圖1 管理員們發(fā)帖表示發(fā)現(xiàn)問(wèn)題卻找不到癥結(jié)所在
據(jù)悉�����,不法分子只需花一千美元就可以購(gòu)買名為“Apache 2”的流氓模塊���。不法分子在廣告中展示了該模塊的部分特性:可將代碼植入php���、htm或是js頁(yè)面;只允許特定的IP地址訪問(wèn);可周期性的更新URL鏈接(可配合漏洞攻擊包使用)等���。
先將生成的iframes代碼段放一邊�����,真正值得我們注意的是上面提到的這種流氓模塊�。因?yàn)檫@種流氓模塊可以自動(dòng)轉(zhuǎn)為隱藏模式而難以被管理員發(fā)現(xiàn)��,所以它有很長(zhǎng)的存活期�����,它能搜集和記錄系統(tǒng)管理員賬號(hào)登錄服務(wù)器所用的IP地址���,一旦發(fā)現(xiàn)管理員登錄,它就馬上潛伏起來(lái)�,不對(duì)管理員顯示惡意iframes代碼段。另外��,像tcpdump這樣的檢測(cè)進(jìn)程也會(huì)激活流氓模塊的隱藏模式�����。而一旦管理員下線或檢測(cè)進(jìn)程終止��,惡意代碼又會(huì)開(kāi)始活躍起來(lái),繼續(xù)為害��。
流氓Apache模塊軟件的作者甚至在網(wǎng)上發(fā)布了該流氓軟件配合各種漏洞攻擊包的成功率�����。(見(jiàn)圖2)
圖2 Web服務(wù)器上�,流氓Apache模塊提升各種漏洞攻擊包的成功率
Websense將如何保護(hù)客戶免受這種流氓軟件生成的植入式惡意代碼的威脅呢?
當(dāng)客戶瀏覽被植入惡意代碼的Web站點(diǎn)時(shí),Websense的ACE(高級(jí)分類引擎)專利技術(shù)可實(shí)時(shí)分析Web站點(diǎn)�����,防御任何加載過(guò)程中出現(xiàn)的惡意iframes代碼段�。這類流氓Apache模塊根據(jù)不同的參數(shù)來(lái)決定是否顯示植入的惡意內(nèi)容,如根據(jù)IP地址判斷訪問(wèn)者是否是第一次來(lái)訪���,或是通過(guò)特定的反向鏈接而來(lái)等����。這對(duì)沒(méi)有實(shí)時(shí)監(jiān)控功能的安全解決方案來(lái)說(shuō)是巨大的挑戰(zhàn)�����,而 Websense提供的解決方案具有實(shí)時(shí)解析和動(dòng)態(tài)分析的優(yōu)勢(shì)�����,可在發(fā)現(xiàn)植入的惡意代碼后馬上對(duì)頁(yè)面進(jìn)行攔截,以保障客戶擁有安全的網(wǎng)絡(luò)環(huán)境�。
