叶正旺，庄 严

(通化师范学院 网络中心，吉林 通化134002)

1 引言

网站挂马近年来一直是国内互联网安全最严重的威胁，对教育网网站也构成了危害.在2010年9月，北大计算机所信安中心利用研发实现的北大网页挂马检测平台，针对教育网中的网站进行网站挂马检测，发现分别属于314所不同高校的577个网站被恶意挂马，网站挂马率为3.15%，高于同期检测的科研系统网站挂马率(2.46%)和政府网站挂马率(1.03%).而且在高校网站挂马统计中，发现87.9%的网站均为二级或者三级域名网站，而一级域名网站挂马仅为少数.这些数据表明高校网站，特别是二级网站存在很大的安全隐患[1].

为了保障高校与外界网络信息沟通的通道畅通无阻.必须加强高校网站的安全管理，尤其是学校二级网站的安全管理.

2 二级网站恶意挂马的常见形式

高校二级网站的建设，主要是为各系部用于解决师生信息获得，网上教学、交流，院系动态信息发布和后台管理维护等问题.不仅是教学、科研等各项活动的交互窗口，更是一种高效的管理方法和手段.但同时它也成为网络攻击的对象，经常会受到攻击而使一些网站被篡改、被挂马，不能正常发挥原有的作用.

2.1 黑客入侵

黑客入侵是比较普遍的一种攻击，主要包括扫描攻击：这类攻击是黑客利用端口或地址扫描技术，探测目标地址或开放的端口.体系机构探测攻击：是使用具有已知响应类型数据库的自动工具，对来自目标主机的数据包传送所作出的响应进行检查，从而获取系统信息，进一步达到控制服务器的目的.另外还有部分二级学院网站可能采用动易、风讯等新闻类发布系统，由于其源代码的开放性，黑客可轻而易举获取系统已知存在的漏洞[2].

2.2 病毒攻击

计算机病毒由于具有寄生性、破坏性、隐蔽性、潜伏性、传染性和可触发性等特点，而更加难以防范，中毒后将导致IIS等正常的程序无法运行，系统瘫痪，网站内容遭到删除或受到不同程度的损坏[3].

2.3 恶意代码攻击

此类威胁在二级学院网站尤其突出，由于多个二级学院网站架设在同一台服务器上，恶意代码会自动在各个网站源代码中嵌入病毒代码，用户浏览嵌套有恶意代码网站时，会自动在客户端下载木马，造成用户电脑感染病毒.从而获得管理员权限，控制整个网站.针对二级网站被恶意挂马可以归结为以下几类：

(1)IFRAME框架挂马：是常见的一种挂马方式，通常的挂马代码是：.这种挂马方式通过在网页内嵌入0*0的框架，让用户在视觉上看不见.当运行时，网页木马利用iframe语句，加载到任意页中都可执行实现入侵网站服务器.

(2)JS挂马：JS脚本是JavaScript脚本语言的简称，它是一种面向对象的脚本语言，目前广泛用于动态网页的编程.JS脚本在挂马时可以直接将JS代码写在网页中，也可以通过注入网页，让网站远程调取异地JS脚本.JS挂马插入Web页面的方法对于一般人来说很难辨别木马在何处.通常代码如下：.这里http://www.xxx.com/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端.JS挂马侵入很深的网站代码中，不明显，不容易发现，所以很难防范.

(3)CSS挂马：类似JS挂马，没有JS灵活，就是在CSS加入iframe.在互动性非常强的论坛和博客中，往往提供丰富的功能，并且会允许用户使用CSS层叠样式表来对网站的网页进行自由的修改，这为CSS挂马创造了条件.黑客在利用CSS挂马时，往往是借着网民对某些大网站的信任，将CSS恶意代码挂到博客或者其他支持CSS的网页中，当网民访问该网页时恶意代码就会执行.

(4)图片挂马[4]：是将一些木马文件修改后缀名(修改为图像文件后缀)进行上传.另外有的是通过伪造图片绕过各网站的上传系统，将代码隐藏在图片文件中以获得执行.这种挂马方式是将HTML代码伪装成图片，浏览器在对其进行解析的时候会将其中隐藏的HTML或客户端脚本代码解释执行.图片木马是比较新颖的一种挂马隐蔽方法，但简单讲就是图片本身是html文件，只是把扩展名改了.

(5)伪装调用挂马[5]：它是网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行.这种挂马方式主要是通过欺骗用户输入某些个人隐私信息，然后窃取个人隐私.比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ号和密码.等用户输入完提交后，就把这些信息发送到攻击者指定的地方.这种挂马方式隐蔽性极高.

3 导致高校二级网站存在安全问题的症结

高校二级网站被恶意挂马数量呈明显上升趋势，要节制高校网站挂马事情发生，就需要从造成网站被挂马的原因说起，对高校二级网站挂马存在的原因可归结如下[6]：

(1)管理者、制作者的因素.首先，重视程度不够.观念问题是影响高校网站建设与发展的首要问题，一些学院的领导和管理人员对网站建设缺乏足够认识，对本部门信息资源的开发利用，依然习惯于传统的管理模式.或者仅仅是把建设网站当作一个“门面”，一个形象工程，只注重前期建设，而忽略信息维护.对安全这一块，很多领导和管理人员只单纯的认为安全问题是和网络中心的服务器有关，与他们的网站建设没有任何关系.黑客所利用的漏洞看似出于技术，究其深层次原因，不难发现正是网站的制作者以及管理人员对各个过程中出现的问题缺少必要的风险控制意识，才导致最终完成的网站漏洞百出.而终端用户对网络安全意识的漠视也是导致黑客能够得手的重要原因.其次，二级网站开发人员不稳定.高校各个院系部门都要建设属于自己的二级网站，但高校二级网站开发制作队伍多以研究生或本科生为主，虽然开发制作能力较强，但由于学生交替频繁，队伍不够稳定，直接造成网站升级困难.

(2)网站技术路线简单，安全性差.学校二级网站多以WINDOWS2000SERVER作为服务器系统，采用ASP技术，也有少量网站采用静态页面，信息量和交互功能相对简单.由于WINDOWS2000SERVER本身存在安全漏洞较多，易受黑客及病毒攻击.

4 高校二级网站挂马防范措施

针对二级网站恶意挂马的常见威胁以及高校二级网站存在的问题，笔者提出以下几点防范措施:

(1)加强网络安全意识与领导管理力度，加强专业人员培训.高校二级网站作为各个院系部门宣传办公的一个平台，要想发挥它的作用，首先要保障它的安全运行，保证数据的安全性.所以各个部门的负责人一定要高度重视网站的安全问题.要建立一套完整的网站维护、更新、升级的管理制度，安排专人负责制，建立相应的应急预案.对于网站挂马，数据篡改等情况能够及时做出响应.

针对高校二级网站开发人员技术问题和相应的后期维护工作，各个部门应有规律的组织专业人员的培训工作.在技术层次达到一定的高度，对各个过程中可能出现的问题具有风险控制意识，防患于未然.

(2)服务器端加强防范.针对高校二级网站面临的威胁，作为网管人员首先要加强自身专业技术能力，对网站服务器或源代码存在的漏洞能迅速甄别，发现可疑文件后及时处理.做好服务器端安全工作，安装最新版服务器端杀毒软件以及入侵检测系统，通过监视系统安全日志、IIS系统日志、网站后台记录日志，分析检测出WEB服务器被非法攻击行为，记录攻击者IP，屏蔽该IP所在区域或上报相关部门.做好网站加密和备份工作，对数据库内容进行MD5加密，密码登陆采用验证码机制，可有效防止密码暴利破解；做好本地数据备份工作，以最大限度减少病毒所带来的危险.经常性地检查服务器日志，提高服务器安全配置.其中主要包括：ftp安全设置；iss目录是否被锁定；权限方面的配置；策略问题；端口和服务关闭问题；管理员口令问题；发现异常信息等等.

5 结语

高校二级网站建设越来越受到教育机构的重视，网站的建设对学院扩大对外宣传力度，推进学院管理信息化，提高学院知名度和办学影响力起着极为重要的作用.

笔者针对高校二级网站挂马率高的这种情况，在分析网站恶意挂马常用方式、总结高校网站安全问题症结后，给出了高校二级网站恶意挂马的防范措施.

[1]张聪，张慧.特洛伊木马程序隐藏技术分析[J].武汉工业学院学报，2005，24(2):19-21.

[2]天才.黑客是如何骗取你执行木马的[J].网络与信息，2005，19(2):52-53.

[3]褚诚云.Web安全开发:SQL注入攻击和网页挂马[J].程序员，2008(7):102-104.

[4]罗川，辛茗庭.网页木马剖析与实现[J].计算机安全，2007(12):83-85.

[5]韩法旺.Web网页木马研究初探[J].科技信息，2008(19)：71-72.

[6]程文彬.基于网站建设中网页设计的安全缺陷及对策[J].电子科技大学学报，2003(6):711-712.