中国移动云mas

中国移动云mas

裴岗中学-情境教育

2023年2月20日发(作者：40目是多少毫米)

网络通讯及安全本栏目责任编辑：代影

ComputerKnowledgeandTechnology电脑知识与技术第16卷第2期(2020年1月)

一种适合于中小型网站的网页防篡改系统

段尊敬

(山东轻工职业学院信息中心，山东淄博255300)

摘要：企事业单位网站一般搭建在独立的Linux或Windows服务器上，为了保护网站文件不被篡改，需要购买和安装昂贵

的商业软件甚至WAF，使得网站安全运维成本很高。该文提出的防篡改系统首先基于事件触发技术和合法性检查，实现

了网站文件的被动防护，其次运用蜜罐原理和入侵检索实现了主动防护，具有成本低廉、实时性好和防护能力强的特点，

适合于具有一定开发能力的中小型网站管理员使用。

关键词：木马文件；事件触发；网页防篡改；IP屏蔽；蜜罐页面

中图分类号：TP393.08文献标识码：A

文章编号：1009-3044(2020)02-0023-02

开放科学(资源服务)标识码(OSID)：

1网页防篡改的意义和应对措施

目前，企事业单位网站一般搭建在Windows或Linux服务

器上，对web服务器来说，包含的风险不仅是服务器宕机或者

网站瘫痪，更严重的是被黑客入侵后上传了木马文件，由于木

马文件是可执行文件或具有可执行脚本，能够篡改网站文件使

其链接到广告、游戏甚至国外政治敏感站点，所以危害极大。

对网站管理者来说，防止木马文件上传和网页被篡改非常

重要！

网页防篡改的基本要求是：及时发现和处理上传的木马和

被篡改的正常文件。常见的防护措施包括：(1)加固服务器安全设置，包括禁止远程操作注册表、禁用

CMD命令、开启防火墙等。

(2)安装安全狗、云盾、防篡改等商业软件或者购买硬件防

护设备(WAF)。

两类措施各有不足，第一类措施强化了服务器的安全，但

是对HTTP的80端口攻击无能为力，例如SQL注入、XSS攻击

等。第二类措施需要购买昂贵的商业产品，不适于资金紧张的

中小型网站。

2本文的防篡改系统设计思路

中小网站管理者缺少足够的资金，无法将安全工作外包或

购买安全设备，却往往具有一定的编程能力或者丰富的网站安

全经验，本文根据这一情况设计了适合于中小型网站的防篡改

系统，根据此设计开发的软件可以24小时运行在Windows或Linux服务器上，以后台服务方式保护网站，设计思路包含两类

防护措施。(1)文件监听和合法性检查

Windows和Linux系统都提供了文件系统的事件触发机

制，当操作系统监听到文件被创建、修改和重命名时，会触发相

应事件并调用对应的方法，在方法中执行文件合法性检查，就

能实时监测网站文件的变化，实现被动防护

[1][2]

。(2)设计蜜罐页面和入侵痕迹检索

为了进一步提高防护能力，增加了主动防护措施，在网站

目录中设计蜜罐页面，“引诱”入侵者访问此页面，从而在日志

文件中留下痕迹，通过分析日志检索并屏蔽非法IP。

3文件监听和合法性检查

3.1业务逻辑

(1)对网站文件进行监听

Windows平台可以使用FileSystemWatcher类对指定的文件

夹进行监听，也可以使用JNotify包进行监听，由于后者兼容Linux平台，所以建议使用后者，两种监听技术都对文件的内容

修改、创建、重命名、删除等事件提供了触发机制，重点监听创

建、修改和重命名事件的发生，以下是事件的触发条件、参数和

处理方法。

表1事件、参数和方法

触发条件

网站上传(创建)

文件

网站文件内容

被修改

网站文件重命

名

触发事

件名称

create

modify

rename

传给方法的参

数

创建文件的绝

对路径

被修改文件的

绝对路径

重命名前、后的

文件名

事件调用的方法

检查参数文件是否为

木马

检查参数文件是否被

添加暗链

检查改名后文件是否

为木马(2)文件合法性检查

以Create事件为例，检查参数文件是否为木马依赖于网站

的配置、运行特征和管理员的安全经验，不同的网站需要设置

不同的检查规则，以某中学网站为例，总结并形成如表2所示

的几条规则。

规则等级的数值越大表示检验优先级越高，最先检查的是

文件上传(创建)时间，因为网站编辑一般在每天6:30~23:00内

工作，所以此时间段之外上传的文件违规；其次检查上传文件

是否位于UploadFile目录下，位于此目录之外违规；接下来检查

上传文件类型是否为动态脚本或可执行文件，若是则违规；最

后以文本形式打开文件，检查内容是否含有暗链或非法关键

词，若存在则违规。所有规则检查结果为真表示上传文件合

收稿日期：2019-12-02

E-mail：jslt@

http：//

Tel：+86-551-6569

ISSN1009-3044

ComputerKnowledgeandTechnology电脑知识与技术Vol.16,No.2,January.2020

23

本栏目责任编辑：代影网络通讯及安全

ComputerKnowledgeandTechnology电脑知识与技术第16卷第2期(2020年1月)

法，可以保留在网站上，违反任意一条就视为非法文件进行

处理。(3)非法文件处理

由于非法文件可能是入侵者上传的，这说明此时的网站很

可能已经被黑客攻破，服务器肯定存在漏洞，需要执行以下

操作：1)加密非法文件并备份到某个隐藏位置后删除此文件。

2)根据非法文件名称和上传时间，在网站日志中查找来源

IP，发现后屏蔽。

3)发送手机短信给管理员。

4)将非法文件信息写入自定义日志，以备日后分析服务器

漏洞。

3.2开发实现

上述设计思路已经使用Java语言实现，主要包含以下几个

技术要点。(1)读取XML配置文件

由于不同网站的配置、运行情况很不相同，所以监听网站

前先要读取XML文件初始化参数，包括监听的网站目录、禁止

上传的文件类型、日志位置、上传文件所在目录、发送短信参

数等。(2)监听工具

服务程序使用Java的JNotify组件进行监控，程序运行后调

用监控类，监控类继承于JNotifyListener接口，需要开发者重写fileRenamed、fileModified、fileCreated等方法，发生了某个事件

就执行对应方法。(3)使用Drools引擎实现业务逻辑规则化

文件合法性检查归结为一组业务规则的执行，建议使用Drools引擎来实现业务逻辑的规则化[3][4]

，开发者可以针对各类

触发事件，分别编写出每组业务规则并形成DRL文件，Drools

引擎解析、执行文件包含的所有规则，这大大简化了传统的高

级语言编程，以表2的时间限制规则为例，只要将它的Salience

属性定义为四个规则中的最大值，就可以最先执行，参数6:30

和23:00可以在规则中直接修改且不需要重新编译，此规则调

用外部java类静态方法检测时间的合法性，这样就将业务逻辑

和类库代码分离开了。(4)IP屏蔽技术

若发现网站被上传了非法文件，可以根据文件上传时间或

者事件触发时间在网站日志中查找入侵IP，重点查找POST操

作，发现后使用Java语句调用IPTABLES命令实现IP屏蔽。在Windows系统中可以调用IPSEC安全策略中的netsh命令实现

IP屏蔽。

(5)手机短信通知

使用订购的中国移动云MAS服务，可以使用MAS服务提

供的接口编写Java短信类，将非法文件的文件名、处理方式和

违反的规则名称等参数写入预定义模板发送给网站管理员，实

现24小时短信通知。

4设计蜜罐页面和入侵痕迹检索

4.1设计蜜罐页面

入侵者为了找到网站漏洞，总是先用工具软

件扫描网站，尤其是最常见的登录和管理页面，

例如、等，这为网站防御提供了

一个蜜罐“诱骗”思路

[5][6]

：将正常使用的后台登录

和管理页面重命名隐藏起来，然后在网站根目录下添加login或index等蜜罐页面，这些页面不提供任何服务功能，正常用户应

该访问不到，只是是为了引诱入侵者访问。

服务程序定时读取日志文件，每次读取从上次日志结尾开

始，利用正则表达式检索访问了蜜罐页面的IP，这些IP一定是

尝试入侵者，由于入侵者找到漏洞并成功入侵总是需要时间

的，在不严重增加服务器负担的情况下，采用较小时间间隔定

时检索日志，可以及时发现大多数入侵企图。

4.2入侵痕迹的扩展检索

除了发现蜜罐页面的来访IP之外，还可以同时检索SQL注

入和XSS入侵痕迹，它们的表现是在GET或POST请求的URL

字符串中含有非法字符和单词，包括：(1)西文的单引号、双引号、中括号和星号等，重点检查单

引号。

[7]

(2)select、or、concat、from、union、where、char、group、adminis⁃

trator、count、alert等。

来访的URL字符串都记录在网站日志文件中，为了尽可能

发现攻击性URL，建议管理员将待检索的非法字符和单词写成

正则表达式去匹配URL，若匹配则说明此URL含有攻击，例如

“.*select.*or”表示在URL查找select和or，匹配成功表明此URL

存在SQL攻击。

由于SQL的攻击URL复杂多变，管理员需要不断更新，而Drools规则的修改不需要重新编译程序源代码，所以建议将待

检索的正则表达式串编入Drools规则，在规则中调用外部类静

态方法验证来访URL是否与之匹配。

5运维和管理

建议以命令行方式在服务器上安装程序和所需的Drools

开发包，以后台服务形式24小时伴随网站运行，为了保证服务

在线运行，将程序设置为开机启动并定时检查进程是否存在，

在WindowServer中使用计划任务和PowerShell实现，在Linux

系统中使用Crond和Shell实现。

为了有效管理服务器的防篡改系统运行，开发Android手

机端App，APP能够基于SSH协议向服务器发送指令，实现以下

功能。(1)请求并接收服务器端认定的非法文件信息，以供管理

员浏览、分析。(2)发送文件恢复指令，将误删除的文件恢复到原位置。

(3)发送IP操作指令，解除误屏蔽的IP。

(4)定时发送HTTP请求，检查网站是否可以正常访问。

(5)发送重启网站、重启和关闭服务器的指令。

参考文献：

[1]吕美敬,周涛,等.高校网站的网页防篡改问题研究与分析

[J].网络空间安全,2018,09:35-38.(下转第46页)

规则名称

创建时间限制

上传目录限制

文件类型限制

文件内容限制

规则等级

3000

2500

2000

1000

规则内容

上传时间限定在每天6:30~23:00之间

上传文件限制于uploadfile目录下

禁止上传jsp、php、exe、dll、so等脚本或可执行文件

禁止含有外链或关键词eval、request、execute等

表2文件合法性检查的规则表

24

本栏目责任编辑：代影网络通讯及安全

ComputerKnowledgeandTechnology电脑知识与技术第16卷第2期(2020年1月)

表5基于加密的消息验证码算法比较

基于加密的消

息验证码

DES-CBC-MAC

CMAC

CCM

类型

有密码

的MAC

有密码

的MAC

有密码

的MAC

特性

基于DES的(FIPSPUB113记录于1985年5月30号)

基于加密的MAC，使用任何对称的

密钥块密码算法

使用计数模式的加密块链加密技

术，使用基于128位或更长的密钥的

块加密算法提供了认证和机密性的

功能。

密钥长度(比

特)

64

64/128/192/256

(依赖于使用的

块加密算法)

128/192/256

6结论

通过不断跟踪和调研分析CCSDS颁布的空间信息安全相

关规范，可以为我国空间信息系统安全体系建设和安全技术研

究提供很好的参考对象。虽然鉴于空间信息系统安全性的要

求，其核心安全技术需要独立研发，但CCSDS作为国际化组织，

其在空间数据系统包括数据安全在内的规范化规划发展思路

是值得我们借鉴的。(1)CCSDS已经形成了较完整的数据安全体系架构和技术

规范建议，五视图安全体系架构(企业视图、连接视图、功能视

图、信息视图和通信视图)的提出，在可操作性上是一个巨大的

提高。(2)CCSDS提出了安全核心套件模式，这提高了针对特定

任务安全需求的安全系统兼容能力，对空间信息系统安全策略

和动态安全机制设计是一个很好的支持。(3)CCSDS在安全系统协议应用方面，从物理层、数据链路

层、网络层和应用层四个层次讨论了数据安全保护，并对安全

实施方法给出了建议，但在基于信息属性的空间信息安全方面

还没有深入讨论和明确建议，这方面的研究值得进一步探讨。(4)CCSDS针对气象卫星、载人航天器、通信卫星、科学试

验卫星、导航卫星分析，给出了密钥管理需求和技术标准，其思

路值得参考引用。

(5)CCSDS在近几年对空间任务中加密算法和消息验证/完

整性算法等给出了明确的推荐标准，CCSDS建议采用AES加密

算法、DSA数字签名算法和HMAC消息验证码。CCSDS在安全

技术方面的筛选方法值得我们借鉴。

参考文献：

[1]CCSDS.350.0-G-2TheApplicationofCCSDSProtocolsto

SecureSystems[S].GreenBook,gton,D.C.:

CCSDS,January2006.

[2]CCSDS.351.0-R-1SecurityArchitectureforSpaceDataSys⁃

tems[S].RedBook,gton,D.C.:CCSDS,April

2011.

[3]CCSDS.350.1-G-1SecurityThreatsagainstSpaceMissions

[S].GreenBook,gton,D.C.:CCSDS,October

2006.

[4]CCSDS.355.0-R-2CCSDSSpaceDataLinkSecurityProto⁃

col[S].RedBook,gton,D.C.:CCSDS,Febru⁃

ary2012.

[5]CCSDS.713.5-B-1SpaceCommunicationsProtocolSpecifica⁃

tion(SCPS)-SecurityProtocol(SCPS-SP)[S].BlueBook,Is⁃

rnia:CCSDS,May1999.

[6]CCSDS.350.2-G-1EncryptionAlgorithmTradeSurvey[S].

GreenBook,gton,D.C.:CCSDS,March2008.

[7]CCSDS.350.3-G-1Authentication/IntegrityAlgorithmIssues

Survey[S].GreenBook,gton,D.C.:CCSDS,

March2008.

[8]CCSDS.350.6-G-1SpaceMissionsKeyManagementConcept

[S].GreenBook,gton,D.C.:CCSDS,Novem⁃

ber2011.

[9]CCSDS.350.7-G-1SecurityGuideforMissionPlanners[S].

GreenBook,gton,D.C.:CCSDS,October2011.

【通联编辑：代影】

(上接第24页)[2]冶忠林,王相龙,等.网页防篡改和自动恢复系统[J].计算机系

统应用,2012,21(2):225-228.[3]余军阳,曹世华,朱骏,等.基于权重优先的业务规则引擎应用

[J].计算机应用,2015(Z1):174-177.

[4]曾新励.关于Drools规则引擎在业务逻辑处理中的研究[J].

工业与信息化,2018(35):99-100.

[5]杨轶,刘恒驰，等.基于蜜罐的网络防御技术研究[J].网络安

全技术与应用,2019,07:20-22.[6]杨德全,刘卫民，等.基于蜜罐的主动防御应用研究[J].网络

与信息安全学报,2018,04:57-62.[7]张勇,安敬鑫，等.基于日志分析和netsh命令的非法IP屏蔽

策略[J].网络安全技术与应用,2018,04:16-17.

【通联编辑：代影】

46