央视网站“被黑”的技术性分析

简介:
虎年春节刚过,就收到消息,央视网站又“被黑”了,央视网站(www.CCTV.com)号称“国家网络电视台”,是互联网上的“中央电视台”,但好象是建成这几年“几乎”没有“消停”过。我在Google上搜索了一下,有关它的消息还真不少。我简单地总结了一下:2010年2月15日,网站首页变成一欧洲女人的“走光”照片;2010年1月29日,“星播单”上赫然是几个黄色网站的导航链接;2008年12月1日,音乐频道的首页是一个自称“小波”的黑客改为到此一游的纪念…(照片这里就不贴了,有兴趣的人可以在网上找,当然这也没有什么值得有兴趣的)
对于央视网站安全管理,咱不好评论,只是就网站的技术性问题,做一些分析,希望能给其他网站管理者们一个提示(纯属个人观点,仅供技术探讨之用,欢迎批评指正)。
 
网站连续被黑的现象应该不常见,并且每次持续的时间都超过2个多小时,也就是说,从有人发现到恢复的时间是比较长的,从网上发帖子的时间上看,从用户访问时发现被黑,到网站回应,到网站恢复,有很多值得商榷的地方。我分析可能有下面几方面的原因:
1、网站应急团队处理能力不足:
信息时代的传播速度是每秒上亿次,尤其是在春节期间,2个小时,访问量有多少,不太好估计,应该不会少吧。我们知道,网站的网页被黑,恢复起来应该是比较容易的事情,它不同于网站被攻击瘫痪、蠕虫泛滥,被黑的网页很明确,容易修复(即使不恢复原状,也可以先摘除不雅图片),所以允许有这样长的响应时间,显然是应急响应人员的反应速度太慢,或者是应急响应的流程“太复杂”。这若是在航天飞机上,或者高速铁路上,这样的响应速度,估计就不需要再响应了。
2、对网站应用运行状态的监控能力远不到位:
网站是互联网的“前沿”,是与各种黑客较量的“一线”,黑客不会等我们有了防护他的手段才来“送死”,进攻永远都是出其不意。因此,网站安全中防护技术是建立高一些的入侵门槛,监控能力才是安全体系的要点。
我们前面说的应急响应能力有两个方面很关键,一是“强悍”的团队(不能说央视没有钱维护高水平的队伍),二是有效的工具。对网站动态不能随时掌握,应急响应就成了“瞎子”。从网站被黑的过程看,央视网站有网络层面的管理平台,却没有应用级别的监控平台,也就是说对网页的动态情况的了解是被动的(用户体验后告诉网站)。
也许你会说,央视网站有上万个网页,不可能完全监控;并且动态的网页占多数(用户请求时动态生成,不同用户送出的页面可能不同),没有办法监控…我从技术角度分析一下,这个观点是站不住脚的:
Ø 央视网站是中央电视台网上门户,公众效应非常强,黑客对他感兴趣是自然的,攻击它不仅可以提高黑客自身的声誉,而且网站公众访问量大,也是木马传播的最佳选择。但我们知道,公众影响力的大小与网页的“深浅”有关,换句话说,首页与各频道首页的安全意义是不同的,对这些首页的监控与所有网页监控来比,显然不是一个概念。
Ø 网站新闻的发布是有严格发布审批系统的,也就是说,对首页等主要新闻网页的修改只有这个发布系统才有权限,黑客只有获得了这个发布系统的权限,才可以篡改那些页面,我可以断言:他们对发布系统根本没有有效监控(如在线管理员ID、注册终端位置、修改栏目权限…),审计系统是否完备也很难知晓(有审计起码可以事后追查黑客的攻击线路)。
Ø 对于互动栏目的监控,如博客、BBS等,用户可以上传信息,但这种发布系统应该有审核、过滤的技术手段,很多网站还设有“版主”进行人工审查(审查后才可被看到),发现不良信息随时可以删除,删除时间以秒计算。若说帖子数量多,审查有难度,这种说法也是不通的,因为目前技术主要是依靠自动过滤技术(关键词过滤、信息归类算法等),并且大部分“版主”都是“自然”的外部人,数量根本不受限制。
Ø 还有一种说法:央视网站的这几次被攻击,黑客都是先获取系统权限后,通过“合法”手段进行的网页篡改,传统的网页防篡改技术几乎成了摆设,应用监控也无法发现这些“合理”的篡改。其实,目前网站流行的“爬虫”技术,有两个用途是大家共知的:一是搜索引擎用来更新信息;二是模拟用户访问网页的用户体验(访问时间、界面流畅性等);另外一个用途常被大家忽视,就是查看网页是否被挂木马,或是否被篡改。对于首页等重要网页的基本框架被修改发现是比较容易的,央视春节这次的被黑就是这种情况,有监控起码应该不比用户发现的晚。
3、网站的安全管理者玩忽职守:
我们说:安全管理者就象捧着一个“花瓶”,时刻紧张着才对。能在这么短的时间内“连续”被黑,我估计有下面的因素:
Ø 网站管理者每次恢复,根本没有分析黑客攻击的途径,对攻击利用的漏洞也没有“亡羊补牢”,大门还在继续敞开,一个黑客走进来,千百个黑客跟进来…
Ø 网站内可能已经隐藏了多个黑客,或安装了系统级的“后门”,工作人员前门补上,他们后边继续“打开”…
简单地说:就是每次在恢复网站的后续工作中,没有人跟踪分析黑客攻击线路,头痛医头,脚痛医脚,快速给领导提交一份自己没责任的报告是最重要的…
 
对网站安全的建议:
从对央视网站“被黑”原因的分析中,也给我们提出这样一个问题:网站安全防护与一般内部网络安全防护有多少的不同,由于网站的特殊性,应该注意下面几个方面:
1、             防护上关注系统漏洞的防护和应用漏洞的防护并重,尤其是对SQL注入、XSS、木马的防护,Web的漏洞多于系统漏洞是目前不争的事实,对网关安全产品的选择是需要与业务本身特性进行综合考虑的。
2、             建立网站监控平台是必要的。快速响应的前提是监控到位。网站的公众效应要求网站的恢复响应时间应该在10分钟之内(公众反应时间:这个时间内人常常怀疑是链路差错问题)。监控应该是网络与应用并重,而网站的管理者更为关心的是应用的动态信息。
3、             建立“密罐”是必要的。公众网站是大家关注的焦点,也是新攻击技术的实验场,完全依靠现有的防护技术显然是不足的,通过“密罐”技术,与专业安全公司互动,可以提前发现黑客的嗅探、扫描与攻击试探,可为新攻击技术发动提前预警。
4、             要有强壮的恢复能力。监控是发现,恢复是结果。恢复技术不局限于被动的重新覆盖,恢复中遭遇正在“篡改”或还未离开的黑客,在网站监控反应能力提高到3分钟以内,就可能成为现实,“刺刀见红”的搏击战是免不了的,对网站的控制能力体现在监控响应速度与定位技术上。
   




本文转自 zhaisj 51CTO博客,原文链接:http://blog.51cto.com/zhaisj/280259,如需转载请自行联系原作者
目录
相关文章
|
数据采集 小程序 黑灰产治理
大麦网抢票程序之大麦网网站分析
大麦网抢票程序之大麦网网站分析
3281 0
大麦网抢票程序之大麦网网站分析
|
云安全 运维 监控
案例分享|游戏黑客肆意侵袭,阿里云打响“襁褓”保卫战
公元2021年8月6日《弈剑行》铸剑三年开封在即,正值贼寇ACCN猖狂之风正盛,此时“弈剑元世界“初生,兵力虚弱时遇贼寇进犯,三位铸剑者“宁为玉碎,不为瓦全”,ACCN索财未果,恼而攻城。千日铸剑,溃于一旦,27万“弈剑迷”痛失江湖。
324 0
案例分享|游戏黑客肆意侵袭,阿里云打响“襁褓”保卫战
|
安全
成都本地论坛被黑 曝光帖揭露黑客攻击
         域名被攻击,某个帖子地址被DDOS攻击多达50余万次,网站一度关闭页面进行系统维护……前日下午1点30分,成都本地论坛第四城社区在主页头条位置贴出一则“严正申明”,就29日、30日两天网站连续多次出现访问故障向网友作出说明,表明这是一次有预谋的黑客攻击行为。
1125 0
|
云安全 安全
假期临近木马病毒瞄准学生群体 高校首页频被黑
6月22日,金山毒霸云安全中心发布周(6.22-6.28)病毒预警,随着高考的结束和学生假期的临近,学生群体对高校网站、旅游网站访问量激增,需当心“狂风下载器”暑期作恶。 金山毒霸反病毒专家李铁军介绍,用户一旦感染“狂风下载器”,个人隐私和财产安全都会面临极大风险,由于“狂风下载器”还可以不断下载其他病毒,给用户带来“杀不净”的无限烦恼。
1051 0
话说“武汉真爱医院”负面信息被百度毫不留情的给收录了|网站入侵
今天下午上班时正一如既往的敲着代码,做着手头待完成的工作,突然公司内部技术QQ群弹出消息,是头儿发的,一张图,截图如下:             是一条在百度搜索中以“武汉真爱医院”为关键词搜索出来的信息,相信大家也看到了,显示在第一条的“武汉真爱医院”的页面描述信息“黑心...
1230 0
|
机器学习/深度学习 安全
张学友演唱会成犯罪分子噩梦,阿里云云盾人发布脸对比功能将进一步提升罪犯监察力度
学友哥演唱会抓罪犯只是一个缩影,近年来,学校、医院等公众场合发生暴力事件频频发生,我们在追责的同时,如何对危险性事件再次发生做好预防是重中之重。在学校医院门口监控系统提前录入潜逃犯罪分子、精神病患者信息,安保人员可利用人脸比对发现可疑险情。
1959 0
|
安全 API 数据安全/隐私保护
【阿里聚安全·安全周刊】山寨外挂有风险养蛙需谨慎|健身追踪热度图爆军事基地位置
阿里安全周刊第八十三期,分享本周移动安全热点和技术知识。
2068 0
|
SEO
白帽SEO霸屏技术分享,霸屏并没有想象的那样神秘
霸屏百科解释为:霸占屏幕,最常见的霸屏就是聊天中,过度占用屏幕让别人看不到其他人的说话。
968 0
下一篇
DDNS