拒絕“躺著(zhù)中槍” 360網(wǎng)站安全新增“旁注”檢測

一直以來(lái)，很多網(wǎng)站站長(cháng)都有這樣的疑問(wèn)：為什么用了專(zhuān)業(yè)的Web安全服務(wù)和“防注”程序，使用Web安全掃描器也沒(méi)有發(fā)現漏洞，但網(wǎng)站依然會(huì )被黑？

其實(shí)，這種情況大多來(lái)自“旁注”攻擊。也就是說(shuō)，黑客攻擊同一服務(wù)器上其他存在漏洞的網(wǎng)站，并獲取服務(wù)器最高管理員權限，進(jìn)而對目標網(wǎng)站形成威脅。對此，360網(wǎng)站安全檢測近日進(jìn)行了專(zhuān)項升級，加入“旁注”檢測功能，直觀(guān)的告訴站長(cháng)自身網(wǎng)站所在服務(wù)器的整體安全情況，為站長(cháng)選擇安全的主機服務(wù)商提供重要依據。

360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址：http://webscan.#

據了解，“旁注”一般以虛擬主機作為攻擊對象。其原理是利用同一主機上其他站點(diǎn)的安全漏洞，獲取服務(wù)器上的一個(gè)Webshell（Web后門(mén)程序），從而獲取一定的服務(wù)器操作權限，進(jìn)而利用虛擬目錄權限的配置不嚴格或者“提權”攻擊獲取管理員權限后，再跳轉到目標網(wǎng)站的Web虛擬目錄中，實(shí)現竊取信息，篡改內容的操作。

“‘旁注’攻擊看似曲折，卻非常有效?！?60網(wǎng)站安全工程師表示?！昂芏嗾鹃L(cháng)出于省錢(qián)的考慮，從而選擇成本較低的虛擬主機服務(wù)，而提供商會(huì )在一臺或多臺服務(wù)器上為站長(cháng)分配一定的硬盤(pán)與數據庫等存儲資源，不過(guò)服務(wù)器與服務(wù)都是共享的，這就造成了‘一漏百漏’的安全隱患。黑客在攻擊目標網(wǎng)站無(wú)果時(shí)，通常會(huì )采用這種曲線(xiàn)方式多次嘗試?！?/P>

圖1：黑客可通過(guò)一些查詢(xún)網(wǎng)站輕易獲得目標站點(diǎn)信息

那么，黑客如何得到同一主機上其他的站點(diǎn)信息呢？原來(lái)，目前網(wǎng)絡(luò )上存在很多通過(guò)主機IP反向查詢(xún)綁定域名情況的站點(diǎn)，比如國外十分有名的WebHosting，以及國內的一些類(lèi)似站點(diǎn)，黑客獲取站點(diǎn)信息可謂輕而易舉。

可見(jiàn)，站長(cháng)可以為自己的網(wǎng)站打造安全的防御機制，但是卻無(wú)法控制虛擬主機提供商，及同服務(wù)器的其他網(wǎng)站的安全。如今隨著(zhù)360網(wǎng)站安全檢測“旁注”風(fēng)險，這個(gè)難題得以迎刃而解。

圖2：360網(wǎng)站安全檢測新增“旁注”檢測功能

通過(guò)360網(wǎng)站安全檢測服務(wù)，站長(cháng)可以查詢(xún)網(wǎng)站所在的虛擬主機上是否有其他域名存在安全風(fēng)險（圖3）。一旦發(fā)現自身網(wǎng)站可能遭到“旁注”攻擊，站長(cháng)可以督促虛擬主機提供商進(jìn)行防范，或者選擇安全性更高的虛擬主機提供商。

圖3：同一虛擬主機安全性一目了然

360安全專(zhuān)家表示，Web安全是一個(gè)整體，它不僅僅是由于單純的Web漏洞所導致，還有很多類(lèi)似“旁注”攻擊這樣的安全隱患所影響，360網(wǎng)站安全檢測平臺會(huì )逐步的完善Web安全檢測策略，為廣大網(wǎng)站提供360度的安全保障。

360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址：http://webscan.#