10秒后自動關(guān)閉
如何杜絕在線上傳漏洞,阻止黑客上傳網(wǎng)頁木馬

網(wǎng)站是黑客最喜歡的入侵目標,不僅可以植入惡意代碼劫持流量獲利,還可以進一步入侵服務(wù)器,進行勒索或植入挖礦病毒,以及入侵其他網(wǎng)站擴大入侵范圍。


經(jīng)護衛(wèi)神統(tǒng)計,在線上傳攻擊是入侵網(wǎng)站常用的攻擊方式,黑客利用網(wǎng)站的在線上傳漏洞,繞過系統(tǒng)安全驗證,非法植入網(wǎng)頁木馬或后門程序,再通過這些木馬后門實施篡改網(wǎng)站、植入惡意代碼、竊取數(shù)據(jù)等破壞行為。


那么怎么杜絕在線上傳漏洞呢?

或許你首先想到的是優(yōu)化網(wǎng)站程序,修復(fù)上傳漏洞。乍一看這個方法非常好,但實際操作起來難度非法大,幾乎不可行。一是因為這些網(wǎng)站程序往往都很復(fù)雜,根本不知道如何下手。二是修復(fù)一個漏洞的同時可能帶來新的漏洞,漏洞無止境。


如果網(wǎng)站不使用在線上傳功能,最簡單有效的辦法就是刪除在線上傳功能的相關(guān)文件。沒有了在線上傳程序,神仙也沒法上傳網(wǎng)頁木馬。

如果網(wǎng)站要使用在線上傳功能,那就只有換其他方法了。


我們先了解一下什么是網(wǎng)頁木馬和后門?

網(wǎng)頁木馬和后門其實就是普通的網(wǎng)站腳本程序,一般由ASP、PHP、ASP.net、JSP等語言編寫,只是主要起破壞作用,例如任意上傳文件、批量篡改文件、非法操作數(shù)據(jù)庫、掃描系統(tǒng)漏洞等等。我曾經(jīng)見過有人用后門程序來管理網(wǎng)站的。

如果限制網(wǎng)站只能上傳圖片等靜態(tài)文件,不允許上傳ASP、PHP、ASP.net、JSP等動態(tài)腳本文件,不就完美解決在線上傳漏洞了。幾乎所有的在線上傳程序都有限制文件類型的功能,但是很不幸,基本上都存在驗證缺陷,這也是在線上傳漏洞出現(xiàn)的原因。

為了確保效果,我們需要使用第三方手段,建議使用防篡改系統(tǒng)來解決。我們以《護衛(wèi)神.防入侵系統(tǒng)》為例,在“篡改防護”模塊,可以對每個文件類型、每一個文件、每一個目錄做防篡改保護,規(guī)則非常強大,精準限制允許上傳的文件類型。


首先,限制整個網(wǎng)站防篡改,只給讀取權(quán)限(如下圖一)

添加網(wǎng)站全站防篡改

(圖一:添加網(wǎng)站全站防篡改)


然后在高級規(guī)則,逐條添加允許上傳的文件類型;權(quán)限除了禁止執(zhí)行外,其他全部開放(如下圖二)

添加允許上傳的文件類型

(圖二:添加允許上傳的文件類型)


所有高級規(guī)則(如下圖三)

所有高級防篡改規(guī)

(圖三:所有高級防篡改規(guī)則)


特別提示:如果網(wǎng)站有臨時文件需要寫權(quán)限(例如緩存目錄),可以對整個緩存目錄開放寫權(quán)限,但務(wù)必限制該目錄禁止執(zhí)行動態(tài)腳本,可在“護衛(wèi)神.防入侵系統(tǒng)-網(wǎng)站防護-訪問保護-靜態(tài)目錄保護”模塊設(shè)置(如下圖四)

禁止這些目錄執(zhí)行動態(tài)腳本

(圖四:禁止這些目錄執(zhí)行動態(tài)腳本)


如果網(wǎng)站是主流的CMS系統(tǒng),也可以在 “添加CMS防護”快捷添加無副作用的防篡改規(guī)則(如下圖五)

快捷添加無副作用的CMS防篡改規(guī)則

(圖五:快捷添加無副作用的CMS防篡改規(guī)則)



當(dāng)黑客上傳動態(tài)腳本時,攔截效果如下圖六

攔截黑客上傳木馬的日志

(圖六:攔截黑客上傳木馬的日志)


通過上述設(shè)置后,黑客就沒法通過在線上傳漏洞植入網(wǎng)頁木馬和后門了,是不是非常簡單有效,如果你也有此漏洞困擾,趕緊部署吧。