) f/ t3 z4 R* h' |/ J- n' f+ J& w' j1 |9 b+ ?1 y
当大多数人进入梦乡的时候,另一拨人开始忙碌地“工作”。他们不停寻找各种网站的漏洞,侵入服务器盗取有价值的数据。最新落网的“快递数据泄露案”犯罪嫌疑人供认,通过入侵快递公司服务器,短短时间内他就盗取了1400余万条快递数据。
! j5 @! L* y8 j" _* u ?1 a
% g, T. i2 ~" h2 m/ s/ C; t4 U# _ 更令人担忧的是,国内网站几乎可以用遍布漏洞来形容,很多网站甚至长期不修补漏洞,任由攻击者肆意出入。根据360网站安全检测平台发布的《2014上半年中国网站安全简报》显示,仅半年时间国内网站就发现了705万个漏洞,而凌晨时分正是黑客攻击的高峰,也是很多网站无人值守、防护最薄弱的时段。& c% [: L, n" D; T8 k
# a& d# o* `- u E/ Q
医疗网站最易被黑" c9 ]+ {- h/ C! B7 W4 s; C# i$ t3 O
2 F* j+ V7 M/ R4 ]1 y 360网站安全检测数据显示,医疗卫生类网站是存在漏洞最多的行业网站,其次是生活房产、GOV、教育培训、旅游酒店、医疗卫生、人才招聘等行业网站。这些网站均存在SQL注入、远程代码执行、弱口令等不同类型高危漏洞。利用漏洞,黑客可以远程入侵并获取到这些公司的服务器权限,然后进行信息窃取或内容篡改。, T4 v: {* C; R* H0 J# L0 s8 b
$ h4 L" s& ~ M5 s+ w* x3 b" J0 n1 G 黑客入侵网站大多是被利益驱动的。在医疗、教育、电商、旅游、人才招聘等网站上,黑客可以“拖库”(窃取网站用户数据)盗取用户资料,再像快递数据泄露案犯罪嫌疑人一样转卖出去;而新闻、教育和GOV等搜索权重高的网站遭受黑客篡改最多,暗中挂上广告链接,俗称“黑链”。3 k- R" O. x T% N' o+ W6 c f
# n2 Y* i' ?: R- a. g) l9 }5 p2 i 黑链主要包括医药、游戏、BC等广告信息,黑链挂得越多,在搜索结果靠前的概率就越大而黑客入侵网站窃取用户数据并进行兜售,早已经形成灰色产业链。
1 N D( g4 }( u% v# g! C+ `! N' ~) x/ h
库带计划消灭网站漏洞
9 H; T$ i, a- f+ u/ k' ?/ m" g! w# _) D& h1 J! D1 n
幸运的是,黑客群体中有攻击者和破坏者,也有俗称“白帽子”的安全建设者。
5 b4 {& z, n3 h) m; }$ W+ n: d5 J/ i& }: ~1 |; v
为了更全面发现并防御网站漏洞,去年3月360推出库带计划,悬赏白帽子帮助网站系统厂商发现漏洞,360网站卫士会第一时间加入漏洞防护功能。
. k( d( |: U* Y$ M- ^7 h2 ]6 M8 r, v1 P
今年上半年,360库带计划共收到415个白帽子提交的3949个有效漏洞。其中,针对网站的漏洞为97%,非网站的漏洞为3%,包含电视机顶盒系统、轨道交通广告牌、银行自助终端、ATM终端服务器、KTV计费系统等漏洞陆续出现。
; g% w5 {, Z9 y" y3 R, B4 I
; I7 A& x% C5 \ 可惜并非每家网站都会及时修复漏洞。360网站安全总监赵武透露,部分网站在接到360提交的漏洞报告后,迟迟不予修复。究其原因,还是信息安全没有得到普遍重视,而这个现象在一些传统行业尤为明显。
7 Z7 W( e4 m- J+ L" r- x! p
6 I% O2 x! q% C& N; G0 s 40%的DDoS攻击流量超10G# @; e9 w* |# O7 Y; y$ e
* a/ E9 |. z; ~- ~# E% ~/ s# o! s# y
除了漏洞攻击外,针对网站的流量攻击愈加猖獗。统计显示,2014 年上半年, DDoS 攻击较去年同期飙升近5倍,并且近40% 的攻击流量超过 10Gbps,最高者甚至超过了 120Gbps。一般的网站仅能承受1 Gbps攻击,因此,九成多的网站将无法抵御如此大规模的洪水流量攻击。
?1 W2 ^3 P7 U
3 H( D' h8 f. G5 N' r+ I 分析发现,行业间恶意竞争和黑客敲诈勒索成为攻击的主要目。其中,赢利大户游戏网站和最不差钱的金融类网站最易遭到DDoS攻击,而公司企业的官网和电商网站更容易遭到CC攻击。8 s5 ]7 i, t7 [. V+ w& j- J, X
$ r" L' {! `1 s: C0 q" i 与漏洞攻击发生在晚上不同,DDoS和CC攻击最猖狂的时候发生在每天的16点左右,因为该时段是上网高峰,发动攻击会导致网站无法登陆或正常服务失效,对网站经营造成更大的损害。# G, D( v' p& B7 b ]" B6 x
+ |& ~0 G4 U2 ~" g
为彻底解决网站安全问题,360推出网站卫士,为站长免费提供网站防火墙、DDoS保护、 CC保护、CDN加速、智能DNS解析、统计报表查询、页面压缩、缓存加速、和网站APP等服务,目前正在为上百万家网站提供安全防护。& @9 m4 i* u6 f5 \8 S9 ?
: c1 h: O: |& ]) c7 u
|
