Question

本节中我们将说明 Web 网站的恶意软件（病毒等非法软件）防范对策。首先介绍一下预防服务器端的恶意软件有什么意义，然后再详细说明具体的对策。

7.4.1　什么是 Web 网站的恶意软件对策

Web 网站的恶意软件对策主要防范以下情况。

（A）Web 服务器自己感染恶意软件

（B）通过 Web 网站传播恶意软件

无论是（A）还是（B），恶意软件都是保存在服务器上的，不同的是（A）的情况下，恶意软件在服务器上运行，而（B）的话恶意软件并不在服务器上运行，而是指用户可以通过网页下载的状态。

Web 服务器如果感染了恶意软件的话，带来的威胁和 OS 命令注入攻击一样。比如可能存在如下的威胁。

• 信息泄露
• 网站被篡改
• 非法使用其他功能
• 作为跳板对其他服务器发起攻击

如果 Web 服务器出现（B）的情况的话，则会带来如下影响。

• 浏览网页的用户 PC 可能会感染恶意软件 10

10 前提是用户 PC 存在漏洞或者恶意软件被执行。

下面，我们再来看看恶意软件都是如何感染的。

7.4.2　恶意软件的感染途径

根据独立行政法人信息处理推进机构的调查 11 ，病毒的感染途径主要如图 7-13 所示。从图中可以看出，病毒的感染途径中电子邮件占了 45.2%，上网占了 48.3%，外置存储（U 盘、移动硬盘等）和外部设备（带入本公司的客户 PC 等）占了 48%（调查为多项选择）。

11 2009 年日本国内信息安全事件受害情况调查报告地址 http://www.ipa.go.jp/security/fy21/reports/isec-survey/ 。

图 7-13　个人电脑病毒的入侵途径

从上面的调查结果可以看出，通过在电脑上浏览网页或者查看邮件，以及使用外置存储设备等途径传播、感染病毒的情况较多。但是在 Web 服务器上一般不会做这样的操作，所以 Web 服务器感染病毒的途径中，利用系统漏洞的比例很高。

一般情况下谈到恶意软件的解决方法，肯定很多人会先想到用防病毒软件，但是在 Web 服务器上安装防病毒软件的比率还不是特别高。其原因就是服务器上感染恶意软件的途径和普通的客户端 PC 有所不同。

7.4.3　Web 网站恶意软件防范对策概要

从感染途径这一出发点来说，Web 服务器上的防范恶意软件措施有以下几点非常重要。

• 按时进行服务器的漏洞应对处理
• 不在服务器上安装、运行来历不明的软件
• 在服务器上不做无关操作（浏览网页或者查看邮件等）
• 不在服务器上使用 USB 等外部存储设备
• 将 Web 服务器和公司内部网络分离开
• 访问服务器的客户端 PC 安装防病毒软件并保持病毒库为最新状态
• 在客户端 PC 通过 Windows Update 等方式安装最新的安全补丁

首先建立能切实执行上述对策的体制，如果对上面的措施仍感到不安（比如不能适时实施漏洞对策等）的话，再考虑在服务器上安装防病毒软件。

7.4.4　如何确保服务器不被恶意软件感染

Web 服务器感染恶意软件的途径一般来说有如下几种。

• 利用 Web 应用的文件上传漏洞（参考 4.12 节）
• 利用 Web 网站的漏洞进行网站内容篡改（参考 7.1 节）
• 利用 FTP 等管理软件非法登录（参考 7.1 节）
• 管理服务器的 PC 感染了恶意软件，服务器被 PC 感染（参考 7.4.3 节）
• 网站内容被恶意软件感染（参考 7.4.3 节）

这些感染途径中，除了利用文件上传功能漏洞以外，其他的都可以用本章到目前为止所讲述的方法进行防范。关于利用文件上传漏洞的预防，可以按照后面要讲到的方法进行防范。

探讨是否需要制定针对恶意软件的防范措施

用户上传文件（图片、免费软件、PDF 文档等）的恶意软件对策的责任，应该由以下三者共同承担。

• Web 网站运营者
• 上传文件的用户
• 下载、查看文件的用户

网站需要根据自己网站的特点来决定是否采取防病毒措施。具体来说可以根据以下项目进行判断。

• 上传文件的公开范围
• 上传文件是否有明确的责任人
• 谁对上传文件负主要责任
• 除了防病毒软件以外是否还有其他检查方法

制定病毒防范政策并向用户公开

在决定了是否要对恶意软件采取措施之后，应该以网站用户规约的形式把防范措施（也包括不采取任何防范措施）向网站用户公开并实施。需要公开的内容可以包括以下几条。

• 防范病毒的方法（不做病毒防范的时候也直接标明）
• 不可能查出全部的病毒，感染病毒的可能性也不是零（采取了防病毒措施的时候）
• 用户需要自己负责（推荐用户使用防病毒软件并保持病毒库为最新状态）
• 作为网站运营方不对用户感染病毒负责任

上面这些条目都是一般性的内容，各网站应该根据自己的特点，制定出符合自己实际情况的病毒防范政策。

使用防病毒软件

要想对用户上传的文件进行病毒扫描，可以采取的方法有下面几种。

• 在服务器上安装防病毒软件，将文件上传目录设置为扫描对象
• 使用防病毒网关
• 利用防病毒软件提供的 API 在自己的代码里进行病毒扫描

详细的信息可以向防病毒软件公司或者代理商咨询。

如果由网站进行病毒检查，可以借鉴一下微软的免费网盘 Windows Live SkyDrive12 ，请参考下面的网站截图 13 。

12 https://skydrive.live.com

13 页面现实的文件 eicar.com 并不是真正的病毒文件，而是用来测试防病毒软件的测试文件。可以在 http://www.eicar.org/86-0-Intended-use.html 下载。

图 7-14　Web 侧进行病毒扫描的例子（Windows Live SkyDrive）

专栏：Web 网站的防病毒对策和 Gumblar 的关系

本章讲到的一些防病毒软件对策，对抵御 Gumblar 也有很好的效果。

“Gumblar”是一种组合了 Web 网页篡改和通过浏览网页感染（仅浏览网页就会被感染的病毒）两种方法的一种病毒传播方式。

Gumblar 为了扩大病毒传播范围，会盗取 FTP 用户名和密码，然后再用这些账号信息去篡改网站内容，进而再去感染浏览这些网站的用户。

如果采用了本章所介绍的安全防范措施，使用公钥认证的 SCP 或 SFTP 代替传统的 FTP，再加上访问 IP 限制，就可以预防非法登录攻击了。而且如果客户端 PC 安装了防病毒软件的话，客户端也就可以避免被病毒感染了。

本章介绍的对策虽然都是最基本的内容，但是如果熟练使用这些方法的话，自然也能抵御 Gumblar。

关于 Gumblar 的详细信息，可以参考 http://www.ipa.go.jp/security/txt/2010/02outline.html [1]。

　

参考文献

[1] 独立行政法人信息处理推进机构（IPA）.（2010 年 2 月 3 日）. コンピュータウィルス·不正アクセスの届出状況 [1 月分 ] について（个人电脑中毒情况报告 [1 月份 ]）. 参考日期：2010 年 12 月 2 日，参考网址：情報処理推進機構： http://www.ipa.go.jp/security/txt/2010/02outline.html COLUMN END