全部产品
Search
文档中心

云安全中心:防御挂马攻击最佳实践

更新时间:Sep 27, 2024

网站一旦遭受挂马攻击,可能会导致数据泄露、资产损失等严重危害。为了应对挂马攻击,您需要在网络、系统、数据库和应用等多个层面采取相应的安全措施。本文介绍如何在这些关键层面防御挂马攻击,并提供清除挂马文件的有效方法。

什么是挂马攻击

挂马攻击也称为马式攻击(Horse Attack),是指攻击者通过各种手段,在目标服务器或网站中植入恶意程序,以获取系统权限或窃取敏感信息的攻击方式。攻击者通常会使用iframe框架挂马、JS挂马、Body挂马、隐蔽挂马、CSS挂马等方式。

挂马攻击通常是通过系统漏洞、SQL注入、文件上传等方式进行的。攻击者利用这些漏洞或技术,在目标服务器或网站中上传恶意文件,并通过一定的手段使其在服务器或网站中执行。一旦恶意程序被执行,攻击者就可以利用其获取系统权限,控制服务器或网站,并窃取敏感信息。

挂马攻击有什么危害

网站被挂马攻击,表示黑客已成功入侵该网站。黑客可以获取该网站用户的账号密码、业务数据等敏感数据。如果网站用户访问了被攻击成功的网站,用户计算机就可能被植入恶意木马病毒,这些病毒会盗取用户的各类账号密码和数据,例如网银账户、社交账号和密码等。

恶意木马病毒还可能会破坏被病毒感染计算机的本地数据,给用户的信息资产带来巨大的损失。因此,网站被挂马攻击不仅会影响网站的公共形象,还可能会造成该网站用户的计算机系统故障和存储数据泄露,给用户的信息资产带来巨大的损失。

如何防御挂马攻击

及时修复网站系统和网站所在服务器的各类漏洞,可以降低网站被挂马攻击的风险。网站被挂马攻击会产生较大的危害主要是因为攻击者在攻击成功后,可以利用被篡改网页、浏览器或操作系统的漏洞、网页木马的下载执行和恶意程序的下载执行等方式,进一步扩大攻击范围。

因此,您需要从网站系统各个架构层级去防护网站,抵御挂马入侵。下图是一般网站系统的架构。

image

建议您采用以下解决方法:

  • 网络安全层面

  • 主机系统层面

    • 建议您使用堡垒机管理ECS的登录方式,并针对不同运维人员按照最小授权原则进行精细化授权。

    • 为云账号配置强密码。安全密码建议设置为8位以上,必须包括大写字母、小写字母、数字和特殊字符,同时建议每隔几个月更换一次密码,保证安全性。建议开通多因素认证(MFA)或SSH Key凭证登录。

    • 关注安全漏洞情报,定期检测并修复网站本身以及网站所在服务端环境的各类漏洞,及时更新操作系统、应用服务软件补丁。

    • 建议您开通云安全中心服务,使用云安全中心检测并修复您服务器上的安全告警、不安全配置项、操作系统漏洞、中间件漏洞等风险。

    • 加强文件访问权限管理。设置敏感目录访问权限,限制修改目录的脚本执行权限,遵循最小授权原则配置文件系统的访问和修改权限。

  • 数据库层面

    • 强烈建议不要使用数据库Web管理工具来管理数据库,也不要让Web管理系统直接对公网开放。

    • 配置网络访问控制策略,仅允许应用服务器访问数据库服务,禁止数据库服务端口对公网开放。

    • 配置复杂密码,对数据库服务进行加固。

  • 应用安全层面

    • 对Web应用中间件进行安全加固。

    • 在业务代码上线前,进行代码安全测试、白盒代码审计等工作,并在修复已发现漏洞后,再上线发布,防止业务代码上线后黑客利用存在的漏洞入侵业务系统。

    • 业务系统上线前或上线后,使用云安全中心漏洞管理服务定期对网站和Web业务系统进行漏洞扫描,及时处理存在的安全漏洞。

    • 排查程序存在的漏洞,并及时修复漏洞。您可以使用Web应用防火墙保护您的Web应用。Web应用防火墙可以帮助您拦截外部攻击行为,降低您的Web应用被黑客入侵的可能性。

如何查找并清除挂马文件

一般操作系统或应用代码文件成百上千,靠人工很难识别挂马文件,建议您使用云安全中心自动化检测和处理挂马文件。

发现挂马文件时,建议您采用以下方法清除挂马文件:

  • 清除相应的Webshell文件。同时使用云安全中心的扫描功能进行Web目录主动扫描,以及使用Agentless扫描功能进行全盘扫描。具体操作,请参见安全告警设置无代理检测

  • 使用云安全中心的漏洞管理能力,确定漏洞是否都修复完毕。具体操作,请参见查看和处理漏洞

相关文档

  • 您可以开通云安全中心,使用云安全中心检测并修复服务器的安全告警、不安全配置项、操作系统漏洞、中间件漏洞等风险。具体操作,请参见购买云安全中心

  • 建议您定期扫描系统的漏洞,及时处理存在的安全漏洞,具体操作,请参见什么是漏洞管理