网站被黑？新信息中心通知助您远离黑客攻击和垃圾内容

3/05/2010 04:21:00 下午

原文地址：Is your site hacked? New Message Center notifications for hacking and abuse

标签： badware, 恶意软件

固定链接 1个评论

应对黑客攻击的最佳做法

4/02/2009 11:20:00 上午

发表者: Paolo Petrolini 和Iris Mariano, 搜索质量组

原文: Best practices against hacking
发表于: 2009年2月20日星期五, 上午6:46

最近，很多网站都在建设各种网络应用软件，以期为用户提供更好的服务，这其中尤以各种创建、编辑和管理内容的应用软件为多。这些系统提供了很多基于用户输入信息的强大互动特性，值得注意的是，考虑安全问题，避免第三方的恶意攻击并确保最佳的用户体验也变得更为重要。

黑客攻击的类型及拦截方式：

黑客可以采取多种不同的攻击方式部分或全部控制一个网站。一般来说，最常见和最危险的是SQL植入（injection）和跨站点脚本（XSS,cross-site scripting ） 。

SQL植入是一种在网络应用程序中植入恶意代码的技术，它利用数据库层面的安全漏洞以达到非法控制数据库目的。这种技术非常强大，它可以操纵网址（查询字符串）或其他任何形式（搜索，登录，电子邮件注册）以植入恶意代码。您可以在网络应用安全联盟(英文)中找到一些关于SQL植入的例子。

为避免此类黑客攻击的发生的确有法可循。举例来说，在前端界面和后端数据库之间增加一个“中间层”就是一种很好的做法。在PHP中，PDO（PHP Data Objects）扩展通常与参数（有时被称作placeholder或绑定变量）共同发生作用，而不是直接将用户输入做为命令语句。另一种极为简单的技术 是字符转义，通过这种方式，所有可以直接影响数据库结构的危险字符都可以被转义。例如，参数中每出现一个单引号[ ' ]必须代之以两个单引号[ ' ' ]来形成一个有效的SQL字符串。这只是两种您可以采取的、最常见的用以改进网站安全并避免SQL植入的有效方式。您还可以在网上找到许多其他符合您需求的资源（编程语言，具体的Web应用程序等)。

下面我们要介绍的是跨站点脚本（ XSS ）技术 。跨站点脚本是一种通过利用网络应用程序层面的安全漏洞，在网页中植入恶意代码的技术。当网络应用程序处理通过用户输入获得的数据，并且在返回给最终用户前没有任何进一步的检查或验证时，这种攻击就可能发生。您可以在网络应用安全联盟(英文)中找到一些跨站点脚本的例子。

有许多办法可以确保网络应用程序不被这种技术侵犯。一些简便易行的方法包括：

• 剔除可以被插入到表单中的数据输入（例如，PHP中的strip tags功能);


• 利用数据编码，避免潜在恶意字符的直接植入（例如，PHP中的htmlspecialchars功能)；

在数据输入和数据库端之间创建一个“层”，以避免应用程序代码被直接植入恶意字符。

一些有关CMSs安全的资源

SQL植入和跨站点脚本只不过是黑客用来攻击和利用无辜网站的多种技术中的其中两种。作为一般的安全准则，在网络安全问题上特别是在使用第三方软件时，一直保持更新以确保您安装了最新版本的软件是非常重要的。许多围绕大型建站社区建设的网络应用程序都提供持续的支持和软件升级。

下面举个例子，开放源码内容管理系统的最大的四个社区——Joomla, WordPress, PHP-Nuke 和 Drupa都在他们的网站上提供关于网络安全方面的知识并且设有大型社区驱动论坛，用户可以提出问题或寻求支持。例如，在Hardening WordPress，WordPress提供了如何加强CMS安全的综合性帮助文件。 Joomla提供了许多有关网络安全的资源，特别是其中的网络安全检查清单，这些操作都是网络管理员应该采用的。

一些识别黑客攻击您网站的方法：

如上所述，黑客可能采用很多不同方式攻击您的网站，也采用多种方法恶意利用无辜的网站。当黑客能够完全控制一个网站时，他们可以把主页彻底更换掉，清除所有的内容（删除您的数据库表），插入恶意软件或Cookie盗取程序。他们还可以利用您的网站制造网络垃圾，比如在您的网站隐藏指向垃圾网页的链接或建立重定向到恶意软件网站的页面。当变化很明显（比如主页被更换)时 ，您可以轻松地辨别出黑客攻击，但对于其他类型的攻击，特别是那些带有制造网络垃圾意图的攻击，就比较不易被人察觉。谷歌提供了一些产品和方法，帮助网站管理员发现自己的网站是否未经许可而被第三方攻击或更改。例如，通过使用谷歌搜索，您可以检查黑客是否将特定的恶意关键词添加到您的网站，并能找出您网站上被攻击的具体网页。打开google.cn/，用[site:domain name]来搜索您的网站，查看黑客是否把一些常用的网络垃圾关键词添加到了您的网站（如伟哥, 色情, MP3, 赌博等） ：

[site:example.com 垃圾关键词]

如果您还不熟悉 site: 搜索操作符，这是一个通过将搜索范围限定到特定网站来使用谷歌搜索的途径。例如，搜索site:googleblog.blogspot.com只会返回来自谷歌官方博客的搜索结果。当在这种查询中添加一些垃圾关键词时，谷歌将返回所有该网站中包含这些垃圾关键字的网页，而这些网页都很有可能已经遭受攻击。要检查这些可疑的网页，只需打开谷歌网页快照，您就能发现这些黑客行为。然后，您可以清除这些网页被攻击的部分，并检查服务器配置文件中是否有异常情况（例如Apache网络服务器：htaccess文件和httpd.conf文件）。

如果您的网站已不出现在谷歌的搜索结果中，这可能意味着谷歌已在您的网站上发现由黑客攻击导致的垃圾网页，并很可能因为这些网页违反了我们网站管理员质量指南而已暂时将它们从我们的索引中移除。

为了不断留意是否有可疑关键字在您的网站上出现，您也可以使用谷歌快讯来监测类似的搜索查询：

site: example.com 某色情词汇 或 某赌博词汇 或 "手机铃声"等热门词汇

当这些关键词出现在您网站内容中时，您会收到一封提醒邮件。

您还可以使用谷歌网站管理员工具来检查您网站中的任何黑客行为。网站管理员工具为您的网站提供热门搜索查询的统计信息。这些数据将帮助您监测那些将用户带到您网站的热门搜索查询是否是那些可疑的、无关的垃圾关键词。“Googlebot看到的"的数据也十分有用，在这里您可以观察谷歌是否探查到您网站中任何异常的关键词，无论这些关键词是不是把用户带到您网站的热门关键词。

如果您有网站管理员工具账户，当谷歌认为您的网站已经被黑客入侵时，按被攻击类型的不同，您会收到相应的通知:

• 如果一个恶意的第三方正在使用您的网站制造网络垃圾（如添加隐藏链接或建立垃圾网页），并且已经被谷歌crawler侦测到，您就会在网站管理员工具的“消息中心”中收到一份详细通知（包含受攻击的URL样本，或隐藏链接的锚文本）；


• 如果您的网站被第三方利用放置了恶意软件，您会在网站管理员工具账户的“概览”页面中看到恶意软件的警告。

消除黑客攻击行为，该怎么做？

您的网站已经被黑客入侵或被植入了恶意软件？首先，请清理这些由黑客造成的网络垃圾，然后执行下列操作之一：

• 如果您的网站被黑客攻击达到制造垃圾网页的目的，请访问网站管理员工具中的"请求重新审核"链接，申请重新审核和收录；


• 如果您的网站向用户提供恶意软件，请在网站管理员工具的“概览”页面提出重新评估恶意软件的请求。

我们希望这些建议对您有所帮助，也欢迎您分享自己的意见或经验，谢谢！

标签： Google Webmaster Tools, Google站长工具, 恶意软件

固定链接 7个评论

向讨厌的恶意软件说再见

12/10/2008 03:39:00 下午

发表者: Oliver Fisher

原文: Malware? We don't need no stinking malware!
发表于: 2008年10月24日星期五 下午2:25

“这个网站可能含有恶意软件，有可能会危害您的电脑”
您可能在谷歌搜索结果中看到过这句提醒——但是您知道这个提醒的确切含义么？如果您点击这个搜索结果的链接的话，您会看到另一个提醒的页面，而不是像往常那样直接被带到该网页。如果这个警告是出现在您祖母的烘焙日志的话，您可能会更困惑了。因为您清楚自己的祖母肯定不会在某夜校的课堂里偷偷学习计算机黑客技巧的。您可能会怀疑，谷歌会不会弄错了，我祖母的网页怎么可能有问题呢？


由于我本人也在从事相关工作，所以让我来为您解释一下吧。好消息是您的祖母毫无疑问还是一位和蔼善良的老人，她从来没想过去干恶意感染别人的计算机或窃取信用卡号码之类的勾当。坏消息就是她的网站或网站所在的服务器很可能有安全漏洞，而这个安全漏洞极可能源于一些久未更新的软件。有人利用了这个安全漏洞，并趁机把恶意代码加入到您祖母的网站中。这段代码很有可能是一段表面上无法察觉的的脚本代码或iframe代码，它们会援引其他网站的内容来攻击正在浏览含有此恶意代码的网页的电脑。 如果这种攻击成功了，那么病毒、间谍软件、击键日志记录器(Key loggers)、僵尸程序(botnets)及其他恶意程序都有可能被安装在您的电脑中。

如果您在搜索结果中看到了谷歌的警告，那么您应当提高警惕。谷歌有一个周期性地寻找这些恶意网页的自动扫描程序。我曾经参与过该扫描程序的建立，这些程序的精确性一直让我惊讶不已。这个扫描程序很少会出错，即使那个网站管理员是一个您一直信赖的人。自动扫描程序完全是基于网页的恶意内容而做出判断的，并不会因网站管理员的声望不同而做出有失公允的判断。

服务器就像您家里的电脑一样，需要定期的维护和更新。目前有很多工具能帮助您轻轻松松建立一个网站，但是这些工具本身实际上也给您带来了一定的安全隐患。即使您很小心地及时更新了您网站的所有组件，但您的主机托管服务商却未必能做到这一点。他们控制您的网站服务器，却可能没有为它们安装最近的操作系统补丁。而且受害者可能不止您祖母一个人，恶意软件的警告还曾出现在银行、体育团队、公司和政府网站等多种类型的网站上。

我需要帮助！
既然我们已经了解了恶意软件标识的含义，作为一个网站管理员，当您的网站被谷歌发现含有恶意软件时，您应该怎么做呢？

这里有一些资源能帮助您解决这个问题。谷歌网站管理员博客为您提供了一些建议，您也可以参考网站安全快速检查清单这篇博客。Stopbadware.org里有很多很好的内容，他们的论坛里也有很多热心又知识渊博的志愿者乐意帮助您解决问题(有时我也是其中一个)。您也可以使用谷歌的安全浏览诊断功能(http://www.google.com/safebrowsing/diagnostic?site=您的域名)来查看谷歌的自动扫描程序在您的网站上发现了哪些具体信息。如果您的网站被标记为含有恶意软件，您可以在谷歌网站管理员工具里查看哪些URL被确认感染了恶意软件。

一旦您完成了对自己网站的清理，请您使用谷歌网站管理员工具来申请重新评估恶意软件网站。这个自动系统会重新扫描您的网站，如果恶意软件确实已被清除的话，警告标识就会被移除。

预先提醒
我经常听到网站管理员询问谷歌是否能在放置恶意软件标识之前预先提醒该网站的管理员。当警告标识被放置时，谷歌通常会向网站所有人发出电子邮件，并在网站管理员工具里设置相应提示。但是我们不会在警告标识被放置之前发出警告，所以网站管理员是无法在警告标识被添加之前就能迅速清理网站的。

您可能对此不太理解，但是我们可以从用户的角度出发来想一想。作为用户，如果谷歌向我提供一个明知是危险的网站，用户一定会很不愉快的。即使是一个很短暂的延迟，也会把一些用户置于风险之中，这显然是不合理的。我们理解对于网站管理员来说，很不希望看到自己的网站被标识为含有恶意软件。但是，从根本上来说，保护用户免受恶意软件侵害，还互联网一方净土，最终是会让网站管理员和用户都受益的，不是么？

谷歌的网站管理员工具目前开始测试一项新的功能，向服务器软件存在安全隐患的网站管理员发出提醒。重视该提醒并及时更新服务器软件能够帮助您的网站免受恶意软件侵害。最好的避免被添加恶意软件标识的办法是确保自己的网站上永远都不要有任何恶意软件！

重新评估恶意软件网站
您可以通过网站管理员工具申请对您的网站进行重新评估，并且您可以看到评估处理的进展情况。如果您觉得评估持续了太长时间，请您一定要及时查看评估状态。毫无遗漏地搜寻到所有的恶意软件是比较困难的，而自动扫描程序的搜寻能力远胜于手工搜寻。扫描程序可能找到了一些被您遗漏的恶意软件残留，而导致整个评估过程陷于停滞。如果您的网站被标识为含有恶意软件，谷歌网站管理员工具也会向您提供被感染URL的样本。这些样本并不是问题的全部（因为那会相当冗长），但是却能帮助您着手解决这些问题。

最后，请不要把恶意软件评估与申请网站重新收录相混淆。如果谷歌的自动扫描程序在您的网站上发现了恶意软件，您的网站通常不会被从搜索结果中移除。将垃圾网站从谷歌搜索结果中移除是另一个完全不同的过程。如果被移除的情况发生了，而您又对此有疑义，那么您应当提交一个重新收录的申请。但是如果您的网站仅仅是被标识为含有恶意软件，那么重新收录的申请不会起到任何效果，对恶意软件问题，您应当在网站管理员工具的概览页面提交一个重新评估的申请。


重新评估大约需要多长时间？
网站管理员们通常非常希望尽快移除自己的恶意软件标识，因而会经常询问通常一个重新评估究竟需要多长时间，对此我们很理解。最初的扫描和重新评估的过程都是程序来自动完成的。由于该系统还要肩负扫描相当范围的互联网网站的重任，因此，您的评估申请也许无法被立即处理。理想情况下，如果您已经完全清除了所有的恶意软件，那么恶意软件的标识最快将在几个小时内被移除，而最长则需要一天或几天来完成。

标签： badware, 恶意软件

固定链接 8个评论

嗨谷歌，我的网站不再有恶意软件了！

9/16/2008 05:48:00 下午

发表者：Evan Tang，搜索质量组

原文：Hey Google, I no longer have badware
发表于：2008年8月21日, 下午5:10

作为网站管理员，如果您曾经收到过来自于谷歌的关于恶意软件的邮件提醒，或在使用Firefox浏览您的网站时遇到过恶意软件的警告，或者您网站的搜索结果中含有恶意软件的标记，那么阅读本文或许帮助您解决上述问题。正如大家所知，这些警告是由我们的自动扫描系统生成的，这个系统能帮助我们保护用户，确保搜索质量。无论您属于哪种情况，如果您正在遭受恶意软件的困扰，这里有一些建议您可以参考:

1．如果您的网站含有恶意软件，这通常意味着您所用的Web服务器、您的网站或网站内某个数据库已经遭到破坏。我们曾发表过一篇很不错的关于如何应对黑客攻击的文章。您必须非常仔细地检查您网站上的恶意软件，以避免您的计算机被感染。

2．一旦您确保恶意软件已经被彻底清除后，您就可以按照通过网站管理员工具重新评估恶意软件网站这篇文章介绍的步骤一步步完成申请。但是请注意，这篇博客上的截屏已经失效了，新的恶意软件评估表单可以在"概述"页上找到，如下图所示：

• 其他程序，比如Firefox，也会使用我们的恶意软件数据，但可能会由于缓存数据的原因而无法立即识别数据的更新。因此，即使搜索结果中"恶意软件"的标记已经被删除，这些程序可能仍需过一段时间才能体现出上述变化。

3．最后，如果您认为您的网站排名在某种程度上受到了恶意软件的影响，比如您网站上被侵害的内容违反了我们的网站管理员指南（例如您被黑掉的网页含有指向某药店网站的隐藏链接），您应该填写并提交一份重新审核的申请。这里需要说明的是，重新审核的申请通常适用于因违反网站管理员指南而引起的问题，与恶意软件评估请求的适用条件是有区别的。

如果您有其他问题，请查阅我们的相关帮助文档，或在阻止恶意软件讨论组（译者注：该讨论组为英文讨论组）发帖求助。我们希望网站管理员工具的这项新增功能可以帮助您更好地发现和修复与恶意软件有关的问题。

标签： badware, 恶意软件

固定链接 3个评论

我的网站被黑掉了——怎么办？

4/29/2008 09:41:00 上午

在任何情况下，你应该采取的第一步措施都是联系您的主机托管供应商——如果您有的话。多数情况下他们都会为您解决很多技术上的麻烦。许多站长使用共享主机托管，但这样可能会使得下面我们提到的一些措施难以实施。在如下这些措施当中，标注星号（*）的就是在使用共享主机托管的情况下，您最有可能需要您的主机托管供应商协助的项目。如果您对所使用的服务器有全部的控制权，我们建议采取下面四个基本步骤：

让您的站点处于离线状态

• 暂时让您的站点处于离线状态，至少等到您确信已经修复了故障为止。*
  
• 如果你无法让站点处于离线状态，那么您要返回一个503 状态代码，防止搜索引擎抓取到您的网站。
• 在网站管理员工具中，使用URL清除工具，从搜索结果中清除任何已经被搜索引擎收录但之后又被黑掉的页面或URL。这样做的目的是防止被黑掉的页面再被用户访问到。

• 最正确的办法就是采用来源可信的软件，彻底重装一次操作系统。这是唯一可以确保清除一切黑客对您网站造成的影响的方法。*
• 重新安装后，使用您最近的一次备份，恢复网站内容。别忘了确认一下备份文件绝对安全、没有被黑掉了的内容。*
• 对所有软件包打补丁，确保它们是最新版，包括Web日志平台、内容管理系统，或者其他任何已安装的第三方软件。
• 更改您的密码——https://www.google.com/accounts/PasswordHelp

• 使您的系统恢复到在线状态。
• 如果您是网站管理员工具的用户，请登录您的账户
  
• 如果您的站点被标为含有恶意软件，请您发出评估申请以确定您的站点是否已经安全无毒。
• 如果您使用了URL清除工具清除了那些您确实希望搜索引擎收录的URL，您可以请求网站管理员工具通过撤销先前的清除操作来使您的内容重新收录。
• 时刻保持警惕，因为黑客或许会卷土重来。

• 如果您的站点被谷歌标为含有恶意软件，我们会在您访问网站管理员工具时提醒您。
• 别忘了使用“谷歌网站管理员支持论坛”,这里有很多知识渊博的用户和谷歌员工。您可以查看这个帖子，了解什么是一个好的、切题的例子。这里还有一个专门的阻止有害软件讨论组。
• Matt Cutts 最近在自己的博客里，对保护您的WordPress安装提出了三点建议，在这篇博客下面还有很多其他人发表的评论，其中不乏真知灼见。

标签： badware, 恶意软件, 网站管理员指南

固定链接 7个评论

通过站长工具重新评估恶意软件站

9/25/2007 08:36:00 上午

发表者： Panayiotis Mavrommatis, 反恶意软件组

原文：Malware reviews via Webmaster Tools
发表于： 2007年8月13日，星期一，12:27PM

在过去的一年里，受流氓/恶意软件感染的网站数目从每周几个增长到每周数千。在我们以前的帖子“关于恶意软件警告”以及“停止恶意软件讨论组”里，我们听到了一些你们的建议，也就是改善我们与被感染网站的站长的交流。现在，我们的站长工具可以重新评估感染恶意软件的网站。

通过我们对搜索结果加上"恶意软件“标记，或是在站长工具里对你网站的一个总的概括，你可能发现你的网站感染了恶意软件。我们现在已经简化了审查程序，使Google在你的网站时去掉”恶意软件"的标签：

1. 在站长工具里看一看你的感染了恶意软件的URL的样本。
2. 根据StopBadware.org网站的安全提示对你的网站作出必要的改动。
3. 新做法：使用站长工具要求Google重新评估你的网站。 我们会检查你的网站还有没有恶意软件。
4. 新做法： 你可以检查我们重新评估的状态。
• 如果我们觉得你的网站仍是有害的，我们会提供你的危险URL的最新名单。
• 如果我们确认你的网站已经是正常了，你可以期待我们很快（通常是24小时以内）清除关于你的网站有恶意软件的信息。

我们鼓励所有站长去熟悉Stopbadware的恶意软件预防小技巧。如果你有其他问题，请阅读我们的相关文献或在讨论组上发帖。我们希望您觉得这个在站长工具中的新功能是有用的，特别是对发现和修正任何和恶意软件相关的问题。我们也对你们为认识和预防恶意软件的努力表示感谢。

标签： badware, Google Webmaster Tools, Google站长工具, 恶意软件

固定链接 8个评论

恶意软件清理和保护你的网站的小技巧

9/25/2007 05:20:00 上午

译自：StopBadware.org: Tips for cleaning & Securing Your Website

译者按： StopBadware.org是一个独立于Google的致力于恶意软件清理(badware)的非盈利组织。根据StopBadware.org对恶意软件（亦称流氓软件）和恶意软件网站的定义，Google对索引中带有恶意软件的搜索结果会加上“该网站可能含有恶意软件，有可能会危害您的电脑。”。如何清除恶意软件并保护你的网站不受恶意软件的侵犯？StopBadware.org在他们的英文网站上给出很多非常实用的小技巧。我们刚刚翻译了StopBadware.org的恶意软件清理指南，在此，我们继续为广大中文站长翻译StopBadware.org关于恶意软件清除的小技巧。

清理恶意软件并保卫你的网站的小技巧

这篇文章提供恶意软件删除并保持网站干净的方法。它是一个起始点。之所以是起始点，是因为我们应该会不断更新它并提供更多的方法。请注意，这篇文章中的方法绝不是全面的或详尽的。我们只想把它作为是关心恶意软件的站长们要做的第一步。我们鼓励站长们和网站托管商们撇开这里所提供的建议，独立研究网站的安全。获取关于网站安全问题的最新消息是站长和网站托管商们自己的责任。

通常有三个基本步骤来保持一个网站的洁净：

1. 恶意软件的识别
2. 恶意软件的清理
3. 恶意软件的预防

恶意软件的识别

让您的网站保持不受恶意软件侵犯的第一步是检查你的网站上是不是已经有了恶意软件。恶意软件往往根本不顾用户选择如何使用他们的计算机。有些应用软件是恶意软件，因为他们的行为是欺骗性的或不可逆转的（例如，有的应用程序秘密安装难以或根本无法卸载的间谍软件）。还有些应用软件是恶意软件，因为他们有不良行为（如显示弹出式广告或改变用户的主页设置）。这些行为往往事先不让用户知道，也无从得到用户的同意。

这里是一些你应该查一查的常见的恶意软件类型：

（译者按： 如果你的网站被Google在搜索结果加上"恶意软件“标记，或是在Google站长工具里的某个网站概括中有一个恶意软件标签，那么你在站长工具里可以看到你的感染了恶意软件的URL的样本。）

1. 你的网站有可以下载的恶意软件

根据StopBadware的软件指南，评估你提供下载的软件（包括任何第三方捆绑在你的软件上的应用软件）。如过你提供下载的软件违背了我们的指南，它就构成了恶意软件。

如果你的软件和第三方应用程序捆绑，你可能还需要检查是否捆绑软件会安装任何危险性或欺骗性的代码。一个检测方法是，下载整个捆绑软件到一个虚拟机，然后使用反病毒或反间谍软件对它扫描。

2. 在你指向的网站中存在的恶意软件

如果你的网站链向恶意网站，你的网站访问者就处于危险之中，哪怕是恶意软件或代码漏洞实际上不寄存在你的网站上。在以下情况下，你的网站可能违反了我们的网站指南：如果你的网页自动重定向到一个寄存或传播恶意软件的网站; 直接链接到恶意软件的可执行文件上; 链接到另一个企图自动安装恶意软件到用户电脑的网站; 或者是含有大量链接到其他主要是寄存或传播恶意软件的网站。

有一些方法可以判断你网站上的链接是否违反了我们的指南。检查你的所有链接，看是否有些链接会让用户下载其他网站上的恶意软件，或导致用户去访问其他网站上已被恶意软件感染的网页。（我们建议你在找恶意软件的时候用一个虚拟机，以避免损坏你自己的电脑）。以下方法也可能是有用的：通过搜索你的网站的源代码来并寻找到不明网站的链接，特别是到可执行文件的链接。可执行文件的扩展名包含.exe, .bat, .cmd, .scr, 以及.pif。有的应用软件可让您对一个网页的恶意链接进行扫描。你也可以使用这些应用程序来帮助决定是否链接到该网页。

您也可以把StopBadware报告以及我们的恶意软件网站清除站作为一种资源。你可以查询我们的数据库来得到你已经链接到的或者是想要链接到的网站和软件的信息。

3. 通过你网站上的广告传播的恶意软件

在你的网站上发布的广告是另一种恶意软件的潜在来源，因为大多数的广告包含到一个外部网页的直接链接。关于通过链接找出恶意软件的指南信息，请参阅第以上的1.2节。如果你在你的网站上展示第三方的广告，请确保那些链接不被引向不良软件或被恶意软件感染的网页。评估通过广告传播的软件的方法类似于在上面第1.1节描述的方法（"你的网站有可以下载的恶意软件"）。

您也可以把StopBadware深度报告以及我们的恶意软件网站清除站作为一种资源。使用我们的数据库来检查你正在考虑使用的广告网络，以了解是否有其他网站已经因为那些广告商而产生了恶意软件的问题。

4. 贴在你网站的用户区上的恶意软件链接

如果在你网站的任何部分，用户可以张贴或上传内容，这些地区可能是一个潜在的恶意软件或恶意软件链接源。关于恶意软件和恶意软件链接，请参阅上面的1.1节及1.2节。

5. 你的网站受到黑客攻击

另一种常见的恶意软件网站来自黑客攻击。黑客攻击是第三方在安全性很低的网站上插入代码或可执行文件。一个常见的例子是"注入攻击"，即黑客利用安全漏洞来在你的一个网页上注入有害代码。通常这个代码对你及你的用户来说是不可见的，但它会在一个访问者的电脑后台触发恶意软件的下载。你经常通过察看你的网页的源代码来发现这种攻击是否发生，从而确定它是否包含你从来没写过的任何代码。

两种常见的"注入攻击"类型是：

I. 无形的隐藏框架(invisible iframe)

Iframe标签是一种HTML标签。一个iframe在一个网页上创建一个小"窗口"，在这个内嵌窗口中可以载入另一个页面。Iframe并非总是用于不可告人的目的; 它被经常用来，举例来说，在博客中嵌入一个视频。当恶意黑客使用它时，iframe可以被设置成小到看不见。访问受感染网页的用户永远不会知道另一页也在小iframe窗口里被载入。如果你在你网站上的一页中看到一个iframe的宽度是"0"，高度也是"0"的代码，你就找到了一个看不见的iframe。Iframe最常见的是被插在网页源代码的最上端或最底端。检查iframe应首先检查开始网页标准代码的<html>标签前，或结束网页代码的</html>标签后。

II. 混淆代码 (Obfuscated Code)

混淆代码或脚本通常被隐藏在你的网站正常代码中，所以他们可以很难被察觉。这些代码是专门为了防止自动化查找工具发现他们。混淆代码不一定是恶意软件; 一些合法的编程者故意混淆编码以防止他人复制自己的工作。但是，如果你为你网站写的代码并不是想故意混淆，找到一块混淆代码可能说明有一个注入攻击。最常见的两种混淆代码的方式是通过编码和加密。

编码有时会很容易被看到，因为编码或者使用十六进制, "unicode”, 或“宽"字符。如果是十六进制字符，你会看到javascript代码的字符串由一些百分号后加两个字符的组合组成（例如％AA％BB％CC）。如果是unicode字符，你会看到字符串由一些"\u"紧随着四个字符组成（例如：
\u0048\u0069\u0021）。一般而言，编码成这种方式的代码块会占用若干段落。如果您在你的网页源代码里发现大块上述模式中的任何一种，它很可能是混淆代码。

加密代码更难被找到，因为他们没有一套模式。然而，加密代码看上去会像一块费解的文字。即使你不熟悉javascript编程，你会注意到你的网站上正常的javascript代码会使用基于常用英语单词的语法。编码或加密了的文本看上去就是完全不能理解的字母，数字和符号块。你应检查你网站日志来看看有没有对你所不认识的可执行文件的引用。可执行文件的扩展名包含.exe, .bat, .cmd, .scr, 以及.pif。

虽然大多数黑客的攻击重点是html代码，坏软件本身也有可能被上载到安全性很差的网站。不良软件可能包括不明的可执行文件（譬如以.exe, .bat, .cmd, .scr, 以及.pif结束的文件），javascript文件，甚至把图片上传到您的网站而你并未发觉。有时攻击者仅仅想利用你的网站来寄存恶意软件，然后从其它受害网站链接到该软件。这里有一个检测你的网站是否被寄存了不良软件的方法，即从你的正在运行的网站中下载所有的源代码到一个虚拟机，然后使用反病毒或反间谍程序进行扫描。

恶意软件清理

如何从你的网站去清理恶意软件取决于你的网站寄存或链接了什么样的恶意软件。我们一般建议你在清除恶意软件和加强安全性之前先使你的网站离线，以防止你的网站访客者在你清除过程中被不知不觉地感染。

1. 如果你的网站寄存了可下载的不良软件

从你的网站上删除不良软件，不要再让它可供下载除非你确保它不是坏软件。你可以在我们的指南里了解更多关于什么是恶意软件的知识。如果你是一个问题软件的作者，StopBadware为如何使您的软件符合我们的指南提供了一些建议。

2. 如果你的站点链接到恶意软件

从你的网站上清除所有到恶意软件的链接。

3. 如果你的网站上的广告链接到恶意软件

删除所有链接到恶意软件的广告。如果你使用一个广告网络，这可能意味着从你的网站上删除该网络的所有广告，直到你肯定该广告网络是干净的。你也许可以联络你的广告商，让他们知道他们在你的网站上的一个或多个广告是恶意软件链接。

4. 如果恶意软件是从你的用户区得到的链接

从你的站点清除恶意软件的链接。你可能要编辑用户的帖子以消除恶意软件内容，或删除用户的整个帖子。

5. 如果你的网站已经被黑了

首先让你的网站离线，这样你网站访客和你的客户就不会有访问风险。然后删除所有不良代码，修复所有安全漏洞。最后才把你的网站重新上线。发现并去除特定的黑客插入的坏代码块以使你的站点干净是一时的。要使你的网站将来也不受到感染，你必须修补安全漏洞来防止黑客在你的网站插入代码。因此，一定要确保消除任何攻击者留下的后门。黑客留下的后门会使他们重新回到你的网站，即使你封锁了你的网站。

你的寄存服务商也应该能够帮助你查出你网站的安全漏洞，所以如果你认为你的网站已经被黑，和他们联系应该是当务之急。你也可以察看一下你的寄存服务商的论坛，看看使用该寄存服务的其他网站是否也已经被攻破。访问你网站所使用的软件的用户论坛也可以帮你看看有没有其他用户因为软件漏洞而失密，或者是你的网站没有对该软件的安全补丁进行更新。

恶意软件的预防

1. 在让网站可下载软件之前进行恶意软件检查

请参阅以上的第1.1节了解关于恶意软件及我们的软件指南的信息。

2. 在你网站链接到其他网址前对链接进行恶意软件检查

请参阅以上的第1.2节了解我们的关于链向恶意软件的信息。

3. 只使用信誉好的广告商，并定期监测以确保他们的广告是干净的

确保你的广告网络是有信誉的并积极为广告主屏蔽恶意软件。如果他们不这么做，赶紧换人，并告诉他们你为什么要换。请记住，一个在你网上的广告，即使是由第三方提供的，仍然是你的网页的一部分。你应该只接受来自为保护客户不受恶意软件侵害而不懈努力的广告商。你可以使用StopBadware的报告作为恶意软件广告商的一种来源。StopBadware正致力于把最坏的广告网络通过报告的形式来曝光，报告我们所看到的被这些广告提供者害苦了的网站。

4. 监控你网站的用户区

确保你网站的论坛，博客，和其他用户区的使用条款中明确禁止链接至恶意软件的帖子。您也可以选择不让用户直接连接到任何形式的可执行文件或插入javascript到论坛帖子或其他用户生成内容区。你要严密监督你网站的这些区域以防止可疑的链接或可执行文件。请参阅以上的第1.2节了解我们的关于链向恶意软件的信息。

5. 堵住安全漏洞以防黑客攻击以下是使你的网站更安全的一些基本步骤：

• 使用复杂的密码。
  
• 使用SSH和SFTP协议，而不是telnet或FTP。Telnet和FTP都被认为是不安全的，因为他们使用纯文本协议。他们传送的用户名和密码可以被任何接入网络的人读懂。SSH和SFTP都是加过密的以防止窃听。
  
• 利用漏洞审查扫描器（有免费的和商业的版本）来扫描你的网站的安全漏洞。使用安全更新管理工具，以查找被错过的补丁。一旦找到，要立即应用补丁程序。
  
• 跟踪你网站或者你的网站寄存商使用的软件的最新消息，永远运行最新版本，其中包括安全补丁。订阅，并定期阅读你的寄存服务商和软件提供商的任何通讯或警报。
  
• 确保你的寄存服务商保持所有软件的更新，包括安全补丁。如果它们不这么做，敦促他们这样做或转换到另一家能为客户的网站安全竭尽全力的网站寄存服务商。
  

当你的网站变得干净、安全后再重新上线，你可能想通知你的访问者你们所遇到的恶意软件问题，以及你解决问题的措施。如果一个用户因为访问了你的网站而已感染了恶意软件，让他们知道你的发现会帮助他们清理他们的计算机。讲述你的故事可以帮助其他管理员处理在自己网站上的类似情况。如果你想和其他站长分享你如何清洁你的网站的故事，或者想分享如何保持网站安全的小技巧，请访问我们的讨论组。

这一页是一个不断被更新的资源。如果你有进一步的问题或建议作为补充，请加入我们的讨论组分享你的想法。

标签： badware, 恶意软件

固定链接 18个评论

StopBadware.org恶意软件网站指南

9/22/2007 07:10:00 下午

译自：StopBadware.org Website Guidelines

译者按： StopBadware.org是一个面向消费者的致力于消除恶意软件(badware)的非盈利组织。根据StopBadware.org对恶意软件和恶意软件网站的定义，Google对索引中带有恶意软件的搜索结果会加上“This site may harm your computer” 或 “这个网站有可能会损害您的计算机”。然而，StopBadware.org是一个独立于Google的英文网站，很多中文网站管理员对它的英文恶意软件网站指南不是很了解，当Google给他们某个网站加上恶意软件标签时会不知所措。在此，我们首先翻译一下StopBadware.org的恶意软件网站指南。

StopBadware.org恶意软件网站指南

这一指南的宗旨是识别带有恶意软件问题的网站，无论问题的产生是有意而为的，还是通过不良的恶意软件寄存手法产生的。同时也让一些罗列第三方链接和程序的网站不被过分指责，因为一些不良链接或软件是从设计得相当好的网络里得到的。

1. 一般情况

一个网站是一个恶意软件的网站，如果它寄存或传播恶意软件并且不符合第二节所述的例外情况。这包括，但不仅限于，有以下任何一种行为的网站：

• 在网站上直接寄存或传播恶意软件;
• 自动重定向到一个寄存或传播恶意软件的网站;
• 链接到恶意软件的可执行文件，无论是寄存在自己的网站或其他网站上;
• 链接到另一个企图自动安装恶意软件到用户电脑的网站;
• 使浏览器自动从另一个网站加载代码，然后企图在用户计算机上安装恶意软件;
• 大量链接（无论是性质上或数量上）到其他主要寄存或传播恶意软件的网站上。

2. 例外情况

上述网站指南的例外情况包括，但不仅限于：

• 为探测和删除恶意软件而做出不懈努力的下载中心；
• 从事合法，非营利性恶意软件研究或教育的网站或网页;
• 自动、综合的索引网站。

标签： badware, 恶意软件

固定链接 1个评论