【51CTO.com 綜合消息】隨著中國互聯網的發展，安全問題越來越多，由于受到巨額經濟利益的驅使，網站掛馬尤為猖獗。2009年8月江蘇警方破獲了一起特大制售木馬病毒案，涉案金額高達3000余萬元。據統計，截止2009年9月我國網民數量已達到3.6億，而另一方面的統計顯示地下黑色產業鏈的規模也將達到100億，其對企業用戶帶來的間接損失則無法估量。

2010年初，國內廣泛使用的Web論壇—Discuz!7.x、主流下載軟件迅雷（Thunder5.9.14.1246）、網際快車（Amazesoft FlashGet 3.x）和網絡傳送帶（Net Transport）相繼爆出安全漏洞。黑客可以精心構建惡意網站，利用這些漏洞偷偷在客戶端電腦中安裝木馬軟件，竊取用戶的QQ、網游和銀行卡等機密信息，并形成僵尸網絡。

黑客如何通過網站掛馬賺錢

首先，應該明確掛馬只是一個途徑，在訪問惡意站點的客戶端電腦中安裝木馬軟件才是其根本目的。電腦被種植木馬就變成了一臺傀儡機，攻擊者可以在電腦中做任何操作，包括：盜取各類用戶賬號，如QQ賬號、網銀賬號、網游賬號、管理員賬號；盜竊各種重要機密的文件資料；非法轉賬；破壞數據；完全控制電腦等等。攻擊者將盜取的賬號信息、游戲裝備等變賣獲利；被攻擊主機也將成為僵尸網絡中的一員，攻擊者利用僵尸網絡進行收費的DDoS攻擊是賺錢的另一種手段。由于網站掛馬隱蔽性強，感染了“木馬”的主機就成為埋藏在組織內部的定時炸彈。

如何防范網站掛馬攻擊

網站掛馬一般可以分為以下幾個流程：

1. 制作黑頁：針對客戶端軟件存在的漏洞，黑客構建的包含惡意代碼的網頁；

2. 網站掛馬：利用SQL注入、XSS跨站腳本等攻擊入侵合法網站并嵌入可跳轉到黑頁的鏈接；

3. 下載木馬：客戶端訪問被掛馬網站，并跳轉到黑頁，這是由于客戶端軟件存在漏洞會執行惡意代碼自動下載木馬軟件。

上述流程涉及了三個主體：被掛馬網站、黑頁（也叫做掛馬源）、有漏洞的客戶端軟件。要解決網站掛馬問題，就要從這三方面入手。 

◆消除被掛馬網站 

◆增強客戶端的安全性 

◆阻止客戶端訪問掛馬網站、黑頁

目前，中國已有280萬注冊網站，網站開發水平參差不齊，特別是Web2.0的廣泛應用，增強交互水平的同時也大大增加了被掛馬的可能性，據全球知名反惡意軟件組織StopBadware的研究顯示：全球的掛馬站點52%來自中國。而要想從客戶端解決問題也并非易事，企業中的大量終端安裝了眾多的應用軟件，難以有效保證所有終端都是安全的。

因此，檢測并阻止客戶端訪問掛馬網站、黑頁是最佳的解決方案。對企業用戶來講，在網關處進行統一防護非常重要。

聯想網御惡意站點檢測與阻斷模塊

聯想網御公司在其全線網關產品中集成了惡意站點檢測與阻斷模塊，該模塊維護實時更新的惡意站點數據庫。部署聯想網御網關產品后，對內網用戶訪問的目標站點進行安全檢查，當內網用戶訪問的站點是被惡意掛馬的站點時，網關會阻斷該訪問，并向訪問者的瀏覽器推送告警信息“阻斷訪問掛馬網站”。  

【聯想網御惡意站點檢測與阻斷模塊工作示意圖】

聯想網御惡意站點庫包含可信站點和惡意站點兩大類，惡意站點庫又細分為掛馬網站和掛馬源兩種類型，覆蓋了中國已注冊的400多萬個網站。為保證可靠性，會實時對網絡站點進行檢查，并根據檢查結果定期對全庫進行更新。對于不在可信站點和惡意站點數據庫的新網站，網關則通過實時分析網頁的行為動作來確定訪問的安全性。當某網頁試圖執行程序、下載可執行文件等敏感操作時判別其為惡意網站并進行攔截，同時也會將這個網頁的URL加入到惡意站點數據庫中。由于采用了基于行為動作的分析技術，使得攻擊者無論是采用老的掛馬代碼，還是全新的基于IE、Office、Flash、AdobeReader等流行軟件漏洞的掛馬代碼，都可以進行有效攔截。此外，由于大量的惡意站點都使用了JavaScript腳本來書寫攻擊代碼，聯想網御惡意站點檢測與阻斷模塊集成了JavaScript腳本檢測技術來檢測掛馬網站。

聯想網御UTM、IPS產品不僅可以阻止內部客戶端訪問外部掛馬站點，還可以通過深度過濾功能，準確攔截SQL注入、XSS跨站腳本和針對系統漏洞的攻擊，從而防止內部網站被掛馬。

內外兼顧，聯想網御網關產品可以有效保障企事業單位用戶免受網站掛馬的危害，為各種業務的正常運轉提供強有力地防護。