附錄BDNS服務(wù)器的域名-IP映射關(guān)系

綠盟科技云監(jiān)護(hù)服務(wù)-網(wǎng)站安全監(jiān)測(cè)周報(bào) 第11頁(yè)?2016綠盟科技 內(nèi)部資料

綠盟科技云監(jiān)護(hù)服務(wù)——網(wǎng)站安全監(jiān)測(cè)周報(bào)2016-03-31

至

2016-04-06■提交日期2016-04-07■密級(jí)內(nèi)部資料

?2016綠盟科技

■注意事項(xiàng)適用性：此報(bào)告是監(jiān)測(cè)和診斷的評(píng)估結(jié)果，不保證適用于提交后的時(shí)期。

數(shù)據(jù)有效期：此報(bào)告中涉及的數(shù)據(jù)和文件，綠盟科技將在提交后存檔3個(gè)月備查。

保密聲明：由于此報(bào)告包含有關(guān)安全細(xì)節(jié)，請(qǐng)小心處理，避免遺失。

商標(biāo)信息：綠盟科技、NSFOCUS，是綠盟科技的商標(biāo)。

版權(quán)聲明：本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬綠盟科技所有，并受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)綠盟科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。

感謝您選擇綠盟科技云安全服務(wù)，如您對(duì)本次監(jiān)測(cè)內(nèi)容有任何意見或建議，請(qǐng)及時(shí)反饋給綠盟安全專家團(tuán)隊(duì)，具體聯(lián)系方式如下：綠盟安全專家團(tuán)隊(duì)

北京運(yùn)營(yíng)中心地址：北京市海淀區(qū)車道溝一號(hào)院青東商務(wù)區(qū)A座10層(郵編：100089)

成都運(yùn)營(yíng)中心地址：成都市高新區(qū)科園二路10號(hào)航利中心2棟2單元14樓(郵編：610041)

安全專家團(tuán)隊(duì)7*24小時(shí)客戶支持熱線：400-818-6868轉(zhuǎn)2

電話：(010)68717158/68438880/(028)66330466

傳真：(010)68437328

郵箱：rs@

網(wǎng)址：

監(jiān)測(cè)背景：隨著Web應(yīng)用的日益廣泛及其中蘊(yùn)藏價(jià)值的不斷提升，引發(fā)了黑客的攻擊熱潮，網(wǎng)站內(nèi)容被篡改、頁(yè)面被植入木馬、DDoS攻擊造成業(yè)務(wù)中斷、網(wǎng)站機(jī)密信息被竊取等安全事件的反復(fù)發(fā)生，極大地困擾著網(wǎng)站所有者，給企業(yè)形象、信息網(wǎng)絡(luò)甚至核心業(yè)務(wù)造成嚴(yán)重的破壞，有些安全事件甚至?xí)槠髽I(yè)帶來(lái)法律風(fēng)險(xiǎn)。若能夠主動(dòng)的發(fā)現(xiàn)網(wǎng)站的漏洞，并及時(shí)采取修補(bǔ)措施，則可以降低風(fēng)險(xiǎn)和減少損失。綠盟網(wǎng)站安全監(jiān)測(cè)服務(wù)，通過(guò)不間斷的遠(yuǎn)程監(jiān)測(cè)，為客戶網(wǎng)站提供安全性檢查、安全事件監(jiān)測(cè)、實(shí)時(shí)響應(yīng)和安全趨勢(shì)分析服務(wù)，使其成為用戶網(wǎng)站安全體系的最好補(bǔ)充。

服務(wù)內(nèi)容：綠盟科技為您提供了如下服務(wù)：網(wǎng)頁(yè)掛馬監(jiān)測(cè)遠(yuǎn)程網(wǎng)站平穩(wěn)度監(jiān)測(cè)網(wǎng)頁(yè)敏感字內(nèi)容監(jiān)測(cè)頁(yè)面篡改監(jiān)測(cè)遠(yuǎn)程網(wǎng)站域名解析監(jiān)測(cè)

一.監(jiān)測(cè)狀況概要

最近一周內(nèi)，綠盟科技對(duì)您的2個(gè)站點(diǎn)的2個(gè)頁(yè)面進(jìn)行了持續(xù)16800次的監(jiān)測(cè)。在實(shí)時(shí)監(jiān)測(cè)過(guò)程中，安全專家為您通報(bào)了:

網(wǎng)頁(yè)掛馬事件0次，頁(yè)面變更事件0次，網(wǎng)頁(yè)敏感內(nèi)容事件0次，網(wǎng)站平穩(wěn)度事件0次，網(wǎng)站域名解析事件0次。

結(jié)論：在過(guò)去一周內(nèi)，您的網(wǎng)站監(jiān)測(cè)結(jié)果為安全，請(qǐng)繼續(xù)保持。

二.監(jiān)測(cè)數(shù)據(jù)匯總2.1網(wǎng)站安全監(jiān)測(cè)結(jié)果總覽監(jiān)測(cè)域名監(jiān)測(cè)次數(shù)事件數(shù)掛馬篡改敏感內(nèi)容平穩(wěn)度DNS異常907200000/7728000002.2網(wǎng)站DNS監(jiān)測(cè)結(jié)果授權(quán)域服務(wù)器事件數(shù)統(tǒng)計(jì)表統(tǒng)計(jì)項(xiàng)（域名）解析失敗解析異常解析波動(dòng)事件匯總000ISP緩存服務(wù)器事件數(shù)統(tǒng)計(jì)表統(tǒng)計(jì)項(xiàng)（域名/IP）解析異常事件匯總0三.事件詳情經(jīng)過(guò)一周的安全監(jiān)測(cè)，暫未發(fā)現(xiàn)安全事件。四.安全建議4.1針對(duì)網(wǎng)頁(yè)掛馬1立即清除指向掛馬源的惡意代碼，并恢復(fù)被掛馬頁(yè)面，防止掛馬事件擴(kuò)散對(duì)網(wǎng)站瀏覽者造成危害。2發(fā)現(xiàn)并修補(bǔ)網(wǎng)站相關(guān)的各種應(yīng)用及系統(tǒng)的安全漏洞網(wǎng)頁(yè)掛馬產(chǎn)生的原因，根源在于網(wǎng)站存在各種各樣的安全漏洞。首先，站點(diǎn)可能存在Web應(yīng)用的漏洞，該類漏洞是由于Web應(yīng)用程序編寫的不嚴(yán)謹(jǐn)，未對(duì)輸入/輸出做有效性驗(yàn)證、以及權(quán)限驗(yàn)證不完善，使得攻擊者能夠通過(guò)正常的Web服務(wù)進(jìn)行入侵。這類漏洞包括SQL注入漏洞、跨站腳本（XSS）漏洞等；其次，站點(diǎn)可能存在Web服務(wù)、中間件、數(shù)據(jù)庫(kù)漏洞及錯(cuò)誤配置，攻擊者可以通過(guò)該類漏洞直接獲得Web應(yīng)用的管理權(quán)限，進(jìn)而對(duì)目標(biāo)站點(diǎn)實(shí)施攻擊；第三，目標(biāo)站點(diǎn)還可能存在后臺(tái)操作系統(tǒng)的安全漏洞，如操作系統(tǒng)的緩沖區(qū)溢出漏洞等，攻擊者通過(guò)該類漏洞直接可獲得操作系統(tǒng)的管理權(quán)限，從而對(duì)承載的Web應(yīng)用進(jìn)行多種攻擊。使用漏洞掃描服務(wù)或產(chǎn)品，如綠盟科技“遠(yuǎn)程網(wǎng)站漏洞掃描服務(wù)”、“網(wǎng)站安全監(jiān)測(cè)系統(tǒng)”或“遠(yuǎn)程安全評(píng)估系統(tǒng)”來(lái)發(fā)現(xiàn)漏洞隱患，并根據(jù)給出的建議及時(shí)修復(fù)漏洞。3采用針對(duì)Web應(yīng)用的防護(hù)手段通過(guò)部署網(wǎng)站防護(hù)設(shè)備來(lái)緩解來(lái)自Internet的各類安全威脅，降低網(wǎng)頁(yè)掛馬等安全事件發(fā)生的概率。例如：綠盟科技的“Web應(yīng)用防火墻”產(chǎn)品，能夠?qū)崟r(shí)地防止針對(duì)Web應(yīng)用的攻擊威脅，保障Web應(yīng)用的可用性和可靠性。4.2針對(duì)網(wǎng)頁(yè)篡改黑客篡改網(wǎng)頁(yè)的主要目的有三類：1）政治性，來(lái)自國(guó)內(nèi)外反動(dòng)勢(shì)力的攻擊、和平演變圖謀；

2）健康性，宣揚(yáng)暴力、色情、破壞、炫耀技術(shù)、散布謠言等；

3）利益性，盜取各類帳號(hào)、流量欺騙、倒賣、擴(kuò)散、濫用私有信息。網(wǎng)頁(yè)被惡意篡改，意味著您的網(wǎng)站存在著嚴(yán)重安全漏洞，并且已經(jīng)被黑客利用。您可以采取以下應(yīng)對(duì)措施：1立即恢復(fù)被篡改頁(yè)面，防止篡改事件不良影響擴(kuò)散平時(shí)做好網(wǎng)站備份工作，一旦出現(xiàn)篡改事件，可以立即將網(wǎng)站恢復(fù)到被篡改之前。2發(fā)現(xiàn)并修補(bǔ)網(wǎng)站相關(guān)的各種應(yīng)用及系統(tǒng)的安全漏洞使用漏洞掃描服務(wù)或產(chǎn)品，例如綠盟科技“遠(yuǎn)程網(wǎng)站漏洞掃描服務(wù)”網(wǎng)站安全監(jiān)測(cè)系統(tǒng)”或“遠(yuǎn)程安全評(píng)估系統(tǒng)”來(lái)發(fā)現(xiàn)漏洞隱患，并根據(jù)給出的建議及時(shí)修復(fù)漏洞。3采用針對(duì)Web應(yīng)用的防護(hù)手段通過(guò)部署網(wǎng)站防護(hù)產(chǎn)品，例如綠盟科技的“Web應(yīng)用防火墻”，來(lái)防御解來(lái)自Internet的各類安全威脅，降低網(wǎng)頁(yè)篡改等安全事件發(fā)生的概率。開啟其中的網(wǎng)頁(yè)防篡改功能，即可及時(shí)地檢測(cè)出被篡改頁(yè)面，并能快速將該頁(yè)面恢復(fù)到被篡改之前狀態(tài)。4.3針對(duì)網(wǎng)頁(yè)敏感內(nèi)容1自定義關(guān)鍵字監(jiān)測(cè)由網(wǎng)站管理員在后臺(tái)添加關(guān)鍵字，并定義關(guān)鍵字的輕重級(jí)別。系統(tǒng)生成敏感關(guān)鍵詞庫(kù)，在每新增一篇新文章時(shí)，系統(tǒng)自動(dòng)對(duì)每篇用戶提交的文章標(biāo)題和文章內(nèi)容進(jìn)行掃描，一旦系統(tǒng)發(fā)現(xiàn)匹配的關(guān)鍵字時(shí)，將按系統(tǒng)自定義的操作進(jìn)行相應(yīng)的處理。2潛在危機(jī)用戶監(jiān)測(cè)策略一些用戶可能偏向于發(fā)布負(fù)面如反動(dòng)言論等文章，則需要對(duì)將該用戶設(shè)置為監(jiān)測(cè)用戶，其所有文章都將被監(jiān)測(cè)。若以中立描述為主，則需要盡力引導(dǎo)，做到危機(jī)預(yù)警；若有負(fù)面偏激文章出現(xiàn)，則需進(jìn)行鎖定操作乃至屏蔽IP的處理。3IP監(jiān)測(cè)策略若某IP曾發(fā)表非法文章，則將把該IP列入監(jiān)測(cè)狀態(tài)。情節(jié)較輕的，可屏蔽或禁止該IP在網(wǎng)站上發(fā)言；情節(jié)嚴(yán)重，觸犯法律的，將IP等相關(guān)信息提交司法部門。4用戶發(fā)表文章時(shí)系統(tǒng)觸發(fā)事件1）用戶提交新增文章時(shí)，系統(tǒng)彈出頁(yè)面提示：“文章須經(jīng)系統(tǒng)審核，無(wú)敏感內(nèi)容文章將在***小時(shí)內(nèi)發(fā)布。敏感內(nèi)容包括……”顯示的小時(shí)數(shù)由會(huì)員等級(jí)限制的小時(shí)數(shù)決定。2）文章提交后，將經(jīng)過(guò)系統(tǒng)關(guān)鍵字過(guò)濾等，如一切正常系統(tǒng)自動(dòng)審核機(jī)制啟動(dòng)，在X*12小時(shí)后自動(dòng)發(fā)布。這段時(shí)間內(nèi)，管理員可以進(jìn)行人工審核發(fā)布或排除。5管理員審核界面審核是否能發(fā)布到網(wǎng)站首頁(yè)，或者發(fā)布到個(gè)人博客。4.4針對(duì)網(wǎng)站訪問(wèn)性能1盡量為網(wǎng)頁(yè)減肥我們?yōu)g覽網(wǎng)頁(yè)時(shí)，瀏覽器會(huì)先將網(wǎng)站服務(wù)器中的網(wǎng)頁(yè)內(nèi)容下載到本地硬盤，再通過(guò)網(wǎng)頁(yè)解析引擎把下載到的內(nèi)容重新組合呈現(xiàn)給我們看。下載網(wǎng)頁(yè)的時(shí)間在顯示速度上占了很大比重，所以，網(wǎng)頁(yè)本身所占的空間越小，那么瀏覽速度就會(huì)越快。這就要求在做網(wǎng)頁(yè)的時(shí)候遵循一切從簡(jiǎn)的原則，如：不要使用太大的Flash動(dòng)畫、圖片等資源。2如無(wú)必要，盡量使用靜態(tài)HTML頁(yè)面眾所周知，ASP、PHP、JSP等程序?qū)崿F(xiàn)了網(wǎng)頁(yè)信息的動(dòng)態(tài)交互，運(yùn)行起來(lái)的確非常方便，因?yàn)樗鼈兊臄?shù)據(jù)交互性好，能很方便地存取、更改數(shù)據(jù)庫(kù)的內(nèi)容，使網(wǎng)站“動(dòng)”起來(lái)，如：論壇、留言板等。但是這類程序必須先由服務(wù)器執(zhí)行處理后，生成HTML頁(yè)面，然后再“送”往客戶端瀏覽，這就不得不耗費(fèi)一定的服務(wù)器資源。如果服務(wù)器上過(guò)多地使用這類程序，網(wǎng)頁(yè)顯示速度肯定會(huì)慢，所以如果沒有必要，請(qǐng)盡量使用靜態(tài)的HTML頁(yè)面。3不要將整個(gè)頁(yè)面內(nèi)容塞到一個(gè)Table中很多網(wǎng)頁(yè)設(shè)計(jì)者為了追求頁(yè)面統(tǒng)一對(duì)齊，將整個(gè)頁(yè)面的內(nèi)容都塞進(jìn)了一個(gè)Table（表格）里，然后再由單元格td來(lái)劃分各個(gè)“塊”的布局，這會(huì)導(dǎo)致網(wǎng)頁(yè)顯示速度變慢。因?yàn)門able要等里面所有的內(nèi)容都加載完畢后才顯示出來(lái)的，如果某些內(nèi)容無(wú)法訪問(wèn)，就會(huì)拖延整個(gè)頁(yè)面的訪問(wèn)速度。正確的做法是：將內(nèi)容分割到幾個(gè)具有相同格局的Table中去，不要全都塞到一個(gè)Table里。4使用iframe嵌套另一頁(yè)面如果要在網(wǎng)站上插入一些廣告，又不想讓這些廣告影響網(wǎng)站速度，那么，使用iframe最合適不過(guò)了。方法是：將這些廣告代碼放到一個(gè)獨(dú)立的頁(yè)面去，然后在首頁(yè)用如下的代碼將該頁(yè)面嵌入即可，這樣就不會(huì)因?yàn)閺V告頁(yè)面的延遲而拖了整個(gè)首頁(yè)的顯示，代碼如下：其中http://www.***.com是廣告頁(yè)面的路徑。4.5針對(duì)網(wǎng)站域名解析1DNS通常使用TCP/UDP的53端口，通過(guò)部署在在網(wǎng)絡(luò)邊界上的安全設(shè)備對(duì)這個(gè)端口進(jìn)行過(guò)濾，可以確保DNS服務(wù)器只接受認(rèn)證過(guò)的連接。2部署IPSec來(lái)對(duì)DNS客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密。這意味著客戶端僅僅和認(rèn)證過(guò)的可信服務(wù)器通訊，這樣可以避免遭受中間人欺騙攻擊。3使用默認(rèn)的設(shè)置(動(dòng)態(tài)安全更新)，只有認(rèn)證過(guò)的客戶端才可以注冊(cè)并更新服務(wù)器上的入口信息。這樣可以阻止攻擊者修改DNS入口信息。4使用配額以阻止客戶端對(duì)DNS服務(wù)器發(fā)起flood攻擊。每個(gè)客戶端通常只能注冊(cè)10個(gè)記錄。通過(guò)限制每個(gè)客戶可注冊(cè)的記錄數(shù)目，可以防止客戶端對(duì)DNS服務(wù)器進(jìn)行DoS攻擊。

附錄附錄A目標(biāo)網(wǎng)站的DNS記錄表NS記錄

域名CNAME記錄A記錄PTR記錄NS記錄

MX記錄SOA記錄主服務(wù)器：

管理員郵件地址：域名CNAME記錄A記錄PTR記錄

附錄BDNS服務(wù)器的域名-IP映射關(guān)系授權(quán)域服務(wù)器域名IPISP緩存服務(wù)器域名IP運(yùn)營(yíng)商地區(qū)-中國(guó)鐵通中國(guó)內(nèi)蒙古包頭市

附錄C第三方URL列表URL所在頁(yè)面出現(xiàn)次數(shù)暗鏈1注:此頁(yè)是在您的站點(diǎn)上存在的外部鏈接列表。

附錄D網(wǎng)頁(yè)篡改監(jiān)測(cè)白名單URL列表注:此頁(yè)是網(wǎng)頁(yè)篡改監(jiān)測(cè)白名單列表，即與您確認(rèn)過(guò)的在規(guī)定時(shí)間內(nèi)無(wú)需進(jìn)行網(wǎng)頁(yè)監(jiān)測(cè)的URL。

附錄E監(jiān)測(cè)關(guān)鍵頁(yè)面URL列表URL掛馬篡改敏感內(nèi)容網(wǎng)頁(yè)測(cè)速事件數(shù)量√√√-0總計(jì)111-0/URL掛馬篡改敏感內(nèi)容網(wǎng)頁(yè)測(cè)速事件數(shù)量√√√-0總計(jì)111-0

附錄F監(jiān)測(cè)頻率列表域名掛馬篡改敏感內(nèi)容平穩(wěn)度DNS異常網(wǎng)頁(yè)測(cè)速1次/15分1次/15分1次/15分1次/2分1次/5分-/1次/15分1次/15分1次/15分1次/2分1次/15分-

附錄G名詞解釋名詞解釋明鏈通過(guò)正規(guī)手段獲取的能夠看得到的鏈接。例如友情鏈接、普通的外鏈等。對(duì)客戶網(wǎng)站沒有任何影響。暗鏈利用代碼、字體、網(wǎng)站背景等技術(shù)手段，使鏈接不明顯或讓人看不到的鏈接。但這種鏈接搜索引擎是可以看到的?！鞍垫湣笔且环N搜索引擎優(yōu)