有關(guān)金山CDN服務器遭遇黑客攻擊問題的說明
作者:佚名
2月6日下午,由于第三方網(wǎng)絡服務商CDN的服務器遭遇黑客攻擊,間接導致了部分用戶在訪問毒霸官方網(wǎng)站的時候可能會遇到掛馬問題。發(fā)現(xiàn)問題后,金山緊急 聯(lián)系了CDN方面,并協(xié)助CDN方面在問題出現(xiàn)后的第一時間內(nèi)成功解決了問題。廣大用戶可放心登陸金山毒霸官方網(wǎng)站,特此聲明。
2月6日下午,由于第三方網(wǎng)絡服務商CDN的服務器遭遇黑客攻擊,間接導致了部分用戶在訪問毒霸官方網(wǎng)站的時候可能會遇到掛馬問題。發(fā)現(xiàn)問題后,金山緊急 聯(lián)系了CDN方面,并協(xié)助CDN方面在問題出現(xiàn)后的第一時間內(nèi)成功解決了問題。廣大用戶可放心登陸金山毒霸官方網(wǎng)站,特此聲明。
北京金山安全軟件有限公司
2010年2月6日
關(guān)于CDN劫持的一些說明:
CDN劫持會間接造成掛馬,從客戶端看都是訪問這個站發(fā)現(xiàn)掛馬現(xiàn)象,實際上源服務器一切正常。金山毒霸的用戶不會在此事件中受到傷害,網(wǎng)盾可以攔截任何形式的網(wǎng)頁掛馬。
有關(guān)上網(wǎng)、會話劫持與網(wǎng)頁掛馬的關(guān)系,請參考2007年我寫的一個小文章《客戶端上網(wǎng)流程、網(wǎng)站掛馬、會話劫持》
通常用戶訪問某個Web站點的過程如下圖所示:
用戶的訪問過程包含以下環(huán)節(jié):
1.客戶端通過ISP訪問互聯(lián)網(wǎng),ISP指網(wǎng)通、電信的ADSL或長寬、歌華、鐵通等互聯(lián)網(wǎng)接入服務商
2.客戶訪問某站點的鏡像服務器獲取資料
3.部分站點沒有配置鏡像服務器,用戶直接訪問源服務器。
攻擊點:
1.在客戶端(網(wǎng)民)主機或網(wǎng)絡中發(fā)送攻擊代碼,比如ARP攻擊,插入惡意代碼,誘使用戶訪問攻擊者指定的站點,這時會 影響該客戶端或其所在的網(wǎng)絡
2.ISP服務商的網(wǎng)絡,比如部分無良服務商強制插入廣告。或者ISP服務商被攻擊,用戶訪問了攻擊者設定的內(nèi)容。
解決辦法:
用戶到服務器之間的鏈路掛馬,只能由用戶端或ISP們解決。這種類型的掛馬,表現(xiàn)為某用戶或某地用戶訪問特定網(wǎng)站時發(fā)現(xiàn) 掛馬,而其它地區(qū)的客戶未發(fā)現(xiàn)掛馬。
源服務器和鏡像服務器之間的鏈路:
1.服務器內(nèi)容提供者管理源服務器的內(nèi)容
2.源服務器和鏡像服務器按某種機制同步內(nèi)容
3.在用戶訪問鏡像服務器上沒有的內(nèi)容時,鏡像服務器從源服務器同步攻擊點:
(1).源服務器被入侵,攻擊者直接修改了源內(nèi)容。這樣,通過鏡像同步后,所有客戶端訪問該站點都會發(fā)現(xiàn)掛馬。通常這種現(xiàn)象 被稱“服務器被黑了”
(2).鏡像服務器或服務器所在機房的網(wǎng)絡中某臺主機被入侵,攻擊者通過會話劫持把被修改的內(nèi)容提供給用戶。這個情況較常見,比如機房中總能找到容易被入侵的 主機,攻擊者在這臺主機上安裝攻擊程序,然后利用ARP攻擊手段影響整個機房局域網(wǎng)。
(3).在源和鏡像同步的鏈路中間下手,劫持篡改了從源到鏡像的數(shù)據(jù),鏡像得到的是被篡改后的源內(nèi)容。
解決方案:
1.加固源服務器,恢復被篡改的內(nèi)容
2.查找機房的攻擊源,隔離攻擊源,機房各主機之間綁定MAC和IP地址,防止ARP攻擊得手
3.源服務器和鏡像服務器之間采用加密通信,比如VPN,這樣會消耗較多帶寬,降低性能。
最安全的作法:
也最極端,從客戶端到源服務器之間的通信全部加密,這樣安全性會得到保證,但影響了用戶體驗。典型例子是網(wǎng)絡銀行客戶 端,全程加密所有數(shù)據(jù)。
對普通網(wǎng)民來講,本地安裝的反病毒軟件是保護電腦安全的最后一道防線,請及時升級,呼吁使用正版。
責任編輯:許鳳麗
來源:
鐵軍的殺毒圈子
