犯罪份子入侵網站的原因,無非是為了發動新的攻擊,持有人對網站的存在其間都有承擔其道義和法律責任,如果公司伺服器被入侵,除了公司自身連帶客戶也會受到牽連,而且被入侵的網站通常會被用來展開新的網絡攻擊。
網站被入侵的原因
入侵網站可能是大型網絡攻擊的一部份,或者只是獨立運作,「入侵」可以定義為對目標網站的改變,並非DDoS型的攻擊,如果公司發現成為黑客的目標,他們的目標通常是:
- 作為加密勒索的一部份,對受害公司施加壓力,包括向客戶和合作伙伴公開被入侵的事件。
- 從網站下載有價值資料,例如儲存在資料庫內的客戶聯絡資料。
- 分散IT和資安團隊的注意力,同時時進行更嚴重的數據盜竊或破壞性攻擊。
- 傷害公司聲譽
這意味著黑客很多時候無需受害者的網站,當然他們很樂意把惡意內容偷偷放入有聲譽的網站,一旦成功就能轉為釣魚網頁,連結到詐騙的內容或廣告,基本上就是轉化為網絡犯罪的功具,同一時間,網站的主要部份並不會受到影響,客戶和員工瀏覽網頁時並不會發現到異樣,惡意內容會放到新的子資料夾,利用直接連結把受害人引到惡意網頁之內。
網站如何被入侵
網站被入侵通常經由伺服器應用程式的安全漏洞,網絡伺服器、數據庫或內客管理系統及其附加組件等等,互聯網上大約43%在WordPress上運行,毫不意外黑客對這內容管理系統有特別的關注,WordPress被發現不少安全漏洞,數以千計的附加組件並沒有定期對漏洞進行修復,另一方面,並非所有用戶都會盡早為網站安裝更新。
攻擊者利用安全漏洞向網絡伺服器上載所謂的web shell,其實是新增檔案和腳本令他們可以管理網站內容而繞過標準的管理工具,下一步就是擺放惡意內容到子資料夾,而且對網站的主網頁內容不作出影響。另一種常見的入侵劇本是透過猜管理員密碼,如果管理員使用弱的密碼組合,或與其他網絡資源共用密碼,這樣網絡犯罪份子就能通過標準管理工具放入惡意內容,於網站創建新用戶以及新增子部份或網站,但也會增加被偵測的風險,所以攻擊者傾向安裝後門程式。
被入侵網站的破壞
如果不幸涉及大規模針對性攻擊,受影響公司可能會立即受到財政和聲譽傷害,如果只是機會主義的攻擊,傷害可能比較間接,維持網站的成本可能因為垃圾內容和瀏量而增加,同一時間網站的SEO分數裝會下降,更少訪客從搜尋引擎中導引過來,網站也可能被標示為惡意,這種情況流量將會災難性下跌,而黑客則會選擇放棄該網站,所以低流量對他們並沒有影響。
網站如何被廢棄
互聯網也是網站墳場,根據統計,在超過11億個網站中有82%並沒有更新或維持,作為商業的網站,情況可能是:
- 公司停止運作,網站架設於免費託管的伺服器上繼續運作。
- 小企業唯一能夠存取網站的員工離職,除非老闆彩取行動,否則網站將維持冰封狀態數月或數年。
- 公司重新塑品牌或合併,但為客戶「暫時」保留舊網站,在架設係全新網站後,遺忘了「暫時」的舊網站。
- 為營銷活動而架設的特定的網站、產品線、部落格或其他計劃,當計劃完結後網站不再更新,但也沒有關閉。
網站被入侵的跡象
由於黑客通常不會碰主網頁,所以它難以告訴管理員已經被入侵,但也有一些跡象可尋,例如網站速度越來越慢、流量沒有合理理由上急增或急降、新連結或橫幅突然出現、存取控制台出現問題、在控制台看到新資料夾、檔案或用戶等等,而最明顯的跡象是收到大量對網站的惡意內容投訴,要適當地瞭解情況,IT管理員需要分析網站的紀錄,但這工作可以尋找專家代勞,有如除蟲工作一樣,都需要有經驗的專業人事去進行。
防範網站遭入侵
即使是小企業沒有鉅額的網絡安全預算,都能透過簡單的考量去大大降低被入侵的風險:
- 在網站管理的部份設定長、強力的密碼,並啟動雙重認證,每名管理員都有自己的登入和密碼。
- 永遠不要只容許一個人存取網站(除非公司只有一名員工),在員工離職時別忘了取消存取權限。
- 保持網站所有軟件元件更新,包括操作系統、網絡伺服器、數據庫、內容管理系統和附加組件,盡可能更新推出後盡快安裝,如果公司缺乏時間和專家,使用具備專門管理保安的專業網站託管為上策。
- 為所有公司網站進行記錄,包括所有網站的架設,即使是暫時性或只有一個月的廣告活動網頁。
- 在記錄內的網站的軟件元件需要定期更新,即使已經沒有更新內容。
- 如果網站已經無需要存在,或缺乏資源更新,最好直接把它關閉,把數據歸檔後儲存,然後終止託管帳號,也可以取消域名,另一個關閉網站的方法是移除所有內容,關閉所有軟件附加組件,例如WordPress,設定從新導引到公司的主網站。
資料來源:Kaspersky Blog