(圖1����,管理員們發(fā)帖表示發(fā)現(xiàn)問題卻找不到癥結(jié)所在)
據(jù)悉,不法分子只需花一千美元就可以購買名為“Apache 2”的流氓模塊�����。不法分子在廣告中展示了該模塊的部分特性:可將代碼植入php��、htm或是js頁面;只允許特定的IP地址訪問;可周期性的更新URL鏈接(可配合漏洞攻擊包使用)等��。
先將生成的iframes代碼段放一邊����,真正值得我們注意的是上面提到的這種流氓模塊。因?yàn)檫@種流氓模塊可以自動轉(zhuǎn)為隱藏模式而難以被管理員發(fā)現(xiàn)�, 所以它有很長的存活期,它能搜集和記錄系統(tǒng)管理員賬號登錄服務(wù)器所用的IP地址���,一旦發(fā)現(xiàn)管理員登錄����,它就馬上潛伏起來,不對管理員顯示惡意 iframes代碼段�����。另外����,像tcpdump這樣的檢測進(jìn)程也會激活流氓模塊的隱藏模式。而一旦管理員下線或檢測進(jìn)程終止����,惡意代碼又會開始活躍起來����, 繼續(xù)為害。
流氓Apache模塊軟件的作者甚至在網(wǎng)上發(fā)布了該流氓軟件配合各種漏洞攻擊包的成功率����。(見圖2)
(圖2,Web服務(wù)器上���,流氓Apache模塊提升各種漏洞攻擊包的成功率)
Websense將如何保護(hù)客戶免受這種流氓軟件生成的植入式惡意代碼的威脅呢?
當(dāng)客戶瀏覽被植入惡意代碼的Web站點(diǎn)時���,Websense的ACE(高級分類引擎)專利技術(shù)可實(shí)時分析Web站點(diǎn)���,防御任何加載過程中出現(xiàn)的惡意 iframes代碼段。這類流氓Apache模塊根據(jù)不同的參數(shù)來決定是否顯示植入的惡意內(nèi)容��,如根據(jù)IP地址判斷訪問者是否是第一次來訪���,或是通過特定 的反向鏈接而來等����。這對沒有實(shí)時監(jiān)控功能的安全解決方案來說是巨大的挑戰(zhàn)�,而Websense提供的解決方案具有實(shí)時解析和動態(tài)分析的優(yōu)勢,可在發(fā)現(xiàn)植入 的惡意代碼后馬上對頁面進(jìn)行攔截����,以保障客戶擁有安全的網(wǎng)絡(luò)環(huán)境。(見圖3)
(圖3�����,Websense ACE技術(shù)攔截惡意站點(diǎn))
