網站出現掛馬的主要原因為系統、防火墻出現漏洞或者網站應用程序出現漏洞所致。網絡管理員是負責審核網站和維護網站正常運行的人員，文章從網絡管理員的角度，談談如何加強審計與監測，防范網站掛馬。

加強各部門提交網頁審計

一直以來，對于網絡中心的網管人員來說，要想不被掛馬，首先肯定要發現網站應用程序是否存在安全漏洞。對網站應用程序進行審計通常有人工檢測、專業系統檢測和安全審計工具檢測方法。

人工代碼審查流于形式

人工檢測主要是網管人員，通過詳細閱讀代碼，然后發現網站應用程序是否存在安全漏洞。例如在某個頁面發現如下代碼：<iframe src=”http://127.0.0.1/test.htm” width=”0” height=”0” frameborder=”0”></iframe>，這個時候，src參數后面的就可能是網頁木馬的地址。當我們打開這個網站的首頁后，會彈出網頁木馬的頁面，這個頁面我們是無法看到的，因為我們在代碼中設置了彈出頁面的窗口長寬各為0。此時木馬也已經悄悄下載到本機并運行了。

人工檢測要求網管人員必須精通常見的動態網站開發語言,如PHP、jsp等等，另外還要知道漏洞的表現形式。實際上，能夠達到這種水平的網管人員非常少。另外，對一個個網頁一句句進行代碼審查，由于網頁代碼龐大，無法人工逐個分析或者無法徹底鏟除。所以從現實角度來看，很多學校雖然規定了網管人員必須進行人工審查。但是由于以上原因，使得網頁的審計往往只是內容上進行草草審計而流于形式。

專業檢測系統效果好、價格貴

目前，很多公司推出了專業的網站監測產品，如智恒聯盟的WebPecker V8專業版網站安全統一監控平臺，賽爾的全國高校招生安全檢測平臺等等。這些檢測平臺，可以提供掛馬檢測 、SQL注入檢測、XSS跨站漏洞檢測以及敏感信息告警等功能。這些工具，對木馬檢測通常采用沙箱技術和客戶端蜜罐技術，對提交的網站掛馬情況掃描分析。

SQL 注入漏洞會導致網站數據庫信息被竊取、篡改、刪除，進一步導致網站被掛馬，甚至被攻擊者獲取到網站服務器管理權限。這些工具通過滲透測試等檢測方法，檢測網站是否存在SQL 注入漏洞。作為輔助功能，專業工具提供了敏感信息監控功能，對網站的敏感字段通過爬蟲技術進行分析，及時發現網站中出現的敏感信息。

這些檢測系統優點是檢測效果較好，但是價格比較貴，對于不少學校來說是一個負擔。另外，由于木馬技術的發展，特別是最近推出的木馬，增加了反虛擬機的代碼，因此，完全依賴使用沙箱這種技術來檢測掛馬，效果有待實踐檢驗。因此，筆者建議今后要采用上述的綜合方法來防止掛馬。

免費的安全審計工具

由于網絡攻擊的增多和人們對審計工具缺乏信任，因此開源的Web安全審計工具以其開源、免費深受大家的喜歡。這里推薦Nikto工具。Nikto是一個開源的Web服務器掃描程序，目前最新版本為2.1.1（http://cirt.net/nikto2），它可以對Web服務器的多種項目(包括6100個潛在的危險文件，以及超過950個服務器版本)進行全面的測試，成為網管人員常用的工具。

提起Web安全審計工具，當然離不開IBM Rational AppScan和 HP WebInspect。 Rational AppScan 使用比較簡單，基本上屬于黑盒測試工具，測試人員不需要了解 Web 應用本身的結構。AppScan可以成功檢查跨站腳本、注入漏洞等，并給出解決該漏洞的方法，幫助開發人員迅速修復程序安全隱患。對于采用Web 2.0技術的網站來說，可以使用HP 公司的WebInspect，它可以很好的對網站執行Web 應用程序安全測試和評估。