掛馬攻擊防御

什么是掛馬攻擊：掛馬攻擊是指攻擊者在攻擊成功并獲得了網站控制權后，在網站的網頁中嵌入惡意代碼。攻擊者通常會使用iframe框架掛馬、JS掛馬、Body掛馬、隱蔽掛馬、CSS掛馬等方式。

當網站用戶訪問被攻擊成功的網頁時，嵌入的惡意代碼利用瀏覽器本身的漏洞、第三方ActiveX漏洞或其它插件（例如Flash、PDF插件等）漏洞，在用戶不知情的情況下下載并執行惡意木馬。

掛馬攻擊有什么危害：

網站被掛馬攻擊后，表示黑客已成功入侵該網站。黑客可以獲取該網站用戶的賬號密碼、業務數據等敏感數據。如果網站用戶訪問了被攻擊成功的網站，用戶計算機就可能被植入惡意木馬病毒，這些病毒會盜取用戶的各類賬號密碼和數據，例如網銀賬戶、社交賬號和密碼等。惡意木馬病毒還可能會破壞被病毒感染計算機的本地數據，給用戶的信息資產帶來巨大的損失。因此，網站被掛馬不僅會影響網站的公共形象，還可能會造成該網站用戶的計算機系統故障和存儲數據泄露。

如何查找并清除掛馬文件：

網站被掛馬攻擊是指黑客通過漏洞成功入侵網站，并在網站服務器文件系統或代碼內植入了惡意代碼或文件。建議您采用以下方法查找并清除掛馬文件：

如果是特定的惡意代碼，建議您快速根據URL目錄找到掛馬文件，然后刪除。

一般操作系統或應用代碼文件成百上千，靠人工很難識別掛馬文件，建議您使用云安全中心自動化檢測和處理掛馬文件。

您也可以使用人工專家應急響應服務，排查入侵原因，找到漏洞并清理木馬，確保系統安全可靠后再加強防護措施。避免二次入侵或重復發生掛馬事件。

如何防御掛馬攻擊：

及時修復網站系統和網站所在服務器的各類漏洞，可以降低網站被掛馬攻擊的風險。網站被掛馬攻擊會產生較大的危害主要是因為攻擊者在攻擊成功后，可以利用被篡改網頁、瀏覽器或操作系統的漏洞、網頁木馬的下載執行和惡意程序的下載執行等方式，進一步擴大攻擊范圍。因此，您需要從網站系統各個層級去防護網站，抵御掛馬入侵。下圖是一般網站系統的架構。

建議您采用以下解決方法：

1.網絡安全層。

建議您使用ECS安全組、SLB白名單、云防火墻等服務限制不必要的服務端口暴露在外網，防止暴露的服務器端口被黑客利用。

2.主機系統層面。

建議您使用堡壘機管理ECS的登錄方式，并針對不同運維人員按照最小授權原則進行精細化授權。

為云賬號配置強密碼。安全密碼建議設置為8位以上，必須包括大寫字母、小寫字母、數字和特殊字符。同時建議每隔幾個月更換一次密碼，保證安全性。建議開通多因素認證（MFA）或SSH Key憑證登錄。

關注安全漏洞情報，例如關注阿里云網站發布的安全漏洞公告。定期檢測并修復網站本身以及網站所在服務端環境的各類漏洞，及時更新操作系統、應用服務軟件補丁。

建議您開通云安全中心服務，使用云安全中心檢測并修復您服務器上的安全風險、不安全配置項、操作系統漏洞、中間件漏洞等安全風險。

加強文件訪問權限管理。設置敏感目錄訪問權限，限制修改目錄的腳本執行權限，遵循最小授權原則配置文件系統的訪問和修改權限。

3.數據庫層面。

強烈建議不要使用數據庫Web管理工具來管理數據庫，也不要讓Web管理系統直接對公網開放。

配置網絡訪問控制策略，僅允許應用服務器訪問數據庫服務，禁止數據庫服務端口對公網開放。

配置復雜密碼，對數據庫服務進行加固。更多信息請參見數據庫服務安全加固。

4.應用安全層面。

對Web應用中間件進行安全加固。更多信息請參見Web應用安全加固。

在業務代碼上線前，進行代碼安全測試、白盒代碼審計等工作，并在修復已發現漏洞后，再上線發布，防止業務代碼上線后黑客利用存在的漏洞入侵業務系統。

業務系統上線前或上線后，使用漏洞掃描服務定期對網站和Web業務系統進行漏洞掃描，及時處理存在的安全漏洞。

排查程序存在的漏洞，并及時修復漏洞。您可以使用應急響應服務協助您排查漏洞及入侵原因，同時可以使用Web應用防火墻保護您的Web應用。Web應用防火墻可以幫助您攔截外部攻擊行為，降低您的Web應用被黑客入侵的可能性。

點擊下方圖片可購買阿里云云安全acp認證網絡課程，個性化服務，為你的升職加薪之路助力！！！