■山东 王大龙

近期的一次网络安全通报中，一家委托我们单位管理的网站被通报藏有暗链。收到安全通报后，我们首先了解了这个网站的基本情况，这个网站所在的服务器上，除了这个被通报的网站外，还有几个其他几家托管网站，所以我们对这个通报还是相当重视的，如果多个网站都存在问题的话，那么影响面就会比较大，后果也会比较恶劣，这些网站都是托管在我们单位服务器上的，当时开发的源代码都不是由我们负责编写的，而且这些网站由不同的开发公司负责开发，这让问题的处理显得更加棘手。当然，也正是由于这些网站的开发公司不同，我们预计到会存在各种不同的漏洞，所以这台服务器进行了相应的安全加固，总体来说安全性比较高。为了处理这个网站中存在暗链的问题，我们先来了解下暗链。

暗链也称为黑链，正如它的名字所描述的一样，是一种在页面上不可见或极易被忽视的超链接，它尽量不去破坏网页原有的结构。虽然这些超链接在网页页面上是“不可见”的，但是仍然可以在网页源代码中看到，所以搜索引擎仍然可以通过分析网页的源代码收录这些链接。暗链和普通超链接没有太大的不同，而且没有实质性的威胁，所以大部分安全软件很难准确地判断网站是否存在暗链，这就导致很多网站都存在黑客恶意插入暗链的现象。

暗链的危害

其实暗链对于普通用户没有实质性的危害，但是暗链所指向的网站通常是不正规的网站，甚至是非法网站。据统计数据显示，暗链所指向的网站主要有以下几种类型：网游私服、医疗、博彩、色情、股票内幕信息和网游外挂，这些网站在通过大量暗链增加权重后，会排在搜索结果的前列。当用户搜索某一特定关键词时，可能被欺骗至这些网站。

暗链的植入方式

暗链的植入方式大致有两种：一种是web应用开发厂商在应用中植入的，还有一种是黑客入侵网站之后植入的。从实际检测情况来看，前者的比例相对较少，也就是说，如果一个网站存在暗链，那么就说明这个网站很可能已经被黑客成功入侵，网站的注册用户信息可能已经泄露，网站提供下载的资源可能被绑定了木马或后门。

自动化挂链程序的出现导致大批网站受害。自动化挂链程序可以自动对大批网站发起扫描并针对具体漏洞进行攻击，成功获得权限后可以自动向网页或数据库中插入暗链代码。不过，值得庆幸的是，自动化程序所能利用的漏洞相对较少，目前主要针对FTP权限设置漏洞、少数SQL注入漏洞和后门。

了解了主要的暗链植入方式后，我们对自己的网站进行了分析。由于同一台服务器上还有其他网站，但是其他网站并没有被通报存在暗链的问题。基于这台服务器本身做过安全加固，安全性较好，并且通过查看日志，也没有发现入侵痕迹，所以基本排除了服务器被攻破的可能。由于这个网站的开发公司不是我们单位，我们只是代为管理，所以不排除网站开发公司在网站中植入暗链的可能性。我们咨询了开发公司，并要求他们对代码进行检查，并提供网站完整的源代码，问题基本上就确定是这个网站本身代码有问题了，我们利用D盾对网站代码进行了扫描，发现代码本身存在着后门，黑客很容易通过后门对此网站加挂暗链，并且这个后门可以绕开我们的安全防护机制，暗链的加挂被认为是正常的信息维护更新，这就解释了为什么单独这个网站被加挂了暗链，而且安全防护机制都没起到效果。

暗链的处理方法

暗链大都是网站被入侵之后植入的，所以修补安全漏洞、清除后门是防治暗链的根本。单纯清除暗链代码，黑客仍可以通过漏洞或后门侵入网站，再次植入暗链，甚至会删除整个网站。有些小网站慑于黑客的威胁，甚至不敢删除暗链代码，若一个网站已经被入侵过了，单纯修补安全漏洞是不够的，黑客入侵一个网站之后，往往会留后门，以便下次入侵，后门不仅仅限于web层面，还可能涉及到操作系统层面，例如系统隐藏账户、终端服务开启、远程控制软件等，这就需要我们更加深入地对网站做一个全面检测。

从前面的分析可以看出，我们服务器本身没有受到攻击，只是这个网站的程序代码中存在后门。因此，我们首先对网站的代码进行了修改，将网站的后门问题处理掉。由于网站中存在的暗链很难全部被发现和删除，因此为了彻底地清除掉这些暗链，我们将网站的文件全部删除掉，又重新对网站进行了部署，部署之后又更新了部分信息，并重新对网站进行了安全漏洞和后门的扫描。从扫描结果看，后门问题已经被解决了。除此之外我们也对服务器的安全策略进行了升级，进一步提升了安全性。

如何有效防止暗链出现

在处理完网站的暗链之后，我们更关心的是如何能够有效地防止暗链的出现呢？

1.经常查看自己网站的源代码，形成良好的防黑意识。

我们知道，一般情况下，黑链被黑客挂在首页的最多，或许某些出售黑链的朋友也会有喜欢挂在网站内页的喜好，这样可以稍微加深一点难度，所以我们需要经常查看网站的源代码，方法是：点击网站文字位置或空白地方右键，我们发现有一个“查看源文件”的选项，点开即可查看。

2.查看网站文件的修改时间。

每个网站文件都有自己的修改时间，要是没修改时间，系统会按照文件的创建时间来显示，如果现在这个网站的上传时间是8月8日，那么大部分文件都是8月8日的，突然看到某个文件的修改时间变成了与现在相近的时间，那么这个文件就有可能已经被人家动了手脚，被修改了文件源代码，挂了暗链，现在最好把这个文件下载到本地，详细查看一下文件源代码里有没有挂黑链的痕迹。

3.巧用站长工具里的“网站死链检测”功能来检查黑链。

可以到各大站长网上找到站长工具，利用“网站死链检测”功能，查看到网站页面的所有链接，这个工具即可以查看网站里面的链接是否可以访问，也可以显示出网站页面里所有的链接，当你发现有未知名的链接时，马上采取相关措施删除掉此链接，因为它有可能是暗链。

4.经常修改网站后台管理系统的用户名和密码。

有的用户后台管理系统密码设置得很简单，有的用户使用原始密码不进行修改，自己都没有一点安全意识，这种情况下，网站很容易就被攻破了。我们需要设置复杂一点的密码，可以设置为数字、字母、特殊符号相结合的密码，并做到定期地修改密码，不要等到被挂黑链了才想起来需要修改密码，否则就来不及了。如果后台管理系统的密码都被盗用的话，再多的安全措施也都没有作用了，因为这相当于是通过正常的方式来添加信息，安全措施是不会起作用的。

5.巧用站长工具里的“同IP站点查询”功能。

通过这个工具，可以查询到跟你网站在同一服务器的部分网站，如果你自己的网站被挂黑链了，那么你就可以再查一下同一服务器的其它网站，当查到其他的某个网站也有被挂黑链的时候，我们就可以怀疑到服务器安全的问题了，而不是自己网站程序的漏洞问题，那么接下来就是对服务器安全策略进行升级了。

网站防止暗链入侵的方法有很多，但只要我们平时养成一些良好的防黑意识，网站还是比较安全的，我们只能尽量做到安全，没有人敢说他的网站永远安全、永远平安无事，因此，我们平时还要养成良好的网站数据备份习惯，万一真的被入侵了，启用我们的备份就可以了。