http://taiwan.cnet.com/news/comms/0,2000062978,20105751,00.htm (昨天新闻来源 或者http://benwo.no-ip.info/xoops2/html/modules/news/print.php?storyid=400) 报道如下:
安全公司發現,國內有數家學校及民間機關網站被植入某些不是原本該出現網頁,而「兇手」來自一家自稱是協助檢查漏洞的服務業者。
CA技術顧問林宏嘉表示,國內數間大專院校、職校、小學,甚至安全業者網站分別遭到一家名為「海東青」的組織植入非常相似的網頁。網頁並包含如下文字:「此網站有安全漏洞,我已經為你消除/維護網絡安全,從我做起!!免費為貴站檢查,不要感謝我。為人民服務光榮!」在有些網頁中則表示,該公司「免費為貴站檢測,只是告訴你們系統有漏洞,請你們及時修改!」
「這是一個很弔詭的地方,」他說,「服務業者以入侵方式來提醒網站安全。」他指出,這種作法在國內是觸犯資訊保護法的,但從簡體字看來,可能是對岸的組織所為。
CA表示,這個組織並非大陸的知名安全業者。該公司並表示已經通報調查局進行調查,或通知各單位加以處理。
這些網站被入侵顯示在網站上管理的不足,林宏嘉指出,而和過去把首頁置換掉的手法所不同的是,該組織是在這些單位的網站中插入一個頁面,以致於更難被發現或偵測到,對網站管理員的挑戰也更高。
「這些網頁之中,有些是在今年初即已被植入,而有些網站甚至顯示中間還經過更新,至今卻仍然未被發覺,」他指出。
同時此類手法造成的危害也可能更大。例如,駭客取得系統管理員的權限除了可以增減、更改網站內容,更甚者也可以在防毒服務供應商的病毒更新程式中加入惡意程式引誘使用者下載到PC中。
有許多Windows、IE等系統漏洞,都可以讓有心人士取得系統管理員權限進入網站或使用者電腦。
要防止網站被不肖人士入侵,林宏嘉表示,除了經常更新Windows修補程式,從系統面防堵漏洞。管理面則應當從兩方著手。一是進行網站的存取控管,即做好使用者身份認証,確保特別IP或特定帳號的人才可以進行內容修改,而不是大家都可以取得系統管理員的權限。
另一方面,則是做好網站稽核。也就是即使是系統管理員在網站中的所做所為,也可以根據紀錄(log)追蹤他的行為。
網站愈來愈作為展示的管道,管理的意識卻沒有愈來愈高,這相當值得憂心,林宏嘉指出。「如果他人能隨意進到你的網站,被破壞、或放置惡意程式等等情形都是合理的推測。」他說。 |