2005年2月28日

大公司更該重視網站安全

在 PCDVD 網站中又看到大公司的網站被植入木馬(PCDVD BenQ 官方網站被植入特洛伊病毒???),加上先前研勤-Papago 網站也曾被植入木馬,就為這些公司不重視網站安全感到納悶跟嘆息!

其實這兩個案例都不是網站真的被植入有害的木馬,只是單純的網頁被替換掉而以。可是對流覽該網站的用戶而言卻莫名其妙的受到傷害,追根究底只是這些網站管理人根本不在乎、不重視網站安全所導致。

怎麼檢查自己的網站有沒有被替換過呢?雖然說目前的網站超過半數以上都是動態產生,每時每分每秒的輸出都不盡相同,但至少可以做兩種檢測動作:

  1. 設法取得網站上的原始檔案與偵測系統中的記錄做比對。
  2. 檢查網頁輸出原始檔中是否有來歷不明的 <iframe> 項目,以研勤和 Benq 而言,都是在網頁末端被加上了 <iframe width=0 height=0 src=http://.....></iframe> 的內容,而 src 所指定的檔案通常並非檔名所列的 .htm 檔,並且因為該檔案只會影響 Internet Explorer Browser,所以木馬本體應該是一個 ActiveX 元件,如下:
Benq 上被植入的木馬內容
ada@server ada $ wget http://www.szadk.com/new.htm
--00:34:00--  http://www.szadk.com/new.htm
           => `new.htm'
正在查找主機 www.szadk.com… 66.197.186.150
正在連接 www.szadk.com66.197.186.150:80… 連上了。
已送出 HTTP 要求,正在等候回應… 200 OK
長度:1,994 text/html

100%[====================================>] 1,994 --.--K/s

00:34:01 (617.79 KB/s) ─ 已儲存‘new.htm’[1994/1994])

ada@server ada $ file new.htm new.htm: MPEG ADTS, layer I, v1, 96 kBits, Stereo ada@server ada $

在這些網站管理人改善前,使用者也可以透過使用其他流覽器進行消極的預防作業,例如 Mozilla Firefox等。不過請注意一點: 並不是不使用 IE 就一定不會受到木馬感染 ,那是需要個人建立起良好的衛生習慣後才可能讓風險降至最低的!