圖1 管理員們發(fā)帖表示發(fā)現(xiàn)問題卻找不到癥結所在
據(jù)悉�����,不法分子只需花一千美元就可以購買名為“Apache 2”的流氓模塊���。不法分子在廣告中展示了該模塊的部分特性:可將代碼植入php、htm或是js頁面;只允許特定的IP地址訪問;可周期性的更新URL鏈接(可配合漏洞攻擊包使用)等����。
先將生成的iframes代碼段放一邊,真正值得我們注意的是上面提到的這種流氓模塊���。因為這種流氓模塊可以自動轉為隱藏模式而難以被管理員發(fā)現(xiàn)���,所以它有很長的存活期,它能搜集和記錄系統(tǒng)管理員賬號登錄服務器所用的IP地址����,一旦發(fā)現(xiàn)管理員登錄�,它就馬上潛伏起來��,不對管理員顯示惡意iframes代碼段����。另外,像tcpdump這樣的檢測進程也會激活流氓模塊的隱藏模式�����。而一旦管理員下線或檢測進程終止���,惡意代碼又會開始活躍起來,繼續(xù)為害��。
流氓Apache模塊軟件的作者甚至在網(wǎng)上發(fā)布了該流氓軟件配合各種漏洞攻擊包的成功率�����。(見圖2)
圖2 Web服務器上����,流氓Apache模塊提升各種漏洞攻擊包的成功率
Websense將如何保護客戶免受這種流氓軟件生成的植入式惡意代碼的威脅呢?
當客戶瀏覽被植入惡意代碼的Web站點時,Websense的ACE(高級分類引擎)專利技術可實時分析Web站點���,防御任何加載過程中出現(xiàn)的惡意iframes代碼段�����。這類流氓Apache模塊根據(jù)不同的參數(shù)來決定是否顯示植入的惡意內容�,如根據(jù)IP地址判斷訪問者是否是第一次來訪,或是通過特定的反向鏈接而來等�����。這對沒有實時監(jiān)控功能的安全解決方案來說是巨大的挑戰(zhàn)���,而 Websense提供的解決方案具有實時解析和動態(tài)分析的優(yōu)勢�����,可在發(fā)現(xiàn)植入的惡意代碼后馬上對頁面進行攔截�,以保障客戶擁有安全的網(wǎng)絡環(huán)境�。
