为了避免由于网页被篡改而带来严重的危害,应该优先考虑做好技术防范工作,阻止网页被篡改或将危害降到最低,主要可采取以下技术手段:
1)为服务器升级最新的安全补丁程序:补丁包含操作系统、应用程序、数据库等,都需要打上最新的安全补丁,这个步骤是非常必要的,因为是程序内部的问题,是安全产品难以替代的,主要是为了防止缓冲溢出和设计缺陷等攻击。
2)封闭未用但开放的网络服务端口以及未使用的服务:
对于Windows server 2003操作系统,推荐使用TCP/IP筛选器,可以配合Windows server 2003系统防火墙,当然也可以通过操作比较复杂的IP安全策略来实现;
对于Linux操作系统,可以用自带的IPTable防火墙。
一般用户服务器上架前,会为用户服务器做好服务器端口封闭以及关闭不使用的服务,但不排除部分维护人员为了简便日常维护工作而开启,本工作是一个非常简单的任务,但会大大降低服务器被入侵的可能性,请务必实施。
3)设置复杂的管理员密码:无论是系统管理员、数据库管理员,还是FTP及网站管理员的密码,都务必要设置为复杂密码,原则如下:
不少于8位;至少包含有字母大写、字母小写和数字及特殊字符(@#!$%^&()等);不要明显的规律。
4)合理设计网站程序并编写安全代码:网站目录设计上尽可能将只需要读权限的脚本和需要有写权限的目录单独放置,尽量不要采用第三方不明开发插件,将网站的程序名字按照一定的规律进行命名以便识别;编写代码过程重要注意对输入串进行约束,过滤可能产生攻击的字符串,需要权限的页面要加上身份验证代码。
5)设置合适的网站权限:
网站权限设置包括为每个网站创建一个专属的访问用户和网站目录文件的权限;网站目录文件权限设置原则是:只给需要写入的目录以写的权限,其它全为只读权限;
6)防止ARP欺骗的发生:
安装arp防火墙,并手动绑定网关mac地址。
手动绑定网关mac地址,网关mac地址,可以通过arp命令来查询。
(二)、必要的管理制度和应急处理措施
上文重点从技术的角度分析了最有效解决网页被篡改的安全方案,即我们首先应该把精力投入到做好防护工作上去,尽可能做到不让黑客劫持我们的网络、不让黑客入侵到我们的服务器中去,自然也就解决了网页被篡改的问题,但是作为不备之策,我们仍然强调必须做好以下几个方面的工作:
1)网站数据备份:我们必须做好数据备份工作,因为无论是黑客入侵、硬件故障等问题都可导致数据丢失,但我们可以用备份尽快的恢复业务,所以一定制订好持续的数据备份方案。
2)安全管理制度:任何技术手段的实施,如:打安全补丁、网站权限设置、复杂的密码、防火墙规则等,都需要人来进行完成,若没有良好的制度来指导和管理,那么一切都将是空话,因此,制订好一套行之有效的制度,并配备相关的实施人员,把技术手段贯彻下去是非常必要的。
3)应急处理措施:即便是再好的技术和管理,也不能保证攻击事件不会发生,因此我们要时刻做好网页被篡改的准备,准备好相应的检查、记录和恢复工具,准备好规范的应急步骤,一旦发生,以便有条不紊的尽快予以恢复,并进行记录和总结,必要的可保护现场并进行报案等处理。
被黑掉的经验类似于得到了一个少的可怜的收入,至少,这是最近我从自己的一个网页被人涂改破坏后学习到的感受。
果真,我们的调查发现被毁损的服务器上运行着一个没有打补丁的PHP论坛程序,黑客使用PHP exploit留下了一条短的、友好的信息标明他曾经占领过这个领地。虽然这是一个相对较小的事件,但它强调了有一个有准备的、明智的突发事件响应计划是多么的重要。
有个谚语说的很对:不到危急时刻,没有人会看到一项策略的价值。
信息响应(IR)计划给出了我们的立即响应、调查分析和恢复的过程,它们就像在我们手中互相交叉的三环,为了保证其成功,我们必须做到以下几个方面:服务器隔离这是一台相当重要的服务器,因此我们必须保证其安装性,并将其从网络中隔离。我们在服务器和外部网络之间通过防火墙规则来拦截攻击行为,然后我们就可以关闭响应的交换机端口,将服务器隔离。一旦隔离完成,我们就可以暂停记录发现的时间,这将发现黑客以及黑客所进行的行为,这也是为法庭分析和可能的诉讼行为提供证据的重要步骤。
黑客跟踪黑客没有删除日志,因此我们花很短的时间就发现黑客多次使用一个固定的脚本尝试攻击PHP。我们真正想知道的是黑客是否得到了root用户的权限,或者他使用此服务器作为垫脚石对其它系统进行攻击。对重要文件的CRC校验告诉我们,它们并没有被更改和损坏,在内存中也没有可疑的进程运行。我们检查了论坛程序供应商的站点,的确,在攻击发生前的一周,供应商已经发表了有关此漏洞的声明,并且已经推出了补丁程序。这就没有问题了――一个星期的时间对黑客来说已经足够了。
我们震惊于在我们的IDS日志中没有发现PHP攻击的证据,我们的IDS供应商告诉我们,在下一次计划中的签名更新之前,签名将有大约两星期的使用时间。也就使说,在漏洞和攻击被发现,和IDS签名变得可用之前,有三个星期的缺口。
总结教训我们从此次事件中总结出了经验教训:确信你的系统管理员跟上了最新的补丁(每个月一次是不够的),并且经常查看日志(一周一次也远远不够)。安全管理员必须知道各台机器都安装了什么软件,以便他们能够提防相关的漏洞和弱点。不要依靠任何唯一的IDS供应商,因为签名对第一防御范围来说可能到达的太晚。考虑在面向公众的服务器上实施Tripwire(一个入侵检测系统),监视重要文件属性的改变。
一、使用防病毒软件并且经常将其升级更新,从而使有破坏性的程序远离你的计算机。
三、使用由数字和字母混排而成、难以被破译的口令密码,并且经常更换。
四、对不同的网站和程序,要使用不同口令,以防止被黑客破译。
五、使用最新版本的万维网浏览器软件、电子邮件软件以及其他程序。
六、只向有安全保证的网站发送信用卡号码,留意寻找浏览器底部显示的挂锁图示或钥匙形图标。
七、确认你要打交道的网站地址,留意你输入的地址,比如不要把ana-zon.com写成amozon.com。
八、使用有对cookie程序控制权的安全程序,cookie程序会把信息传送回网站。
九、如果你使用数字用户专线或是电缆调制解调器连接英特网,那就要安装防火墙软件,监视数据流动。
十、不要打开电子邮件的附件,除非你知道信息的来源问题非原创 我从接了几点 你慢慢看吧
政府官网是政务平台和舆论阵地,如果遇到题中所述的问题,作为网站管理者,我一定会迅速行动,积极采取对策,调动各方面力量,积极行动起来,努力将此次事件的负面影响降到最低。具体来说我会从以下几个方面开展工作。第一,告知公众,降低负面影响。第一时间联系技术人员,关停网站,启动应急预案,将网站调整到维护的状态。通过网站上滚动字幕播放,以及“两微一端”、广播、电视、报纸等媒体,将实际情况向社会公开,向群众道歉,降低此次事件所带来的负面影响。同时,告知群众我们会尽快对网站进行维护,这期间不要轻信任何谣言,我们会将实时情况及时进行通报。另外,开通信箱和电话,及时收集群众的疑问,了解群众此时的诉求。第二,调查此次事件的原因。如果此次事件涉及网站监管人员在工作上的疏忽,建议对相关责任人员进行严厉的批评教育;同时请求网监和公安部门协助,对黑客的来源和具体的技术行为进行调查、记录,对违法行为依法处置,尤其对参与赌博的用户信息进行登记,便于后续追责处理。第三,对网站进行整修维护。尽快组织技术人员恢复官网运行,并对网站信息进行详细核实,避免恢复过程中出现新的问题。同时加强网站的防火墙建设,更新服务器配置,并对技术人员进行技术培训,召开座谈会进行案例分析,对黑客的技术特点等进行研究。另外,加强对网站运行万面的监管,可采用网站工作人员轮岗制,提高每个工作人员的警觉性,指定专人进行定期和不定期的检测与维修。第四,后续问题的处理。查清此次事件的原因后,将调查结果及处理措施等及时向社会公布,消除公众疑虑。同时建立长效机制,了解群众的建议和诉求,拓宽政府信息公开渠道,如咨询电话、加强微博微信互动,及时解答群众疑问。并以此为契机,将我们网站维护的动态和识别虚假网站、防止上当受骗的常识告知群众,让政府官网成为建设服务型政府的名片。