央视网站“被黑”的技术性分析

 

央视网站“被黑”的技术性分析

 

Jack zhai

虎年春节刚过，就收到消息，央视网站又“被黑”了，央视网站(www.CCTV.com)号称“国家网络电视台”，是互联网上的“中央电视台”，但好象是建成这几年“几乎”没有“消停”过。我在Google上搜索了一下，有关它的消息还真很多。我简单地总结了一下：2010年2月15日，网站首页变成一欧洲女人的“走光”照片；2010年1月29日，“星播单”上赫然是几个×××的导航连接；2008年12月1日，音乐频道的首页是一个自称“小波”的***改成到此一游的记念…(照片这里就不贴了，有兴趣的人能够在网上找，固然这也没有什么值得有兴趣的)

对于央视网站安全管理，咱很差评论，只是就网站的技术性问题，作一些分析，但愿能给其余网站管理者们一个提示(纯属我的观点，仅供技术探讨之用，欢迎批评指正)。

 

网站连续被黑的现象应该不常见，而且每次持续的时间都超过2个多小时，也就是说，从有人发现到恢复的时间是比较长的，从网上发帖子的时间上看，从用户访问时发现被黑，到网站回应，到网站恢复，有不少值得商榷的地方。我分析可能有下面几方面的缘由：

一、网站应急团队处理能力不足：

信息时代的传播速度是每秒上亿次，尤为是在春节期间，2个小时，访问量有多少，不太好估计，应该不会少吧。咱们知道，网站的网页被黑，恢复起来应该是比较容易的事情，它不一样于网站被***瘫痪、蠕虫泛滥，被黑的网页很明确，容易修复(即便不恢复原状，也能够先摘除不雅图片)，因此容许有这样长的响应时间，显然是应急响应人员的反应速度太慢，或者是应急响应的流程“太复杂”。这如果在航天飞机上，或者高速铁路上，这样的响应速度，估计就不须要再响应了。

二、对网站应用运行状态的监控能力远不到位：

网站是互联网的“前沿”，是与各类***较量的“一线”，***不会等咱们有了防御他的手段才来“送死”，进攻永远都是出其不意。所以，网站安全中防御技术是创建高一些的***门槛，监控能力才是安全体系的要点。

咱们前面说的应急响应能力有两个方面很关键，一是“强悍”的团队(不能说央视没有钱维护高水平的队伍)，二是有效的工具。对网站动态不能随时掌握，应急响应就成了“瞎子”。从网站被黑的过程看，央视网站有网络层面的管理平台，却没有应用级别的监控平台，也就是说对网页的动态状况的了解是被动的(用户体验后告诉网站)。

也许你会说，央视网站有上万个网页，不可能彻底监控；而且动态的网页占多数(用户请求时动态生成，不一样用户送出的页面可能不一样)，没有办法监控…我从技术角度分析一下，这个观点是站不住脚的：

Ø 央视网站是中央电视台网上门户，公众效应很是强，***对他感兴趣是天然的，***它不只能够提升***自身的声誉，并且网站公众访问量大，也是***传播的最佳选择。但咱们知道，公众影响力的大小与网页的“深浅”有关，换句话说，首页与各频道首页的安全意义是不一样的，对这些首页的监控与全部网页监控来比，显然不是一个概念。

Ø 网站新闻的发布是有严格发布审批系统的，也就是说，对首页等主要新闻网页的修改只有这个发布系统才有权限，***只有得到了这个发布系统的权限，才能够篡改那些页面，我能够断言：他们对发布系统根本没有有效监控(如在线管理员ID、注册终端位置、修改栏目权限…)，审计系统是否完备也很难知晓(有审计起码能够过后追查***的***线路)。

Ø 对于互动栏目的监控，如博客、BBS等，用户能够上传信息，但这种发布系统应该有审核、过滤的技术手段，不少网站还设有“版主”进行人工审查(审查后才可被看到)，发现不良信息随时能够删除，删除时间以秒计算。若说帖子数量多，审查有难度，这种说法也是不通的，由于目前技术主要是依靠自动过滤技术(关键词过滤、信息归类算法等)，而且大部分“版主”都是“天然”的外部人，数量根本不受限制。

Ø 还有一种说法：央视网站的这几回被***，***都是先获取系统权限后，经过“合法”手段进行的网页篡改，传统的网页防篡改技术几乎成了摆设，应用监控也没法发现这些“合理”的篡改。其实，目前网站流行的“爬虫”技术，有两个用途是你们共知的：一是搜索引擎用来更新信息；二是模拟用户访问网页的用户体验(访问时间、界面流畅性等)；另一个用途常被你们忽视，就是查看网页是否被挂***，或是否被篡改。对于首页等重要网页的基本框架被修改发现是比较容易的，央视春节此次的被黑就是这种状况，有监控起码应该不比用户发现的晚。

三、网站的安全管理者玩忽职守：

咱们说：安全管理者就象捧着一个“花瓶”，时刻紧张着才对。能在这么短的时间内“连续”被黑，我估计有下面的因素：

Ø 网站管理者每次恢复，根本没有分析******的途径，对***利用的漏洞也没有“亡羊补牢”，大门还在继续敞开，一个***走进来，千百个***跟进来…

Ø 网站内可能已经隐藏了多个***，或安装了系统级的“后门”，工做人员前门补上，他们后边继续“打开”…

简单地说：就是每次在恢复网站的后续工做中，没有人跟踪分析******线路，头痛医头，脚痛医脚，快速给领导提交一份本身没责任的报告是最重要的…

 

对网站安全的建议：

从对央视网站“被黑”缘由的分析中，也给咱们提出这样一个问题：网站安全防御与通常内部网络安全防御有多少的不一样，因为网站的特殊性，应该注意下面几个方面：

一、             防御上关注系统漏洞的防御和应用漏洞的防御并重，尤为是对SQL注入、XSS、***的防御，Web的漏洞多于系统漏洞是目前不争的事实，对网关安全产品的选择是须要与业务自己特性进行综合考虑的。

二、             创建网站监控平台是必要的。快速响应的前提是监控到位。网站的公众效应要求网站的恢复响应时间应该在10分钟以内(公众反应时间：这个时间内人经常怀疑是链路差错问题)。监控应该是网络与应用并重，而网站的管理者更为关心的是应用的动态信息。

三、             创建“密罐”是必要的。公众网站是你们关注的焦点，也是新***技术的实验场，彻底依靠现有的防御技术显然是不足的，经过“密罐”技术，与专业安全公司互动，能够提早发现***的嗅探、扫描与***试探，可为新***技术发动提早预警。

四、要有强壮的恢复能力。监控是发现，恢复是结果。恢复技术不局限于被动的从新覆盖，恢复中遭遇正在“篡改”或还未离开的***，在网站监控反应能力提升到3分钟之内，就可能成为现实，“刺刀见红”的搏击战是免不了的，对网站的控制能力体如今监控响应速度与定位技术上。