2月6日下午，由于第三方網(wǎng)絡服務商CDN的服務器遭遇黑客攻擊，間接導致了部分用戶在訪問毒霸官方網(wǎng)站的時候可能會遇到掛馬問題。發(fā)現(xiàn)問題后，金山緊急 聯(lián)系了CDN方面,并協(xié)助CDN方面在問題出現(xiàn)后的第一時間內(nèi)成功解決了問題。廣大用戶可放心登陸金山毒霸官方網(wǎng)站，特此聲明。

北京金山安全軟件有限公司

2010年2月6日

 

關于CDN劫持的一些說明：

CDN劫持會間接造成掛馬，從客戶端看都是訪問這個站發(fā)現(xiàn)掛馬現(xiàn)象，實際上源服務器一切正常。金山毒霸的用戶不會在此事件中受到傷害，網(wǎng)盾可以攔截任何形式的網(wǎng)頁掛馬。

有關上網(wǎng)、會話劫持與網(wǎng)頁掛馬的關系，請參考2007年我寫的一個小文章《客戶端上網(wǎng)流程、網(wǎng)站掛馬、會話劫持》

通常用戶訪問某個Web站點的過程如下圖所示：

用戶的訪問過程包含以下環(huán)節(jié)：

 

1.客戶端通過ISP訪問互聯(lián)網(wǎng)，ISP指網(wǎng)通、電信的ADSL或長寬、歌華、鐵通等互聯(lián)網(wǎng)接入服務商

 

2.客戶訪問某站點的鏡像服務器獲取資料

 

3.部分站點沒有配置鏡像服務器，用戶直接訪問源服務器。

 

攻擊點：

 

1.在客戶端（網(wǎng)民）主機或網(wǎng)絡中發(fā)送攻擊代碼，比如ARP攻擊，插入惡意代碼，誘使用戶訪問攻擊者指定的站點，這時會 影響該客戶端或其所在的網(wǎng)絡

 

2.ISP服務商的網(wǎng)絡，比如部分無良服務商強制插入廣告�；蛘逫SP服務商被攻擊，用戶訪問了攻擊者設定的內(nèi)容。

 

解決辦法：

 

用戶到服務器之間的鏈路掛馬，只能由用戶端或ISP們解決。這種類型的掛馬，表現(xiàn)為某用戶或某地用戶訪問特定網(wǎng)站時發(fā)現(xiàn) 掛馬，而其它地區(qū)的客戶未發(fā)現(xiàn)掛馬。

 

源服務器和鏡像服務器之間的鏈路：

 

1.服務器內(nèi)容提供者管理源服務器的內(nèi)容

 

2.源服務器和鏡像服務器按某種機制同步內(nèi)容

 

3.在用戶訪問鏡像服務器上沒有的內(nèi)容時，鏡像服務器從源服務器同步攻擊點：

 

(1).源服務器被入侵，攻擊者直接修改了源內(nèi)容。這樣，通過鏡像同步后，所有客戶端訪問該站點都會發(fā)現(xiàn)掛馬。通常這種現(xiàn)象 被稱“服務器被黑了”

 

(2).鏡像服務器或服務器所在機房的網(wǎng)絡中某臺主機被入侵，攻擊者通過會話劫持把被修改的內(nèi)容提供給用戶。這個情況較常見，比如機房中總能找到容易被入侵的 主機，攻擊者在這臺主機上安裝攻擊程序，然后利用ARP攻擊手段影響整個機房局域網(wǎng)。

 

(3).在源和鏡像同步的鏈路中間下手，劫持篡改了從源到鏡像的數(shù)據(jù)，鏡像得到的是被篡改后的源內(nèi)容。

 

解決方案：

 

1.加固源服務器，恢復被篡改的內(nèi)容

 

2.查找機房的攻擊源，隔離攻擊源，機房各主機之間綁定MAC和IP地址，防止ARP攻擊得手

 

3.源服務器和鏡像服務器之間采用加密通信，比如VPN，這樣會消耗較多帶寬，降低性能。

 

最安全的作法：

 

也最極端，從客戶端到源服務器之間的通信全部加密，這樣安全性會得到保證，但影響了用戶體驗。典型例子是網(wǎng)絡銀行客戶 端，全程加密所有數(shù)據(jù)。

 

對普通網(wǎng)民來講，本地安裝的反病毒軟件是保護電腦安全的最后一道防線，請及時升級，呼吁使用正版。

標簽： isp 安全 代碼 服務器 服務商 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)接入 機房 通信 網(wǎng)絡

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。