有關金山CDN服務器遭遇黑客攻擊問題的說明
作者:佚名
2月6日下午,由于第三方網絡服務商CDN的服務器遭遇黑客攻擊,間接導致了部分用戶在訪問毒霸官方網站的時候可能會遇到掛馬問題。發現問題后,金山緊急 聯系了CDN方面,并協助CDN方面在問題出現后的第一時間內成功解決了問題。廣大用戶可放心登陸金山毒霸官方網站,特此聲明。
2月6日下午,由于第三方網絡服務商CDN的服務器遭遇黑客攻擊,間接導致了部分用戶在訪問毒霸官方網站的時候可能會遇到掛馬問題。發現問題后,金山緊急 聯系了CDN方面,并協助CDN方面在問題出現后的第一時間內成功解決了問題。廣大用戶可放心登陸金山毒霸官方網站,特此聲明。
北京金山安全軟件有限公司
2010年2月6日
關于CDN劫持的一些說明:
CDN劫持會間接造成掛馬,從客戶端看都是訪問這個站發現掛馬現象,實際上源服務器一切正常。金山毒霸的用戶不會在此事件中受到傷害,網盾可以攔截任何形式的網頁掛馬。
有關上網、會話劫持與網頁掛馬的關系,請參考2007年我寫的一個小文章《客戶端上網流程、網站掛馬、會話劫持》
通常用戶訪問某個Web站點的過程如下圖所示:
用戶的訪問過程包含以下環節:
1.客戶端通過ISP訪問互聯網,ISP指網通、電信的ADSL或長寬、歌華、鐵通等互聯網接入服務商
2.客戶訪問某站點的鏡像服務器獲取資料
3.部分站點沒有配置鏡像服務器,用戶直接訪問源服務器。
攻擊點:
1.在客戶端(網民)主機或網絡中發送攻擊代碼,比如ARP攻擊,插入惡意代碼,誘使用戶訪問攻擊者指定的站點,這時會 影響該客戶端或其所在的網絡
2.ISP服務商的網絡,比如部分無良服務商強制插入廣告。或者ISP服務商被攻擊,用戶訪問了攻擊者設定的內容。
解決辦法:
用戶到服務器之間的鏈路掛馬,只能由用戶端或ISP們解決。這種類型的掛馬,表現為某用戶或某地用戶訪問特定網站時發現 掛馬,而其它地區的客戶未發現掛馬。
源服務器和鏡像服務器之間的鏈路:
1.服務器內容提供者管理源服務器的內容
2.源服務器和鏡像服務器按某種機制同步內容
3.在用戶訪問鏡像服務器上沒有的內容時,鏡像服務器從源服務器同步攻擊點:
(1).源服務器被入侵,攻擊者直接修改了源內容。這樣,通過鏡像同步后,所有客戶端訪問該站點都會發現掛馬。通常這種現象 被稱“服務器被黑了”
(2).鏡像服務器或服務器所在機房的網絡中某臺主機被入侵,攻擊者通過會話劫持把被修改的內容提供給用戶。這個情況較常見,比如機房中總能找到容易被入侵的 主機,攻擊者在這臺主機上安裝攻擊程序,然后利用ARP攻擊手段影響整個機房局域網。
(3).在源和鏡像同步的鏈路中間下手,劫持篡改了從源到鏡像的數據,鏡像得到的是被篡改后的源內容。
解決方案:
1.加固源服務器,恢復被篡改的內容
2.查找機房的攻擊源,隔離攻擊源,機房各主機之間綁定MAC和IP地址,防止ARP攻擊得手
3.源服務器和鏡像服務器之間采用加密通信,比如VPN,這樣會消耗較多帶寬,降低性能。
最安全的作法:
也最極端,從客戶端到源服務器之間的通信全部加密,這樣安全性會得到保證,但影響了用戶體驗。典型例子是網絡銀行客戶 端,全程加密所有數據。
對普通網民來講,本地安裝的反病毒軟件是保護電腦安全的最后一道防線,請及時升級,呼吁使用正版。
責任編輯:許鳳麗
來源:
鐵軍的殺毒圈子
