一年一度的高招录取工作马上开始了，不少高校的网站上都要挂上各个二级学院的宣传或者录取信息。可是由于系统漏洞或者二级网站编写的问题，很多高招网站出现了挂马。网站被挂马，搜索引擎和安全公司会很快将其列入黑名单。如何防治这些网站的被注马呢？众所周知，网站出现挂马的主要原因为系统、防火墙出现漏洞或者网站应用程序出现漏洞所致。网络管理员是负责审核网站和维护网站正常运行的人员，笔者下面从网络管理员的角度，谈谈如何加强审计与监测，防范网站挂马。

　　加强各部门提交网页审计

　　一直以来，对于网络中心的网管人员来说，要想不被挂马，首先肯定要发现网站应用程序是否存在安全漏洞。对网站应用程序进行审计通常有人工检测、专业系统检测和安全审计工具检测方法。

　　*人工代码审查流于形式

　　人工检测主要是网管人员，通过详细阅读代码，然后发现网站应用程序是否存在安全漏洞。例如在某个页面发现如下代码：<iframe src=”http://127.0.0.1/test.htm” width=”0” height=”0” frameborder=”0”></iframe>，这个时候，src参数后面的就可能是网页木马的地址。当我们打开这个网站的首页后，会弹出网页木马的页面，这个页面我们是无法看到的，因为我们在代码中设置了弹出页面的窗口长宽各为0。此时木马也已经悄悄下载到本机并运行了。人工检测要求网管人员必须精通常见的动态网站开发语言,如PHP、jsp等等，另外还要知道漏洞的表现形式。实际上，能够达到这种水平的网管人员非常少。另外，对一个个网页一句句进行代码审查，由于网页代码庞大，无法人工逐个分析或者无法彻底铲除。所以从现实角度来看，很多学校虽然规定了网管人员必须进行人工审查。但是由于以上原因，使得网页的审计往往只是内容上进行草草审计而流于形式。

　　*专业检测系统效果好、价格贵

　　目前，很多公司推出了专业的网站监测产品，如智恒联盟的WebPecker V8专业版网站安全统一监控平台，赛尔的全国高校招生安全检测平台等等。这些检测平台，可以提供挂马检测 、SQL注入检测、XSS跨站漏洞检测以及敏感信息告警等功能。这些工具，对木马检测通常采用沙箱技术和客户端蜜罐技术，对提交的网站挂马情况扫描分析。SQL 注入漏洞会导致网站数据库信息被窃取、篡改、删除，进一步导致网站被挂马，甚至被攻击者获取到网站服务器管理权限。这些工具通过渗透测试等检测方法，检测网站是否存在SQL 注入漏洞。作为辅助功能，专业工具提供了敏感信息监控功能，对网站的敏感字段通过爬虫技术进行分析，及时发现网站中出现的敏感信息。

　　这些检测系统优点是检测效果较好，但是价格比较贵，对于不少学校来说是一个负担。另外，由于木马技术的发展，特别是最近推出的木马，增加了反虚拟机的代码，因此，完全依赖使用沙箱这种技术来检测挂马，效果有待实践检验。因此，笔者建议今后要采用上述的综合方法来防止挂马。

　　*免费的安全审计工具

　　由于网络攻击的增多和人们对审计工具缺乏信任，因此开源的Web安全审计工具以其开源、免费深受大家的喜欢。这里推荐Nikto工具。Nikto是一个开源的Web服务器扫描程序，目前最新版本为2.1.1（http://cirt.net/nikto2），它可以对Web服务器的多种项目(包括6100个潜在的危险文件，以及超过950个服务器版本)进行全面的测试，成为网管人员常用的工具。
　　提起Web安全审计工具，当然离不开IBM Rational AppScan和 HP WebInspect。 Rational AppScan 使用比较简单，基本上属于黑盒测试工具，测试人员不需要了解 Web 应用本身的结构。AppScan可以成功检查跨站脚本、注入漏洞等，并给出解决该漏洞的方法，帮助开发人员迅速修复程序安全隐患。对于采用Web 2.0技术的网站来说，可以使用HP 公司的WebInspect，它可以很好的对网站执行Web 应用程序安全测试和评估。

　　网站运行挂马监测

　　俗话说，没有最坚固的盾。无论如何防范，网站总有可能被挂马，而积极进行运行监测，可以及时发现挂马，减少损失。

图 高校网站挂马率

　　*安全公司免费实时监测

　　由于安全公司竞争激烈，国内主流的安全公司为用户提供了免费的网站监测。例如可以通过360安全中心（http://jc.360.cn/）对网站进行实时挂马监测，360安全中心面向所有个人网站、商业网站、政府网站，免费提供实时挂马监测服务。如果发现网站被挂马会通过 E-mail 通知用户。在检测结果页，如果网站被挂马，在挂马列表里会直接显示具体的挂马url和最后检测挂马时间。要想使用360对网站进行监测，首先需要360安全中心的验证。验证很简单，就是输入你的网站域名，通过点击“下载验证文件”按钮，在出现的提示窗口里选择“保存”按钮将验证文件保存到本地计算机上，然后上传到网站的根目录即可完成验证。

　　相对于360安全中心来说，瑞星云安全网站联盟的挂马检测功能更为专业和强大。应该来说，“云”最强大的地方，就是以单个客户端发展为联盟。传统客户端被感染，清除完毕之后就结束了，没有进一步的信息跟踪和分享。而“云”的所有节点，是与服务器共享信息的，客户端出现感染，服务器就会记录，在帮助你处理的同时，也把信息分共享给联盟，供每一个客户端使用。瑞星云安全网站联盟可以很好的监测网站的安全情况，当发现网站被挂马的情况后，系统会进行自动通知。使用瑞星进行挂马监测比较简单，用户只需要在自己网站底部加入瑞星提供的检测安全代码，检测代码以图标的形式显现。当网站出现挂马的时候，图标的颜色会发生改变，对访问者和我们都是一个提醒。

　　*进行客户端检查

　　采用安全公司免费实时监测，不少学校会担心这些公司获得自己的信息。那么检测的另外一种方法是采用预装木马防护软件的客户端进行检测。由于不同安全公司的底层技术有比较大的差异，很难说谁的技术更好，为了考虑网站的安全起见，建议木马防护软件一定要采用不同公司的产品，至少两个以上公司的产品，同时网络中心要制定关键区域和定时的检查制度。

　　由于这种方法检测挂马简单易行，因此检查过程可以请有关的二级部门进行配合，如请学校的招生部门配合检查招生区域，请宣传部门检查宣传区域，一旦出现挂马就启动安全预案。

　　这种方法是一种非常好的检测方法，不但检测方法简单易行，而且检测可靠性较高。缺点是检测实时性较差，需要投入相当多的人力和精力。

　　做好网站的审计，及时对网站的运行作出相应的反应，能够在一定程度上防止网站被挂马。但是由于黑客技术的不断进步，网站防挂马是一个不断变化的难题。因此，在网站的防挂马上，学校可以及时拿起法律武器，去对付非法入侵者。2009年2月28日，全国人大常委会通过了《中华人民共和国刑法修正案（七）》，在刑法第二百八十五条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”

　　（作者单位：河南工业职业技术学院1, 重庆市南岸区人民法院2）