恶意软件如何通过网站感染用户

   Google 宣布，每天有 9,500 个感染了恶意软件的网站有可能会损害网站的访问者。了解恶意软件如何感染网站以及如何防止这样的感染有助于保证您的访问者的计算机不受恶意软件侵扰。

    多年来，恶意软件 这个术语一直用来描述任何类型的恶意程序，包括病毒、木马、蠕虫、间谍软件、流氓软件和广告软件。在计算机发展初期，人们常常将恶意软件看作是通过恶意行为骚扰用户或者炫耀编程技术的恶作剧。基本上，恶意程序感染的人越多，您在某些圈子里的名气就越大。恶意程序往往以电子邮件附件、移动存储介质共享或文件共享服务等手段传递给目标受害者。

    尽管这种类型的恶意软件确实给受害者造成了许多问题，但对大部分攻击者来说无利可图，因此也并未吸引过多的人参与。如今，恶意软件背后的动力已经悄然转变为金钱利益。这些攻击由物质利益驱使，因此恶意软件比以往更加猖獗。不但有更多的人参与创建和分发恶意软件，而且攻击也变得越来越复杂。电子犯罪者已经学会了如何通过以下手段利用恶意软件谋取巨额利润：

    显示和点击广告

    窃取机密数据

    劫持用户会话

    入侵用户登录凭据

    窃取财务信息

    进行欺诈性购买

    制作垃圾邮件

    发起服务拒绝攻击

    为了将其恶意软件递送给尽可能多的受害者，电子犯罪者已经将网站转变为主要分发源之一。

    他们为何会选择网站?

    人们已经学会了不去下载电子邮件中的附件，也对流行的文件共享服务敬而远之，因为许多此类文件都已经被恶意软件感染。但人们并未停止网上冲浪。据互联网世界统计(参考资料 部分提供了一个链接)，在 2011 年，活跃的互联网用户达到了 2,279,709,629 名，而且这个数字仍然在不断增加。

    由于存在如此之大的攻击范围、如此之多的毫无疑心的用户，网站成为致使用户感染恶意软件的最流行介质也毫不意外。事实上，恶意网站已经极为普及，Google 每天要将大约 6,000 个携带某种对访问者存在危险的恶意软件的网站列入黑名单。

    恶意软件如何通过网站传播

    负责使用恶意软件感染网站的攻击者是通过三种方式实现传播的：

    自行创建恶意网站。

    利用 Web 服务器或其配置中的漏洞。

    利用网站依赖的应用程序中的漏洞。

    本文关注的是如何避免您的网站成为此类攻击的牺牲品，因此这里仅讨论后两种方法。

    攻击者发现可以成功利用的漏洞之后，就需要确定如何将恶意软件传递给网站的访问者。表1列出了一些常用方法。

   表 1. 网站分发恶意软件的常用方法

方法         描述

下载         欺骗用户下载恶意代码。常用的一种策略就是告诉访问者需要更新多媒体软件才能观看视频，或者哄骗受害者下载实际上包含恶意软件的 PDF 或其他类型的文件。

横幅广告    欺骗用户点击网站中出现的受感染广告，从而下载恶意文件。

隐蔽式强迫下载(Drive-by downloads)    使用这种方法时，访问者只要访问网站即可下载恶意软件，无需在网站中执行任何操作。 恶意软件可以隐藏在网站的不可见元素中，例如 iframe 或清晰的 JavaScript 代码中;甚至可能会嵌入多媒体文件，例如图片、视频或 Adobe Flash 动画之中。加载页面时，恶意软件将利用浏览器或插件的漏洞，感染访问者的计算机。

    通过服务器漏洞感染网站

    为了解决基于服务器的漏洞问题，我观察了市面上两种最流行的 Web 服务器应用程序：Apache 和 Microsoft® Internet Information Services (IIS)。这两种服务器支撑着所有网站中 78.65% 的比例。

    Apache 和 IIS(或其他任何 Web 服务器)都存在着恶意攻击者可以利用的漏洞。如果攻击者能够入侵服务器软件或服务器本身，那么就可以上传恶意代码，甚至上传整个网页，以便将恶意软件传送给网站访问者。举例来说，允许发生此类攻击的漏洞主要来自两种来源。

    默认安装中的漏洞

    在安装 Web 服务器软件时，人们通常会采用默认配置，但默认配置仅仅会简化网站的发布，而不能保证安全性。此外，Web 服务器的默认安装往往也会包含一些不必要的模块和服务。这些不必要的内容使攻击者有机会无限制地访问您的网站文件。

    每一种操作系统、Web 服务器软件和版本都有着自己的漏洞，只需通过简单的 Web 搜索即可发现这些漏洞。在网站上线之前，应该解决所有已知漏洞。

   存在问题的身份验证和会话管理

    这种来源包含用户身份验证和活动会话管理的所有方面。据 Open Web Application Security Project (OWASP) 表示：“大量的账户和会话管理缺陷会导致用户或系统管理账户遭到入侵。开发团队往往会低估设计身份验证和会话管理架构的复杂程度，无法在网站的所有方面为提供妥善的保护。”

    为了缓解此类漏洞造成的风险，负责管理 Web 服务器和站点的人员需要遵循对于所有密码的强度、存储和更改控制有所要求的密码策略。除此之外，Web 服务器的远程管理功能也应该加密，甚至应该考虑完全关闭，确保用户凭据不会通过传输的方式被窃。

    通过网站中的漏洞上传恶意软件

    如果网站仍然采用静态文本和图像，那么犯罪者就很难利用合法网站传播恶意软件。然而，如今的网站大多由数据库、复杂的代码和第三方应用程序构成，在进一步丰富用户体验的同时也给网站带来了无数种漏洞。

..............

余下全文：http://www.safedog.cn/showNewsInfo.do?manage=1&news=772