4/29/2008 09:41:00 上午
许多网站管理员都有过这样的遭遇:尽管您绞尽脑汁防止此类事情发生,您的网站还是被黑掉了。一些防患于未然的措施包括确保您的网站及时更新最新的软件和补丁,在谷歌网站管理员工具里建立账号以便查看当前被收录的页面,密切注视您的日志文件,确保其中没有可疑的内容等等。(在我们去年发布的"网站安全快速检查清单"里您可以查看到更加详细的信息。) 请记住,您决不是唯一的受害者——网站被黑的情况变得越来越常见。网站被黑会导致您的站点感染有害软件(更具体地说就是恶意软件,这是有害软件的一种类型)。您可以阅读一下StopBadware最近发布的2007年有害软件趋势报告,这篇报告全面分析和总结了近几年来不良软件的发展趋势及其危害。您还可以看看这篇发表在谷歌在线安全博客上的文章,它指出,越来越多的搜索结果中包含着被标为对用户计算机有害的URL。如果您希望阅读有关基于Web的恶意软件的深度分析报告,请您通过下载阅读《浏览器里的幽灵》(pdf) 和这篇技术报告 (pdf) 。读完这些报告后,您会对这些问题的影响范围有更好的理解。这些报告还包括了一些不同类型恶意软件的真实案例。
在任何情况下,你应该采取的第一步措施都是联系您的主机托管供应商——如果您有的话。多数情况下他们都会为您解决很多技术上的麻烦。许多站长使用共享主机托管,但这样可能会使得下面我们提到的一些措施难以实施。在如下这些措施当中,标注星号(*)的就是在使用共享主机托管的情况下,您最有可能需要您的主机托管供应商协助的项目。如果您对所使用的服务器有全部的控制权,我们建议采取下面四个基本步骤:
让您的站点处于离线状态- 暂时让您的站点处于离线状态,至少等到您确信已经修复了故障为止。*
- 如果你无法让站点处于离线状态,那么您要返回一个503 状态代码,防止搜索引擎抓取到您的网站。
- 在网站管理员工具中,使用URL清除工具,从搜索结果中清除任何已经被搜索引擎收录但之后又被黑掉的页面或URL。这样做的目的是防止被黑掉的页面再被用户访问到。
损失评估
- 弄清楚黑客究竟想要干什么是一个聪明的主意。
- 他们是在寻找敏感信息吗?
- 他们是否图谋控制您的站点,用于其他目的?
- 寻找黑客在您的服务器上做过改动或上传的恶意文件。
- 检查您的服务器日志,看看有没有任何可疑的活动,例如失败的登录尝试、命令历史记录(特别是在根目录上)、未知用户账号等。
- 确定问题范围——您是否还有其他站点也受到了影响?
恢复 重建您的在线系统
- 使您的系统恢复到在线状态。
- 如果您是网站管理员工具的用户,请登录您的账户
- 如果您的站点被标为含有恶意软件,请您发出评估申请以确定您的站点是否已经安全无毒。
- 如果您使用了URL清除工具清除了那些您确实希望搜索引擎收录的URL,您可以请求网站管理员工具通过撤销先前的清除操作来使您的内容重新收录。
- 时刻保持警惕,因为黑客或许会卷土重来。
对于您可能提出的其他问题,我们有以下解答:
问:使我的站点处于离线状态,或使用robots.txt防止它被搜索引擎抓取到,哪一种做法更好呢?
答:使站点处于离线状态是更好的做法;这样能够防止任何恶意软件或有害软件乘机进入用户系统,并防止黑客进一步滥用您的系统。
问:当我修复了我的站点之后,什么方法可以在最短时间内让我的站点被重新抓取和收录?
答:无论您的站点是否被黑过,最好的方法都是遵从网站管理员支持中心指南。
问:我已经对网站进行了清理工作,但是如果黑客在我的网站上放置了指向不良网站的链接,谷歌会对我进行处罚么?
答:我们尽量不这么做。我们能很好地确保良好的站点不会因为黑客和网络垃圾制造者的行为而遭受惩罚。为了安全起见,请彻底清除黑客可能已经放置在您网站上的的任何链接。
问:如果这一切发生在我自家的电脑上怎么办?
答:上述措施依然有效,但是您在清理过程中必须加倍小心;否则的话,同样的灾难还是可能再度发生。最理想的方法是彻底重装操作系统。
其他可能会对您有所帮助的资源: 如果您有一些其它好的建议,欢迎您在本文后留言。
标签: badware, 恶意软件, 网站管理员指南
固定链接
0个评论
9/25/2007 08:36:00 上午
发表者:
Panayiotis Mavrommatis, 反恶意软件组原文:
Malware reviews via Webmaster Tools发表于: 2007年8月13日,星期一,12:27PM
在过去的一年里,受
流氓/恶意软件感染的网站数目从每周几个增长到每周数千。在我们以前的帖子“
关于恶意软件警告”以及“
停止恶意软件讨论组”里,我们听到了一些你们的建议,也就是改善我们与被感染网站的站长的交流。现在,我们的
站长工具可以重新评估感染恶意软件的网站。
通过我们对
搜索结果加上"恶意软件“标记,或是在站长工具里对你网站的一个总的概括,你可能发现你的网站感染了恶意软件。我们现在已经简化了审查程序,使Google在你的网站时去掉”恶意软件"的标签:
- 在站长工具里看一看你的感染了恶意软件的URL的样本。
- 根据StopBadware.org网站的安全提示对你的网站作出必要的改动。
- 新做法:使用站长工具要求Google重新评估你的网站。 我们会检查你的网站还有没有恶意软件。
- 新做法: 你可以检查我们重新评估的状态。
- 如果我们觉得你的网站仍是有害的,我们会提供你的危险URL的最新名单。
- 如果我们确认你的网站已经是正常了,你可以期待我们很快(通常是24小时以内)清除关于你的网站有恶意软件的信息。
我们鼓励所有站长去熟悉
Stopbadware的恶意软件预防小技巧。如果你有其他问题,请阅读我们的相关
文献或在
讨论组上发帖。我们希望您觉得这个在
站长工具中的新功能是有用的,特别是对发现和修正任何和恶意软件相关的问题。我们也对你们为认识和预防恶意软件的努力表示感谢。
标签: badware, Google Webmaster Tools, Google站长工具, 恶意软件
固定链接
6个评论
9/25/2007 05:20:00 上午
译自:
StopBadware.org:
Tips for cleaning & Securing Your Website
译者按:
StopBadware.org是一个独立于Google的致力于消除恶意软件(badware)的非盈利组织。根据StopBadware.org对
恶意软件(亦称流氓软件)和
恶意软件网站的定义,Google对索引中带有恶意软件的搜索结果会加上“
This site may harm your computer” 或 “
这个网站有可能会损害您的计算机”。如何清除恶意软件并保护你的网站不受恶意软件的侵犯?StopBadware.org在他们的英文网站上给出很多非常实用的小技巧。我们刚刚翻译了StopBadware.org的
恶意软件网站指南,在此,我们继续为广大中文站长翻译StopBadware.org关于阻击恶意软件的小技巧。
清除并保卫你的网站的小技巧
这篇文章提供从网站上清除恶意软件并保持网站干净的方法。它是一个起始点。之所以是起始点,是因为我们应该会不断更新它并提供更多的方法。请注意,这篇文 章中的方法绝不是全面的或详尽的。我们只想把它作为是关心恶意软件的站长们要做的第一步。我们鼓励站长们和网站寄存服务商们撇开这里所提供的建议,独立研 究网站的安全。获取关于网站安全问题的最新消息是站长和网站寄存服务商们自己的责任。
通常有三个基本步骤来保持一个网站的洁净:
- 恶意软件的识别
- 恶意软件的清除
- 恶意软件的预防
让您的网站保持不受恶意软件侵犯的第一步是检查你的网站上是不是已经有了恶意软件。恶意软件往往根本不顾用户选择如何使用他们的计算机。有些应用软件是恶意软件,因为他们的行为是欺骗性的或不可逆转的(例如,有的应用程序秘密安装难以或根本无法卸载的间谍软件)。还有些应用软件是恶意软件,因为他们有不良行为(如显示弹出式广告或改变用户的主页设置)。这些行为往往事先不让用户知道,也无从得到用户的同意。你可以从我们的
软件指南中学到更多东西。
这里是一些你应该查一查的常见的恶意软件类型:
(译者按: 如果你的网站被Google在
搜索结果加上"恶意软件“标记,或是在
谷歌站长工具里的某个网站概括中有一个恶意软件标签,那么你在站长工具里可以看到你的感染了恶意软件的URL的样本。)
根据StopBadware的软件指南,评估你提供下载的软件(包括任何第三方捆绑在你的软件上的应用软件)。如过你提供下载的软件违背了我们的指南,它就构成了恶意软件。
如果你的软件和第三方应用程序捆绑,你可能还需要检查是否捆绑软件会安装任何危险性或欺骗性的代码。一个检测方法是,下载整个捆绑软件到一个虚拟机,然后使用反病毒或反间谍软件对它扫描。
如果你的网站链向恶意网站,你的网站访问者就处于危险之中,哪怕是恶意软件或代码漏洞实际上不寄存在你的网站上。在以下情况下,你的网站可能违反了我们的
网站指南:如果你的网页自动重定向到一个寄存或传播恶意软件的网站; 直接链接到恶意软件的可执行文件上; 链接到另一个企图自动安装恶意软件到用户电脑的网站; 或者是含有大量链接到其他主要是寄存或传播恶意软件的网站。
有一些方法可以判断你网站上的链接是否违反了我们的指南。检查你的所有链接,看是否有些链接会让用户下载其他网站上的恶意软件,或导致用户去访问其他网站上已被恶意软件感染的网页。(我们建议你在找恶意软件的时候用一个虚拟机,以避免损坏你自己的电脑)。以下方法也可能是有用的:通过搜索你的网站的源代码来并寻找到不明网站的链接,特别是到可执行文件的链接。可执行文件的扩展名包含.exe, .bat, .cmd, .scr, 以及.pif。有的应用软件可让您对一个网页的恶意链接进行扫描。你也可以使用这些应用程序来帮助决定是否链接到该网页。
您也可以把
StopBadware报告以及我们的
恶意软件网站清除站作为一种资源。你可以查询我们的数据库来得到你已经链接到的或者是想要链接到的网站和软件的信息。
在你的网站上发布的广告是另一种恶意软件的潜在来源,因为大多数的广告包含到一个外部网页的直接链接。关于通过链接找出恶意软件的指南信息,请参阅第以上的
1.2节。如果你在你的网站上展示第三方的广告,请确保那些链接不被引向不良软件或被恶意软件感染的网页。评估通过广告传播的软件的方法类似于在上面
第1.1节描述的方法("你的网站有可以下载的恶意软件")。
您也可以把StopBadware深度报告以及我们的
恶意软件网站清除站作为一种资源。使用我们的数据库来检查你正在考虑使用的广告网络,以了解是否有其他网站已经因为那些广告商而产生了恶意软件的问题。
如果在你网站的任何部分,用户可以张贴或上传内容,这些地区可能是一个潜在的恶意软件或恶意软件链接源。关于恶意软件和恶意软件链接,请参阅上面的
1.1节及
1.2节。
另一种常见的恶意软件网站来自黑客攻击。黑客攻击是第三方在安全性很低的网站上插入代码或可执行文件。一个常见的例子是"注入攻击",即黑客利用安全漏洞来在你的一个网页上注入有害代码。通常这个代码对你及你的用户来说是不可见的,但它会在一个访问者的电脑后台触发恶意软件的下载。你经常通过察看你的网页的源代码来发现这种攻击是否发生,从而确定它是否包含你从来没写过的任何代码。
两种常见的"注入攻击"类型是:
无形的隐藏框架(invisible iframe)
Iframe标签是一种HTML标签。一个iframe在一个网页上创建一个小"窗口",在这个内嵌窗口中可以载入另一个页面。Iframe并非总是用于不可告人的目的; 它被经常用来,举例来说,在博客中嵌入一个视频。当恶意黑客使用它时,iframe可以被设置成小到看不见。访问受感染网页的用户永远不会知道另一页也在小iframe窗口里被载入。如果你在你网站上的一页中看到一个iframe的宽度是"0",高度也是"0"的代码,你就找到了一个看不见的iframe。Iframe最常见的是被插在网页源代码的最上端或最底端。检查iframe应首先检查开始网页标准代码的<html>标签前,或结束网页代码的</html>标签后。
混淆代码 (Obfuscated Code)
混淆代码或脚本通常被隐藏在你的网站正常代码中,所以他们可以很难被察觉。这些代码是专门为了防止自动化查找工具发现他们。混淆代码不一定是恶意软件; 一些合法的编程者故意混淆编码以防止他人复制自己的工作。但是,如果你为你网站写的代码并不是想故意混淆,找到一块混淆代码可能说明有一个注入攻击。最常见的两种混淆代码的方式是通过编码和加密。
编码有时会很容易被看到,因为编码或者使用十六进制, "unicode”, 或“宽"字符。如果是十六进制字符,你会看到javascript代码的字符串由一些百分号后加两个字符的组合组成(例如%AA%BB%CC)。如果是unicode字符,你会看到字符串由一些"\u"紧随着四个字符组成(例如:
\u0048\u0069\u0021)。一般而言,编码成这种方式的代码块会占用若干段落。如果您在你的网页源代码里发现大块上述模式中的任何一种,它很可能是混淆代码。
加密代码更难被找到,因为他们没有一套模式。然而,加密代码看上去会像一块费解的文字。即使你不熟悉javascript编程,你会注意到你的网站上正常的javascript代码会使用基于常用英语单词的语法。编码或加密了的文本看上去就是完全不能理解的字母,数字和符号块。你应检查你网站日志来看看有没有对你所不认识的可执行文件的引用。可执行文件的扩展名包含.exe, .bat, .cmd, .scr, 以及.pif。
虽然大多数黑客的攻击重点是html代码,坏软件本身也有可能被上载到安全性很差的网站。不良软件可能包括不明的可执行文件(譬如以.exe, .bat, .cmd, .scr, 以及.pif结束的文件),javascript文件,甚至把图片上传到您的网站而你并未发觉。有时攻击者仅仅想利用你的网站来寄存恶意软件,然后从其它受害网站链接到该软件。这里有一个检测你的网站是否被寄存了不良软件的方法,即从你的正在运行的网站中下载所有的源代码到一个虚拟机,然后使用反病毒或反间谍程序进行扫描。
如何从你的网站去清除恶意软件取决于你的网站寄存或链接了什么样的恶意软件。我们一般建议你在清除恶意软件和加强安全性之前先使你的网站离线,以防止你的网站访客者在你清除过程中被不知不觉地感染。
从你的网站上删除不良软件,不要再让它可供下载除非你确保它不是坏软件。你可以在我们的指南里了解更多关于什么是恶意软件的知识。如果你是一个问题软件的作者,StopBadware为如何使您的软件符合我们的
指南提供了一些建议。
从你的网站上清除所有到恶意软件的链接。
删除所有链接到恶意软件的广告。如果你使用一个广告网络,这可能意味着从你的网站上删除该网络的所有广告,直到你肯定该广告网络是干净的。你也许可以联络你的广告商,让他们知道他们在你的网站上的一个或多个广告是恶意软件链接。
从你的站点删除恶意软件的链接。你可能要编辑用户的帖子以消除恶意软件内容,或删除用户的整个帖子。
首先让你的网站离线,这样你网站访客和你的客户就不会有访问风险。然后删除所有不良代码,修复所有安全漏洞。最后才把你的网站重新上线。发现并去除特定的黑客插入的坏代码块以使你的站点干净是一时的。要使你的网站将来也不受到感染,你必须修补安全漏洞来防止黑客在你的网站插入代码。因此,一定要确保消除任何攻击者留下的后门。黑客留下的后门会使他们重新回到你的网站,即使你封锁了你的网站。
你的寄存服务商也应该能够帮助你查出你网站的安全漏洞,所以如果你认为你的网站已经被黑,和他们联系应该是当务之急。你也可以察看一下你的寄存服务商的论坛,看看使用该寄存服务的其他网站是否也已经被攻破。访问你网站所使用的软件的用户论坛也可以帮你看看有没有其他用户因为软件漏洞而失密,或者是你的网站没有对该软件的安全补丁进行更新。
请参阅以上的
第1.1节了解关于恶意软件及我们的软件指南的信息。
请参阅以上的
第1.2节了解我们的关于链向恶意软件的信息。
确保你的广告网络是有信誉的并积极为广告主屏蔽恶意软件。如果他们不这么做,赶紧换人,并告诉他们你为什么要换。请记住,一个在你网上的广告,即使是由第三方提供的,仍然是你的网页的一部分。你应该只接受来自为保护客户不受恶意软件侵害而不懈努力的广告商。你可以使用StopBadware的报告作为恶意软件广告商的一种来源。StopBadware正致力于把最坏的广告网络通过报告的形式来曝光,报告我们所看到的被这些广告提供者害苦了的网站。
确保你网站的论坛,博客,和其他用户区的使用条款中明确禁止链接至恶意软件的帖子。您也可以选择不让用户直接连接到任何形式的可执行文件或插入javascript到论坛帖子或其他用户生成内容区。你要严密监督你网站的这些区域以防止可疑的链接或可执行文件。请参阅以上的
第1.2节了解我们的关于链向恶意软件的信息。
- 使用复杂的密码。
- 使用SSH和SFTP协议,而不是telnet或FTP。Telnet和FTP都被认为是不安全的,因为他们使用纯文本协议。他们传送的用户名和密码可以被任何接入网络的人读懂。SSH和SFTP都是加过密的以防止窃听。
- 利用漏洞审查扫描器(有免费的和商业的版本)来扫描你的网站的安全漏洞。使用安全更新管理工具,以查找被错过的补丁。一旦找到,要立即应用补丁程序。
- 跟踪你网站或者你的网站寄存商使用的软件的最新消息,永远运行最新版本,其中包括安全补丁。订阅,并定期阅读你的寄存服务商和软件提供商的任何通讯或警报。
- 确保你的寄存服务商保持所有软件的更新,包括安全补丁。如果它们不这么做,敦促他们这样做或转换到另一家能为客户的网站安全竭尽全力的网站寄存服务商。
当你的网站变得干净、安全后再重新上线,你可能想通知你的访问者你们所遇到的恶意软件问题,以及你解决问题的措施。如果一个用户因为访问了你的网站而已感染了恶意软件,让他们知道你的发现会帮助他们清理他们的计算机。讲述你的故事可以帮助其他管理员处理在自己网站上的类似情况。如果你想和其他站长分享你如何清洁你的网站的故事,或者想分享如何保持网站安全的小技巧,请访问我们的
讨论组。
这一页是一个不断被更新的资源。如果你有进一步的问题或建议作为补充,请加入我们的讨论组分享你的想法。
标签: badware, 恶意软件
固定链接
7个评论
9/22/2007 07:10:00 下午
译自:
StopBadware.org Website Guidelines
译者按:
StopBadware.org是一个面向消费者的致力于消除恶意软件(badware)的非盈利组织。根据StopBadware.org对
恶意软件和
恶意软件网站的定义,Google对索引中带有恶意软件的搜索结果会加上“
This site may harm your computer” 或 “
这个网站有可能会损害您的计算机”。然而,StopBadware.org是一个独立于Google的英文网站,很多中文网站管理员对它的英文恶意软件网站指南不是很了解,当Google给他们某个网站加上恶意软件标签时会不知所措。在此,我们首先翻译一下StopBadware.org的恶意软件网站指南。
StopBadware.org恶意软件网站指南
这一指南的宗旨是识别带有恶意软件问题的网站,无论问题的产生是有意而为的,还是通过不良的恶意软件寄存手法产生的。同时也让一些罗列第三方链接和程序的网站不被过分指责,因为一些不良链接或软件是从设计得相当好的网络里得到的。
1. 一般情况
一个网站是一个恶意软件的网站,如果它寄存或传播恶意软件并且不符合第二节所述的例外情况。这包括,但不仅限于,有以下任何一种行为的网站:
- 在网站上直接寄存或传播恶意软件;
- 自动重定向到一个寄存或传播恶意软件的网站;
- 链接到恶意软件的可执行文件,无论是寄存在自己的网站或其他网站上;
- 链接到另一个企图自动安装恶意软件到用户电脑的网站;
- 使浏览器自动从另一个网站加载代码,然后企图在用户计算机上安装恶意软件;
- 大量链接(无论是性质上或数量上)到其他主要寄存或传播恶意软件的网站上。
2. 例外情况
上述网站指南的例外情况包括,但不仅限于:
- 为探测和删除恶意软件而做出不懈努力的下载中心;
- 从事合法,非营利性恶意软件研究或教育的网站或网页;
- 自动、综合的索引网站。
标签: badware, 恶意软件
固定链接
0个评论
