理员对服务器进行了全天候的监控。在发现有异常行为时，及早的采取措施，将病毒与木马阻挡在门户之外。这种主动出击的方式，就可以大大的提高Web服务器的安全性。

笔者现在维护的Web服务器有好几十个。现在专门有一个小组，来全天候的监控服务器的访问。平均每分钟都可以监测到一些试探性的攻击行为。其中99%以上的攻击行为，由于服务器已经采取了对应的安全措施，都无功而返。不过每天仍然会遇到一些攻击行为。这些攻击行为可能是针对新的漏洞，或者采取了新的攻击方式。在服务器上原先没有采取对应的安全措施。如果没有及时的发现这种行为，那么他们就很有可能最终实现他们的非法目的。相反，现在及早的发现了他们的攻击手段，那么我们就可以在他们采取进一步行动之前，就在服务器上关掉这扇门，补上这个漏洞。

笔者在这里也建议，企业用户在选择互联网Web服务器提供商的时候，除了考虑性能等因素之外，还要评估服务提供商能否提供全天候的监控机制。在Web安全上主动出击，及时发现攻击者的攻击行为。在他们采取进一步攻击措施之前，就他们消除在萌芽状态。

三、设置蜜罐，将攻击者引向错误的方向

在军队中，有时候会给军人一些“伪装”，让敌人分不清真伪。其实在跟病毒、木马打交道时，本身就是一场无硝烟的战争。为此对于Web服务器采取一些伪装，也能够将攻击者引向错误的方向。等到供给者发现自己的目标错误时，管理员已经锁定了攻击者，从而可以及早的采取相应的措施。笔者有时候将这种主动出击的行为叫做蜜罐效应。简单的说，就是设置两个服务器。其中一个是真正的服务器，另外一个是蜜罐。现在需要做的是，如何将真正的服务器伪装起来，而将蜜罐推向公众。让攻击者认为蜜罐服务器才是真正的服务器。要做到这一点的话，可能需要从如下几个方面出发。

一是有真有假，难以区分。如果要瞒过攻击者的眼睛，那么蜜罐服务器就不能够做的太假。笔者在做蜜罐服务器的时候，80%以上的内容都是跟真的服务器相同的。只有一些比较机密的信息没有防治在蜜罐服务器上。而且蜜罐服务器所采取的安全措施跟真的服务器事完全相同的。这不但可以提高蜜罐服务器的真实性，而且也可以用来评估真实服务器的安全性。一举两得。

二是需要有意无意的将攻击者引向蜜罐服务器。攻击者在判断一个Web服务器是否值得攻击时，会进行评估。如评估这个网站的流量是否比较高。如果网站的流量不高，那么即使被攻破了，也没有多大的实用价值。攻击者如果没有有利可图的话，不会花这么大的精力在这个网站服务器上面。如果要将攻击者引向这个蜜罐服务器的话，那么就需要提高这个蜜罐服务器的访问量。其实要做到这一点也非常的容易。现在有很多用来交互流量的团队。只要花一点比较小的投资就可以做到这一点。

四、专人对Web服务器的安全性进行测试

俗话说，靠人不如靠自己。在Web服务器的攻防战上，这一个原则也适用。笔者建议，如果企业对于Web服务的安全比较高，如网站服务器上有电子商务交易平台，此时最好设置一个专业的团队。他们充当攻击者的角色，对服务器进行安全性的测试。这个专业团队主要执行如下几个任务。

一是测试Web管理团队对攻击行为的反应速度。如可以采用一些现在比较流行的攻击手段，对自己的Web服务器发动攻击。当然这个时间是随机的。预先Web管理团队并不知道。现在要评估的是，Web管理团队在多少时间之内能够发现这种攻击的行为。这也是考验管理团队全天候跟踪的能力。一般来说，这个时间越短越好。应该将这个时间控制在可控的范围之内。即使攻击最后没有成功，Web管理团队也应该及早的发现攻击的行为。毕竟有没有发现、与最终有没有取得成功，是两个不同的概念。

二是要测试服务器的漏洞是否有补上。毕竟大部分的攻击行为，都是针对服务器现有的漏洞所产生的。现在这个专业团队要做的就是，这些已发现的漏洞是否都已经打上了安全补丁或者采取了对应的安全措施。有时候我们都没有发现的漏洞是无能为力，但是对于这些已经存在的漏洞不能够放过。否则的话，也太便宜那些攻击者了。

我们常见攻击类型和特征及方法

攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。

常见的攻击方法

您也许知道许多常见的攻击方法，下面列出了一些：

· 字典攻击：黑客利用一些自动执行的程序猜测用户命和密码，审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。

· Man-in-the-middle攻击：黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。

· 劫持攻击：在双方进行会话时被第三方(黑客)入侵，黑客黑掉其中一方，并冒充他继续与另一方进行会话。虽然不是个完全的解决方案，但强的验证方法将有助于防范这种攻击。

· 病毒攻击：病毒是能够自我复制和传播的小程序，消耗系统资源。在审计过程中，您应当安装最新的反病毒程序，并对用户进行防病毒教育。

· 非法服务：非法服务是任何未经同意便运行在您的操作系统上的进程或服务。您会在接下来的课程中学到这种攻击。

· 拒绝服务攻击：利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。

容易遭受攻击的目标

最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器，和与协议相关的服务，如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。

路由器

连接公网的路由器由于被暴露在外，通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议，尤其是SNMPv1，成为潜在的问题。许多网络管理员未关闭或加密Telnet会话，若明文传输的口令被截取，黑客就可以重新配置路由器，这种配置包括关闭接口，重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。

过滤Telnet

为了避免未授权的路由器访问，您应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口

技术提示：许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉，因为路由器并不需要过多的维护工作。如果需要额外的配置，您可以建立物理连接。

路由器和消耗带宽攻击

最近对Yahoo、e-Bay等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些攻击是由下列分布式拒绝服务攻击工具发起的：

· Tribal Flood Network(TFN)

· Tribal Flood Network(TFN2k)

· Stacheldraht(TFN的一个变种)

· Trinoo(这类攻击工具中最早为人所知的)

因为许多公司都由ISP提供服务，所以他们并不能直接访问路由器。在您对系统进行审计时，要确保网络对这类消耗带宽式攻击的反映速度。您将在后面的课程中学习如何利用路由器防范拒绝服务攻击。

数据库

黑客最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中，这些信息包括：

· 雇员数据，如个人信息和薪金情况。

· 市场和销售情况。

· 重要的研发信息。

· 货运情况。

黑客可以识别并攻击数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口，您应该确保防火墙能够对该种数据库进行保护。您会发现，很少有站点应用这种保护，尤其在网络内部。

服务器安全

WEB和FTP这两种服务器通常置于DMZ，无法得到防火墙的完全保护，所以也特别容易遭到攻击。Web和FTP服务通常存在的问题包括：

· 用户通过公网发送未加密的信息;

· 操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统;

· 旧有操作系统中以root权限初始运行的服务，一旦被黑客破坏，入侵者便可以在产生的命令解释器中运行任意的代码。

Web页面涂改

近来，未经授权对Web服务器进行攻击并涂改缺省主页的攻击活动越来越多。许多企业、政府和公司都遭受过类似的攻击。有时这种攻击是出于政治目的。大多数情况下Web页面的涂改意味着存在这入侵的漏洞。这些攻击通常包括Man-in-the-middle攻击(使用包嗅探器)和利用缓冲区溢出。有时，还包括劫持攻击和拒绝服务攻击。

邮件服务

广泛使用的SMTP、POP3和IMAP一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。又由于大多数人对多种服务使用相同的密码，攻击者可以利用嗅探器得到用户名和密码，再利用它攻击其它的资源，例如Windows NT服务器。这种攻击不仅仅是针对NT系统。许多不同的服务共享用户名和密码。您已经知道一个薄弱环节可以破坏整个的网络。FTP和SMTP服务通常成为这些薄弱的环节。

与邮件服务相关的问题包括：

· 利用字典和暴力攻击POP3的login shell;

· 在一些版本中sendmail存在缓冲区溢出和其它漏洞;

· 利用E-mail的转发功能转发大量的垃圾信件

名称服务

攻击者通常把攻击焦点集中在DNS服务上。由于DNS使用UDP，而UDP连接又经常被各种防火墙规则所过滤，所以许多系统管理员发现将DNS服务器至于防火墙之后很困难。因此，DNS服务器经常暴露在外，使它成为攻击的目标。DNS攻击包括：

· 未授权的区域传输;

· DNS 毒药，这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功，攻击者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息;

· 拒绝服务攻击;

其它的一些名称服务也会成为攻击的目标，如下所示：

· WINS，“Coke”通过拒绝服务攻击来攻击没有打补丁的NT系统。

· SMB服务(包括Windows的SMB和UNIX的Samba)这些服务易遭受Man-in-the-middle攻击，被捕获的数据包会被类似L0phtCrack这样的程序破解。

· NFS和NIS服务。这些服务通常会遭受Man-in-the-middle方式的攻击。

在审计各种各样的服务时，请考虑升级提供这些服务的进程。

审计系统BUG

作为安全管理者和审计人员，您需要对由操作系统产生的漏洞和可以利用的软件做到心中有数。早先版本的Microsoft IIS允许用户在地址栏中运行命令，这造成了IIS主要的安全问题。其实，最好的修补安全漏洞的方法是升级相关的软件。为了做到这些，您必须广泛地阅读和与其他从事安全工作的人进行交流，这样，您才能跟上最新的发展。这些工作会帮助您了解更多的操作系统上的特定问题。

虽然大多数的厂商都为其产品的问题发布了修补方法，但您必须充分理解补上了哪些漏洞。如果操作系统或程序很复杂，这些修补可能在补上旧问题的同时又开启了新的漏洞。因此，您需要在实施升级前进行测试。这些测试工作包括在隔离的网段中验证它是否符合您的需求。当然也需要参照值得信赖的网络刊物和专家的观点。

审计Trap Door和Root Kit

Root kit是用木马替代合法程序。Trap Door是系统上的bug，当执行合法程序时却产生了非预期的结果。如老版本的UNIX sendmail，在执行debug命令时允许用户以root权限执行脚本代码，一个收到严格权限控制的用户可以很轻易的添加用户账户。

虽然root kit通常出现在UNIX系统中，但攻击者也可以通过看起来合法的程序在Windows NT中置入后门。象NetBus,BackOrifice和Masters of Paradise等后门程序可以使攻击者渗透并控制系统。木马可以由这些程序产生。如果攻击者够狡猾，他可以使这些木马程序避开一些病毒检测程序，当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时，您可以通过校验分析和扫描开放端口的方式来检测是否存在root kit等问题。

审计拒绝服务攻击

Windows NT 易遭受拒绝服务攻击，主要是由于这种操作系统比较流行并且没有受到严格的检验。针对NT服务的攻击如此频繁的原因可以归结为：发展势头迅猛但存在许多漏洞。在审计Windows NT网络时，一定要花时间来验证系统能否经受这种攻击的考验。打补丁是一种解决方法。当然，如果能将服务器置于防火墙的保护之下或应用入侵监测系统的话就更好了。通常很容易入侵UNIX操作系统，主要因为它被设计来供那些技巧!

审计和后门程序

通常，在服务器上运行的操作系统和程序都存在代码上的漏洞。例如，最近的商业Web浏览器就发现了许多安全问题。攻击者通常知道这些漏洞并加以利用。就象您已经知道的RedButton，它利用了Windows NT的漏洞使攻击者可以得知缺省的管理员账号，即使账号的名称已经更改。后门(back door)也指在操作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug，这种后门是由设计者有意留下的。例如，像Quake和Doom这样的程序含有后门入口允许未授权的用户进入游戏安装的系统。虽然看来任何系统管理员都不会允许类似的程序安装在网络服务器上，但这种情况还是时有发生。

从后门程序的危害性，我们可以得出结论，在没有首先阅读资料和向值得信赖的同事咨询之前不要相信任何新的服务或程序。在您进行审计时，请花费一些时间仔细记录任何您不了解它的由来和历史的程序。

主要是访问日志：

可以针对ip、攻击方式进行初步判断，分析访问文件以确定web内可能被入侵的入口，并针对不同的攻击方式采取相应的防御策略，如果有较高技术水平还可以试着分析攻击来源采取一定的反制措施。

第一部分 web的安全需求

11 Web安全的体系结构，包括主机安全，网络安全和应用安全;

12 Web浏览器和服务器的安全需求;

在已知的web服务器(包括软硬件)漏洞中，针对该类型web服务器的攻击最少;

对服务器的管理操作只能由授权用户执行;

拒绝通过web访问web服务器上不公开发布的内容;

禁止内嵌在OS或者 web server软件中的不必要的网络服务;

有能力控制对各种形式的exe程序的访问;

能够对web操作进行日志记录，以便于进行入侵检测和入侵企图分析;

具有适当的容错功能;

13 Web传输的安全需求

Web服务器必须和内部网络隔离：

有四种实现方式，应选择使用高性能的cisco防火墙实现隔离

Web服务器必须和数据库隔离;

维护一份web站点的安全拷贝：来自开发人员最终发布的版本(内容安全);

其次，存储的地点是安全的(另一台独立的位于防火墙之后的内网的主机);

还有，定期备份应该使用磁带，可擦写光盘等媒介;

14 Web面临的威胁：信息泄露，拒绝服务，系统崩溃，跳板。

第二部分 web服务器的安全策略

主机操作系统是web的直接支撑着，必须合理配置主机系统，为WEB 服务器提供安全支持：

只提供必要的服务;

某种服务被攻击不影响其它服务;

使用运行在其它主机上的辅助工具并启动安全日志;

设置web服务器访问控制规则：

通过IP,子网，域名来控制;

通过口令控制;

使用公用密钥加密算法;

设置web服务器目录权限;

关闭安全性脆弱的web服务器功能例如：自动目录列表功能;符号连接等

谨慎组织web服务器的内容：

链接检查;

CGI程序检测(如果采用此技术);

定期对web服务器进行安全检查;

辅助工具：SSH;

文件系统完整性检测工具;

入侵检测工具;

日志审计工具;

第三部分 web攻击与反攻击

入侵检测方法：

物理检查;

紧急检查;

追捕入侵者;

攻击的类型：

拒绝服务;

第四部分 源代码的安全及约束规则

不能留有后门程序和漏洞，包括系统架构是否合理，是否符合安全需求汇编反汇编、病毒反病毒。

最后，至于 cookies的安全、加密技术、web浏览器的安全、web服务器的安全每个公司设置的规则都不一样，因人而异。

如果服务器（网站）被入侵了,一般都是服务器或者网站存在漏洞，被黑客利用并提权入侵的，导致服务器中木马，网站被挂黑链，被篡改，被挂马。解决办法：如果程序不是很大，可以自己比对以前程序的备份文件，然后就是修复，或者换个服务器，最好是独立服务器。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业