瑞星企业安全报告详解拖库攻击

　　ZDNET至顶网安全频道 2月9日 北京报道（文/Grant）：昨日，瑞星发布《2011年度企业安全报告》，报告对2011年的企业安全形势作出全面总结，其中重点剖析了对2011造成极大影响的“拖库攻击”。

　　“‘拖库’本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库。”瑞星安全专家王占涛说到。

　　“拖库”的通常步骤为：第一，黑客对目标网站进行扫描，查找其存在的漏洞，常见漏洞包括SQL注入、文件上传漏洞等。

　　第二，通过该漏洞在网站服务器上建立“后门(webshell)”，通过该后门获取服务器操作系统的权限。

　　第三，利用系统权限直接下载备份数据库，或查找数据库链接，将其导出到本地。

　　黑客“拖库”攻击的常用方法

　　王占涛表示，根据瑞星互联网攻防实验室的统计，目前针对服务器端的黑客攻击，主要分为漏洞利用、弱口令及默认配置利用、远程运维风险、内部运营疏忽等。

　　1、漏洞利用是最容易出问题的大类。由于Web应用的开放性，Web应用程序越来越多，其带来的安全漏洞必然会随之增加，而且这些漏洞通过传统的网络安全设备无法识别，使得企业即使配置了传统的防火墙等设备，也无法阻止黑客针对这些漏洞的攻击。

　　2、弱口令和默认配置带来的危险。由于安全涉及到的软硬件设备非常庞大，包括操作系统、数据库、应用程序、路由器、移动终端等等，几乎所有的部分都可能有默认密码、默认账户权限等，如果安装部署的时候未改动，这些默认密码和设置就会被黑客利用，进而发动攻击。

　　3、远程运维风险。事实上，很多企业、网站都会给员工开通远程维护权限，比如网络编辑可以在家里发布文章、网络管理员可以远程维护服务器，由于在远程维护中涉及到多个环节，根本没办法做到像公司环境下那样的安全。例如，家里使用的PC经常会上不同的网站，可能被木马入侵，而公司里只允许安装商业程序的PC相对而言就会好很多。在这种情况下，远程运维就会存在一定风险。

　　4、内部运营风险。这包括内部员工的权限分配疏忽、不适当地服务器维护制度、数据库备份被滥用等等。事实上，CSDN外泄的数据库，就是因为未曾加密的数据库备份被放在服务器上，使得黑客可以进行直接下载。

　　不同数据泄露带来的多种攻击危害

　　企业分为多种类型，“拖库”成功之后，黑客会对数据库进行深加工处理。王占涛表示，黑客根据其实用程度、透露信息的多少出售给相关需求方，各种数据的利用方式是不同的。

　　· 媒体型互联网站如果到拖库攻击，泄漏的是邮箱账户和密码的组合。这样的数据库，黑客通常会利用其猜测其它网站的密码，或者收集邮箱账户做成数据库，卖给垃圾邮件发送者。

　　· SNS网站会有较多的个人信息，黑客可以利用这些资料进行网络诈骗、网络钓鱼、“QQ借钱诈骗”等。

　　· 电商网站的数据库主要包含了用户的购买行为、住址、手机号、支付账号等信息，主要用于网络诈骗、网络营销等。黑客可以攻击大型网站，将那些具有购买能力、经常购物的用户资料出售给其竞争对手。

　　· 旅行、酒店类网站的数据更加全面，由于我国的酒店业要求身份证登记，所以一旦数据库外泄，会造成几乎所有的个人隐私曝光。

　　· 银行和证券类网站属于安全等级较高的类型，他们一旦出现安全漏洞，在短时间内就会被黑客疯狂利用，造成巨大的金额损失。

　　· 还有一类专门针对企业内部网络数据库的攻击，尽管有些单位采用了“核心业务与互联网物理隔离”的方式预防黑客攻击，但该网在有些情况下对公众有限度开放，尤其是带有WIFI节点的网络，极其容易遭到黑客通过WIFI接入企业内网，窃取内网数据库。

　　企业应对“拖库”攻击

　　王占涛表示，针对上述风险，应对企业传统安全产品、流程及运营进行全方位改造，以适应越来越恶劣的安全形势。

　　1、企业安全涉及多个部分，包括操作系统、数据库、WEB应用等软件，也包括服务器、路由器、网关等硬件，在部署如此庞杂繁复的IT系统时，应把安全作为首要考虑因素。

　　2、安全管理的动态化和长期化。作为整个系统中最薄弱的环节，应用安全是最需要网络管理者关注的部分。网络管理者应该把安全管理作为一种动态的行为，从系统建设开始生命周期，风险评估、安全加固、风险审计应该贯穿于整个过程中。

　　3、利用自动化工具来提升安全检测效率。对网站密码库的安全性进行深度检测，扫描包括SQL注入、弱口令、XSS跨站攻击等弱点，并给出专业的分析报告和修复建议，帮助网站保护用户密码库。

　　4、在关键业务模块和核心领域，应做专业安全风险检测。在关键业务启动前，可以先由专业团队进行渗透性攻击测试，根据测试结果优化安全管理流程，对于容错性、安全风险等做出全面评估和修改。