安全研究者解释了如何检测木马,但是许多人指责网站负责人没有技术专家来解决这一问题。
安全厂商ScanSafe的高级安全研究者Mary Landesman阐述了如何解码和检测PHP后门脚本——这种编码和FTP窃取木马Gumblar有关联。
Gumblar和Martuz木马在今年年初出现,已经成功地窃取了成千上万的FTP证书,取得了访问网站的权限并将受控制的机器变为恶意软件的攻击平台。由于许多跟踪木马的安全厂商不能够提供任何具体的数目,我们无法获知Gumblar的具体流行程度,但有一点值得确信:Gumblar的持续扩散速度已达到值得关注的程度。ScanSafe、Symantec、McAfee和其他厂商警示称已有成千上万的网站被Gumblar所侵害,并构成了一个相当强大的僵尸网络。
除了检查日志文件进行异常检测之外,Landesman说网站管理员还能通过以下的方式做到先发制人:
搜索意外的PHP文件或在上个月意外修改过的PHP文件(将你的文件按照日期进行分类);
在PHP可疑文件的存放位置处查找相应的子文件夹。
检查网站上的所有文件夹,因为Gumblar有可能安装在多个位置。
问题是许多这些网站都很小,有可能无人管理或者是由缺乏专业技术知识的人员来管理。几位安全研究人员和我交流过,他们都已尝试联系过那些受影响的网站的负责人。有些网站的所有人甚至没有意识到他们的网站已被利用来构成攻击平台。其余的则没有技术专家来采取任何解决措施。
这种问题正不断涌现,可能需要注册主管者在向任何拥有信用卡的人员销售域名的过程中解决。谁负责这个域名?很明显,在许多网站所有者只是为网站门面“挂名”的情况下,这一问题是得不到一个明确的答案的。
【编辑推荐】
