網(wǎng)站內(nèi)容被篡改？數(shù)據(jù)庫出現(xiàn)轉(zhuǎn)儲(chǔ)？神秘的文件不時(shí)出現(xiàn)？沒錯(cuò)，這一切都意味著你的Web應(yīng)用程序很可能已經(jīng)受到黑客攻擊——今天我們要探討的就是判斷這類問題的存在，并以具備通行性的方式加以解決。

當(dāng)客戶與我們的業(yè)務(wù)進(jìn)行互動(dòng)時(shí)，其首先接觸到的往往正是Web應(yīng)用程序。Web應(yīng)用可以說是企業(yè)公眾形象的關(guān)鍵性代表——但正是這種極高的曝光度也使其成為惡意人士們的主要針對(duì)對(duì)象。

[[154776]]

大多數(shù)指向Web應(yīng)用程序的攻擊活動(dòng)非常隱蔽而且難于發(fā)現(xiàn)。根據(jù)Verizon 2015數(shù)據(jù)泄露調(diào)查報(bào)告所言，目前攻擊者們一旦侵入到企業(yè)內(nèi)部環(huán)境，其潛伏而未被發(fā)現(xiàn)的平均周期長(zhǎng)達(dá)205天——這顯然構(gòu)成了嚴(yán)重的安全問題。大多數(shù)企業(yè)其實(shí)根本無力主動(dòng)發(fā)現(xiàn)自身已經(jīng)被惡意人士所入侵的事實(shí)，直到他們接到執(zhí)法部門或者憤怒客戶發(fā)來的消息。

那么我們要如何判斷自身的Web應(yīng)用程序是否已經(jīng)受到攻擊？“當(dāng)大家的Web應(yīng)用程序被入侵，最重要的初始征兆就是其開始出現(xiàn)行為異常，”Information Security論壇管理負(fù)責(zé)人Steve Durbin指出。因此要想及時(shí)發(fā)現(xiàn)入侵事故，關(guān)鍵在于深入理解Web應(yīng)用程序的正常行為狀態(tài)，而后認(rèn)真排查各類不合常理的運(yùn)作表現(xiàn)。

在今天的文章中，我們將探討五種可能預(yù)示著Web應(yīng)用程序遭到入侵的顯著征兆——而這也應(yīng)該成為大家排查問題的最佳起點(diǎn)。除此之外，大家還能夠從中了解到與Web應(yīng)用程序安全保護(hù)相關(guān)的常識(shí)性建議，并利用它們更為準(zhǔn)確地判斷自身當(dāng)前安全態(tài)勢(shì)。

征兆之一：應(yīng)用程序的運(yùn)行狀況與設(shè)計(jì)規(guī)劃不符

對(duì)應(yīng)用程序進(jìn)行監(jiān)控可以說是大家揪出異常狀況的最佳途徑——是的，沒有之一。

也許大家會(huì)發(fā)現(xiàn)自己的應(yīng)用程序如今需要耗費(fèi)更多時(shí)間來渲染由數(shù)據(jù)庫提供的結(jié)果頁面，且整個(gè)時(shí)間周期遠(yuǎn)高于過去。另外，應(yīng)用程序也許會(huì)以預(yù)期不同的次數(shù)顯示某些頁面，或者將用戶重新定向至完全不同的其它頁面。也許網(wǎng)絡(luò)流量會(huì)突然增加，但企業(yè)本身卻沒有任何合理的營(yíng)銷活動(dòng)來支持這種莫名其妙的高訪問量。舉例來說，某家每天平均訂單數(shù)量為50筆的小型在線店鋪突然出現(xiàn)每天高達(dá)5000次的訪問流量，那么別急著開心——這肯定是出了問題。

當(dāng)然，這些還不足以完全證明我們的Web應(yīng)用程序已經(jīng)遭到攻擊。緩慢的頁面載入狀況很可能源自某些臨時(shí)性的網(wǎng)絡(luò)連接問題——甚至是某些DDoS攻擊，如果大家有理由相信攻擊者可能采取這種手段的話。不過相比之下，積極采取行動(dòng)進(jìn)行調(diào)查肯定要比坐到更大的問題突然降臨好得多。

如果應(yīng)用程序?qū)⒂脩糁匦轮赶蛑疗渌撁?，?qǐng)務(wù)必馬上調(diào)查其實(shí)際原因。這到底是惡意廣告劫持頁面功能所導(dǎo)致？還是頁面中的代碼最近進(jìn)行過變更？抑或是數(shù)據(jù)庫當(dāng)中的信息遭到了篡改？總而言之，請(qǐng)大家養(yǎng)成利用正常行為對(duì)生產(chǎn)環(huán)境下的應(yīng)用進(jìn)行解析的好習(xí)慣，這樣預(yù)期之外的狀況會(huì)被立刻發(fā)現(xiàn)并接受我們的深入調(diào)查。

征兆之二：發(fā)現(xiàn)預(yù)期之外的日志信息

如果設(shè)置得當(dāng)，那么日志信息將成為我們揪出攻擊活動(dòng)的寶貴礦脈。經(jīng)過篩選的數(shù)據(jù)庫日志能夠昭示出與預(yù)期不符的查詢活動(dòng)，同時(shí)顯示該信息的出現(xiàn)時(shí)間。如果數(shù)據(jù)庫日志在短時(shí)間內(nèi)顯示出多項(xiàng)錯(cuò)誤，這可能代表著某人正在應(yīng)用程序當(dāng)中游弋以搜尋——或者已經(jīng)找到——SQL注入載體。這時(shí)我們需要回溯該數(shù)據(jù)庫查詢的具體來源，并確保相關(guān)應(yīng)用程序以正確方式處理了這些輸入請(qǐng)求。

我們的Web服務(wù)器軟件能夠通過系統(tǒng)FTP及HTTP日志記錄下所有入站與離站網(wǎng)絡(luò)連接（因此大家務(wù)必保證其處于啟用狀態(tài)）。通過提取與篩選，我們能夠從這些日志中發(fā)現(xiàn)未經(jīng)授權(quán)或者惡意活動(dòng)所留下的蹤跡。

Web服務(wù)器一般來講只需要與內(nèi)部數(shù)據(jù)庫建立連接。如果出現(xiàn)了來自Web服務(wù)器并指向公共IP地址的離站網(wǎng)絡(luò)連接，那么我們必須馬上考慮其發(fā)生原因以及有可能代表的問題。某些沒有正當(dāng)理由的文件傳輸行為則昭示著有數(shù)據(jù)離開了該Web服務(wù)器。這可能會(huì)成為重要的線索，進(jìn)而幫助我們發(fā)現(xiàn)攻擊者從應(yīng)用程序當(dāng)中竊取數(shù)據(jù)并將相關(guān)內(nèi)容發(fā)送至遠(yuǎn)程服務(wù)器的活動(dòng)。

另外，不要單純關(guān)注數(shù)據(jù)流出網(wǎng)絡(luò)之外的狀況，而忽略了業(yè)務(wù)環(huán)境內(nèi)部的數(shù)據(jù)移動(dòng)現(xiàn)象。如果Web服務(wù)器與其它內(nèi)部網(wǎng)絡(luò)資源進(jìn)行過通信，例如用戶文件共享與個(gè)人用戶計(jì)算機(jī)，那么這可能代表著攻擊者已經(jīng)入侵到了企業(yè)內(nèi)部環(huán)境當(dāng)中并在網(wǎng)絡(luò)內(nèi)到處游蕩。舉例來講，如果相關(guān)應(yīng)用程序允許用戶進(jìn)行文件上傳，那么請(qǐng)務(wù)必確保其使用專用的文件服務(wù)器而非企業(yè)內(nèi)部的任意傳輸載體。

與服務(wù)器日志類似，應(yīng)用程序日志也能夠在出現(xiàn)問題時(shí)向大家發(fā)出提醒，當(dāng)然前提是其經(jīng)過正確設(shè)置并受到嚴(yán)格監(jiān)控。請(qǐng)確保對(duì)管理員級(jí)別的任務(wù)進(jìn)行應(yīng)用日志記錄，例如創(chuàng)建用戶賬戶或者管理員賬戶。如果Web應(yīng)用程序創(chuàng)建了管理員級(jí)或者具備其它權(quán)限級(jí)別的賬戶，請(qǐng)立即驗(yàn)證該賬戶的合法性——以避免高權(quán)限賬戶為攻擊者所獲取。

Web應(yīng)用程序還應(yīng)當(dāng)顯示管理員們的確切登錄時(shí)間，這樣大家才能夠定期檢查并發(fā)現(xiàn)在意外位置以及時(shí)段進(jìn)行的訪問操作。另外我們需要驗(yàn)證管理員賬戶的實(shí)際行為。一般來講，不合常理的Web應(yīng)用程序管理員賬戶操作往往意味著大家的業(yè)務(wù)環(huán)境已經(jīng)遭遇到了惡意入侵。

如果我們發(fā)現(xiàn)表單提交相關(guān)錯(cuò)誤數(shù)量增加或者在頁面載入的過程當(dāng)中出現(xiàn)大量錯(cuò)誤的狀況，那么很有可能意味著該應(yīng)用程序正在嘗試進(jìn)行一些與原始設(shè)計(jì)不符的操作。如果大家遇到了這類錯(cuò)誤數(shù)量增長(zhǎng)的現(xiàn)象，請(qǐng)立即追蹤觸發(fā)這些錯(cuò)誤的對(duì)應(yīng)頁面并排查其中可能被篡改的代碼。

征兆之三：發(fā)現(xiàn)新的進(jìn)程、用戶或者任務(wù)

對(duì)Web服務(wù)器上的各項(xiàng)進(jìn)程加以監(jiān)控，這能夠幫助大家快速了解服務(wù)器上未知進(jìn)程的擴(kuò)散或者已知進(jìn)程在非正常時(shí)間段內(nèi)運(yùn)行等異常狀況。一般來講，未知進(jìn)程的出現(xiàn)在很大程度上意味著我們的應(yīng)用程序已經(jīng)不再處于正常的受控范圍之內(nèi)。

一旦攻擊者在服務(wù)器上獲得了一個(gè)賬戶，那么其幾乎已經(jīng)能夠?yàn)樗麨榱?。定期?duì)服務(wù)器進(jìn)行監(jiān)控以掌握用戶創(chuàng)建活動(dòng)因而十分重要，特別是那些具備一定權(quán)限的用戶賬戶。這些賬戶通常并非新近創(chuàng)建而成，因此我們有必要對(duì)全部賬戶進(jìn)行篩查——無論其具體創(chuàng)建時(shí)間如何。如果特定用戶不應(yīng)要求提升自身權(quán)限或者root訪問資格，但卻出現(xiàn)了請(qǐng)求提交的情況，那么我們幾乎可以認(rèn)定其登錄憑證已經(jīng)為攻擊者所竊取。

我們應(yīng)當(dāng)養(yǎng)成在Linux服務(wù)器上查看定時(shí)任務(wù)（即crontab）或者在Windows服務(wù)器上查看計(jì)劃任務(wù)的好習(xí)慣，這能幫助大家切實(shí)掌握正常狀況下的各條目運(yùn)作情況。如果有新任務(wù)被添加進(jìn)來，這可能意味著我們的Web應(yīng)用程序正在進(jìn)行一些預(yù)期之外的活動(dòng)。也許最終大家會(huì)發(fā)現(xiàn)其根源只是一項(xiàng)臨時(shí)性維護(hù)任務(wù)——但我們也不能排除這是攻擊者在家中利用自己的手機(jī)從應(yīng)用程序處定期獲取來自命令與控制服務(wù)器新指令。攻擊還可能會(huì)以自動(dòng)化方式分批向遠(yuǎn)程服務(wù)器發(fā)送額外數(shù)據(jù)，這些都是值得關(guān)注的顯著征兆。

征兆四：文件內(nèi)容遭到修改

Web應(yīng)用程序當(dāng)中幾年以來始終未被修改過的文件是否會(huì)在近期顯示出時(shí)間戳變更？如果我們的Web服務(wù)器沒有經(jīng)過正確配置或者應(yīng)用程序當(dāng)中存在安全漏洞，那么攻擊者們很可能會(huì)對(duì)應(yīng)用進(jìn)行修改以運(yùn)行他們的惡意代碼。相關(guān)惡意代碼往往會(huì)被注入至JavaScript或者經(jīng)過重量寫的模塊。有鑒于此，大家需要檢查時(shí)間戳以確保各文件沒有在未經(jīng)授權(quán)的情況下受到修改。如果文件已經(jīng)遭到修改，那么請(qǐng)將其與原有版本進(jìn)行比對(duì)，從而了解其中的具體變更內(nèi)容。

目前有多款實(shí)用程序能夠掃描應(yīng)用程序，從而揪出其中的惡意代碼。因此請(qǐng)定期運(yùn)行以確保我們不至于遺漏任何重要的文件內(nèi)容變更。（Sucuri就是這樣一款出色的工具。）

另外，我們的Web服務(wù)器上是否出現(xiàn)了大量在正常使用情況下不可能存在的新文件？Web root當(dāng)中出現(xiàn)新文件明顯不屬于正常情況，特別是在這些新文件屬于腳本或者其它類型的可執(zhí)行文件時(shí)。將文件添加至Web root下應(yīng)當(dāng)是一個(gè)經(jīng)過詳盡記錄的過程，而且所有相關(guān)活動(dòng)都應(yīng)遵循既定計(jì)劃的引導(dǎo)。如果大家在Web root或者服務(wù)器的其它位置發(fā)現(xiàn)了新文件，那么恭喜——您已經(jīng)中招了。攻擊者可能在利用大家的應(yīng)用程序進(jìn)行惡意軟件傳播，包括針對(duì)其它不知情網(wǎng)站的訪問者或者運(yùn)行腳本將其重新定向至其它位置。當(dāng)然，新出現(xiàn)的文件也可能以純文本格式出現(xiàn)，其中包含有攻擊者已經(jīng)收集到的各類有價(jià)值數(shù)據(jù)。

曾經(jīng)有攻擊者創(chuàng)建了一個(gè)全新目錄，并在其中安裝自己的應(yīng)用程序。相較于直接與Web應(yīng)用程序發(fā)生接觸，他們更依賴于利用域以及服務(wù)器來運(yùn)行自己的惡意工具。

如果大家的Web應(yīng)用程序使用第三方插件，那么請(qǐng)檢查這些插件以確保它們不會(huì)在未經(jīng)提醒的情況下進(jìn)行更新或者安裝。千萬不要隨便安裝此類插件，因?yàn)樗鼈冸m然能夠讓我們的網(wǎng)站看起來更酷炫，但同時(shí)也會(huì)給站點(diǎn)帶來惡意代碼入侵的可能性——因此大家必須以審慎的態(tài)度加以對(duì)待。以White Hat Security為代表的這類掃描工具能夠切實(shí)幫助大家發(fā)現(xiàn)潛在的攻擊性代碼。

征兆之五：收到警示信息

如果大家的應(yīng)用程序遭到入侵并已經(jīng)開始傳播惡意軟件，那么其它安全工具很有可能已經(jīng)將其列入了高危名單。谷歌公司在匯總Chrome瀏覽器用戶的使用經(jīng)歷并對(duì)高危頁面進(jìn)行屏蔽方面做得非常到位；當(dāng)然，其它瀏覽器廠商也會(huì)定期更新自己的惡意站點(diǎn)黑名單。定期利用這些瀏覽器來檢查自己的應(yīng)用程序，觀察其中是否給出了任何警示信息——或者直接利用谷歌推出的Safe powsing工具對(duì)自己的站點(diǎn)加以審查。

監(jiān)控社交媒體及幫助臺(tái)電子郵件以了解來自用戶的真實(shí)聲音。如果用戶表示他們由于相關(guān)郵件被自動(dòng)標(biāo)記為垃圾郵件而無法進(jìn)行密碼重置，那么我們就應(yīng)當(dāng)考慮自己的應(yīng)用程序是否已經(jīng)被網(wǎng)絡(luò)安全行業(yè)認(rèn)定為垃圾郵件中繼。

請(qǐng)記?。喊踩Ｗo(hù)工作對(duì)于Web應(yīng)用程序同樣重要

如果發(fā)現(xiàn)了安全問題的存在，我們應(yīng)當(dāng)立即對(duì)應(yīng)用程序以及相關(guān)服務(wù)器進(jìn)行備份，從而保留可供未來取證的重要信息。如果大家從某套備份處進(jìn)行恢復(fù)，那么請(qǐng)確保該副本清潔無污染，這樣我們才不至于在恢復(fù)的同時(shí)將惡意軟件也一同引入了業(yè)務(wù)環(huán)境。找出受到感染的文件，并將其替換為安全清潔的版本。當(dāng)然，這也意味著備份需要定期進(jìn)行以滿足當(dāng)前業(yè)務(wù)的發(fā)展需要。

一旦應(yīng)用程序已經(jīng)恢復(fù)完成且不必要的文件被移除，請(qǐng)大家立刻變更全部現(xiàn)有密碼，其中包括面向CMS、管理員賬戶以及其它所有個(gè)別服務(wù)的密碼內(nèi)容。另外，盡可能啟用雙因素難機(jī)制并設(shè)置VPN訪問，這能夠在保障應(yīng)用程序安全的同時(shí)防止攻擊者利用原有登錄憑證重新侵入。

強(qiáng)化應(yīng)用程序自身。移除其中不必要的權(quán)限，且永遠(yuǎn)不要使用默認(rèn)密碼。使用較難被猜到的目錄路徑是個(gè)不錯(cuò)的辦法（最好不要使用/admin這種爛大街的路徑，攻擊者最先嘗試的肯定就是這一控制面板存儲(chǔ)位置）。對(duì)于PHP應(yīng)用程序來講，其能夠在php.ini文件當(dāng)中輕松啟用安全模式。安全掃描工具也能夠?qū)?yīng)用程序當(dāng)中的已知安全漏洞進(jìn)行排查。

在我們的個(gè)人或者工作筆記本電腦中，大家肯定會(huì)使用反病毒軟件、關(guān)注自己所下載的程序并定期對(duì)操作系統(tǒng)以及第三方軟件進(jìn)行更新。同樣的作法也適用于Web服務(wù)器以及應(yīng)用程序。定期更新第三方應(yīng)用程序能夠確保各類安全漏洞得到及時(shí)修復(fù)。服務(wù)器之上的現(xiàn)代反病毒工具亦可以捕獲大多數(shù)公開的Web shell并檢測(cè)到已經(jīng)被安裝在服務(wù)器當(dāng)中的惡意軟件。

在幾乎所有情況下，我們都需要恢復(fù)應(yīng)用程序并解決其中可能會(huì)被攻擊者們所利用的漏洞。盡管從零開始重建服務(wù)器并設(shè)置應(yīng)用程序的方式也是可行的，但這往往只是我們挽回局面的最后手段。如果沒有及時(shí)更新且清潔安全的備份數(shù)據(jù)，那么全盤重來恐怕將是大家惟一的選項(xiàng)。另外，如果大家沒有定期審視上文中提到的各項(xiàng)攻擊者已然入侵的征兆，那么各位也根本無法意識(shí)到自己的應(yīng)用程序需要修復(fù)。總之，這是一項(xiàng)艱難且綜合性的任務(wù)，同志們加油！

原文標(biāo)題：5 signs your Web application has been hacked