攻擊步驟

攻擊對象

黑客行為

應對措施

補充說明

第一步: 掃描后門

服務器Web站點

掃描服務器上運行的網站是否存在漏洞,以便下一步上傳惡意文件。

防火墻禁止掃描行為。

防火墻基本上只能判斷常規的惡意掃描，攻擊者常常通過80 web端口進行掃描,服務器應當理解為正常的訪問行為，因此防火墻在針對該階段的防護能力有限。

第二步: 上傳后門

服務器硬盤

通過掃描到的漏洞上傳木馬、webshell等惡意程序，以便下一步向網站頁面或數據庫中嵌入惡意代碼。

殺毒軟件識別并刪除部分的惡意程序。

目前的殺毒軟件原理都是基于特征代碼識別技術，如果黑客上傳的惡意軟件是自己手工編寫，或者是最新出現的惡意軟件工具，殺毒軟件往往無法正常識別，因此在此階段，殺毒軟件能消滅上傳到服務硬盤上的80%惡意軟件，但無法全部識別。

第三步: 嵌入代碼

網站頁面文件及數據庫

通過上傳的木馬或webshell向網站頁面文件和數據庫中嵌入惡意代碼。

鎖定頁面文件修改權限，增加數據庫防篡改的代碼模塊。

鎖定頁面文件修改權限較為有效，但是對于數據庫防篡改代碼方面，因為嵌入方式的多樣性，只能防止60%左右的數據庫嵌入行為，但是將網站數據庫設定為不具備存儲過程和運行時環境的access類文件數據能有效的防止數據庫篡改。

第四步: 網站受攻擊

網站頁面文件及數據庫

網站頁面和數據庫已經包含了惡意代碼。

頁面代碼分離軟件批量清除網站頁面中的惡意代碼；數據庫清洗腳本清理數據庫中的惡意代碼。

原理上清理過程一般能在2分鐘內完成，而且不影響到網站的原始數據，但是考慮到實施的具體情況，一般響應數據清理的請求時間一般需要更長。

被嵌入的惡意代碼原理上只是一段調用遠程頁面的鏈接,由于被調用的遠程頁面上存在木馬或其他惡意程序，所以網站訪問者在訪問時會被提示發現木馬或病毒，但是被嵌入的這段代碼在程序語法或者特征上是完全合理而且無害的，所以服務器上的殺毒軟件完全不能做成任何響應，只能通過手動方式清楚掛接的代碼。