通过搜索引擎劫持网站域名的原因与对策分析.docVIP

通过搜索引擎劫持网站域名的原因与对策分析 　　【 摘 要 】 域名是网站的全球唯一标识，搜索引擎通过网站的内容，将其URL收录，并作为网站搜索的重要数据，一般通过中文搜索即可列出其网站域名和相应的内容链接，达到进入相应网站的重要途径，黑客正是利用这一特点，通过搜索引擎劫持域名，使网站转为其他非法网站。本文就其产生的现象、原因进行分析，从而给出相应的对策，对网站安全管理具有一定的启示作用。 　　【 关键词 】 搜索引擎；劫持域名；对策分析 　　1 引言 　　搜索引擎已是我们上网获取信息的最重要的工具，通过输入所需内容的关键字，搜索引擎即可将关联度从高到低列出相关的信息URL，用户通过URL进入相应的网站。互联网安全问题包括DDOS攻击、域名劫持、木马和僵尸控制主机、网页篡改、网络仿冒等，其中域名劫持造成的影响和危害巨大。 　　不同的搜索引擎使用的技术不同，像谷歌，会对用户的关键字进行研究，深入挖掘、分析数据，然后给出搜索结果。这样一来，实质上通过搜索的网站，搜索结果是来自搜索服务器的快照，如果这个快照本身有安全缺陷，反馈给我们的信息在安全方面也就存在着问题。 　　2 现象分析 　　2.1 域名劫持 　　目前提供搜索引擎服务的产品很多，常用的如百度、谷歌、搜狗、有道等，他们应用的技术差别较大，核心技术一般都作为公司的技术机密，我们是不得而知，但都存在一个数据快照，存储在搜索引擎服务器上，当用户输入关键字时，搜索引擎通过搜索功能在快照服务器上检索，并将结果按收录的时间或其他索引进行排序列出，为用户提供信息。 　　但在使用过程中，网站如果被植入木马程序，表现为通过搜索引擎搜索到某一网站，搜索结果中的网站名称、域名均与实际相符，打开这个网站时，前1～2秒时间，是打开网站域名时的解析，没有异常，但再过1秒钟左右，打开出现的网站却是其他网站或者非法网站，而域名解析的IP地址没有任何异常是完全正确的。 　　出现类似的问题，我们常称为“域名劫持”，出现这种情况原因是多种的，而我们部分政府网站、企事业单位网站也出现过类似的问题，随着互联网应用日益深入社会生活，网络环境也愈加复杂多变。这种现象警示着网站管理员人必须高度重视网络安全，并不断提高应对新的安全威胁的能力。 　　2.2 注入代码 　　注入代码与植入木马文件，是黑客通常采用的手法，注入代码时，当被注入的文件被任何浏览者访问时，这段被入的代码就开始工作，利用系统的FSO功能，后成一个木马文件，黑客再用这个木马文件来控制服务器，并不只是控制Web所在的文件夹，当然，还有些黑客不需要控制服务器，只是在Web文件里注入一些黑链接，像私服、色情网站、赌博网站，打开网站时不会出现任何多余的内容，只是打开速度比正常的要慢很多倍，因为要等这些黑链接都生效之后整个网站才完全打开，如果是黑链接只需要清除了就可以了，但是文件被植入了木马或字符，便很难查找得到。 　　3 主要特征 　　经过反复查找原因，发现了域名劫持的主要特征。经过对黑客植入字符分析，其使用了“window.location.href”js语句，还会造成网站管理无法正登录，管理人员在管理登录窗口输入用户名、密码后，一般通过认证时便会将用户的一些信息通过session传递给其他文件使用，但“window.location.href”语句使认证环节都无法实现，用户的表单无法正常提交给验证文件，如果系统使用了验证码，“window.location.href”语句可以使验证码过期，输入的验证码也是无效的，造成网站无法正常登录。 　　经过对网站内容劫持的分析，发现被劫持的网站打开时，一般有以下代码： 　　4 主要对策 　　通过对产生的原因分析，其主要是对网站服务器Web网站文件及文件夹获取了读与写的权限，针对问题产生的主要原因、途径，利用服务器的安全设置和提高网站程序的安全性，是可以防范的，是可以杜绝域名劫持问题的。 　　4.1 加强网站的防SQL注入功能 　　SQL注入是利用SQL语句的特点，向数据库写内容，从而获取到权限的方法。对于访问MS SQL Server数据库时，不要使用权限较大的sa默认用户，需要建立只访问本系统数据库的专一用户，并配置其为系统所需的最小权限。 　　4.2 配置Web站点文件夹及文件操作权限 　　Windows网络操作系统中，使用超级管理员权限，对Web站点文件及文件夹配置权限，多数设置为读权限，谨慎使用写权限，如果无法获取超级管理员权限，这样木马程序便无法生根，网站域名被劫持的可能便可以降低很多。 　　4.3 查看事件管理器，清理Web网点中存在的可疑文件 　　Windows网络操作系统中有事件管理器，不管黑客是通过何种方式获取操作权限的，事件管理器中均可以看出异常，通过异常的事件