如何預防黑客、病毒攻擊網站？

　　網站被黑掉的經驗類似於得到了一個少的可憐的收入，至少，這是最近我從自己的一個網頁被人塗改破壞後學習到的感受。

　　果真，我們的調查發現被毀損的服務器上運行著一個沒有打補丁的PHP論壇程序，黑客使用PHP exploit留下了一條短的、友好的信息標明他曾經占領過這個領地。雖然這是一個相對較小的事件，但它強調了有一個有准備的、明智的突發事件響應計劃是多麼的重要。

　　有個諺語說的很對:不到危急時刻，沒有人會看到一項策略的價值。

　　信息響應(IR)計劃給出了我們的立即響應、調查分析和恢復的過程，它們就像在我們手中互相交叉的三環，為了保證其成功，我們必須做到以下幾個方面:

　　服務器隔離

　　這是一台相當重要的服務器，因此我們必須保證其安裝性，並將其從網絡中隔離。我們在服務器和外部網絡之間通過防火牆規則來攔截攻擊行為，然後我們就可以關閉響應的交換機端口，將服務器隔離。一旦隔離完成，我們就可以暫停記錄發現的時間，這將發現黑客以及黑客所進行的行為，這也是為法庭分析和可能的訴訟行為提供證據的重要步驟。

　　黑客跟蹤

　　黑客沒有刪除日志，因此我們花很短的時間就發現黑客多次使用一個固定的腳本嘗試攻擊PHP。我們真正想知道的是黑客是否得到了root用戶的權限，或者他使用此服務器作為墊腳石對其它系統進行攻擊。對重要文件的CRC校驗告訴我們，它們並沒有被更改和損壞，在內存中也沒有可疑的進程運行。我們檢查了論壇程序供應商的站點，的確，在攻擊發生前的一周，供應商已經發表了有關此漏洞的聲明，並且已經推出了補丁程序。這就沒有問題了――一個星期的時間對黑客來說已經足夠了。

　　我們震驚於在我們的IDS日志中沒有發現PHP攻擊的證據，我們的IDS供應商告訴我們，在下一次計劃中的簽名更新之前，簽名將有大約兩星期的使用時間。也就使說，在漏洞和攻擊被發現，和IDS簽名變得可用之前，有三個星期的缺口。

　　響應和恢復

　　我們的事件響應策略是，不管事件的嚴重性如何(不留下冒險的機會)，任何被破壞的機器都要重新再建。系統根據一般可接受的指南進行安全方面的設置和鞏固，我們還通過漏洞掃描器掃描機器的弱點以檢查我們的工作。當然，我們還通過攻擊軟件檢測相似的機器。

　　總結教訓

　　我們從此次事件中總結出了經驗教訓:確信你的系統管理員跟上了最新的補丁(每個月一次是不夠的)，並且經常查看日志(一周一次也遠遠不夠)。安全管理員必須知道各台機器都安裝了什麼軟件，以便他們能夠提防相關的漏洞和弱點。不要依靠任何唯一的IDS供應商，因為簽名對第一防御范圍來說可能到達的太晚。考慮在面向公眾的服務器上實施Tripwire(一個入侵檢測系統)，監視重要文件屬性的改變。

　　最後，保持你的突發事件響應策略的實時性，以適應當前系統的要求。讓大家知道在緊急狀態下應該做什麼，這樣才能保證補救措施的順利實行。

　　預防黑客十絕招

　　一、使用防病毒軟件並且經常將其升級更新，從而使有破壞性的程序遠離你的計算機。

　　二、不允許網上的商家為了便於你以後購物儲存你的信用卡資料。

　　三、使用由數字和字母混排而成、難以被破譯的口令密碼，並且經常更換。

　　四、對不同的網站和程序，要使用不同口令，以防止被黑客破譯。

　　五、使用最新版本的萬維網浏覽器軟件、電子郵件軟件以及其他程序。

　　六、只向有安全保證的網站發送信用卡號碼，留意尋找浏覽器底部顯示的掛鎖圖示或鑰匙形圖標。

　　七、確認你要打交道的網站地址，留意你輸入的地址，比如不要把ana-zon.com寫成amozon.com。

　　八、使用有對cookie程序控制權的安全程序，cookie程序會把信息傳送回網站。

　　九、如果你使用數字用戶專線或是電纜調制解調器連接英特網，那就要安裝防火牆軟件，監視數據流動。

　　十、不要打開電子郵件的附件，除非你知道信息的來源。