搜索自己公司的相关网页，却发现有的链接点进去居然是色情聊天室？每次访问QQ空间时却莫名其妙到了《中国好声音》的中奖页面？……如此诡异的网络现象最近频频在网友中出现，据360互联网安全中心监测显示，这些让人摸不着头脑的网络现象均是黑客所为。
       国内三成以上网站有“后门”
       “明明该搜索结果显示的是公司网站的链接啊，这么回事？”白领小张对于点击搜索结果却去了不知名的网站而异常困惑。在公司技术部检测才发现，原来公司网站被植入了“后门”，黑客利用“后门”加入了跳转链接，对网站进行了搜索引擎流量劫持。实际上，类似情况并非个案。360互联网安全中心发布的最新报告显示，国内30%以上的网站存在黑客“后门”，医疗网站和政府网站是被植入“后门”比例最高的网站类型，甚至有网站“后门”早在2008年就已存活，这意味着该网站已被黑客连续控制了5年时间。
       据介绍，“后门”是黑客利用漏洞在网站中植入的恶意程序。利用“后门”，黑客能够远程控制网站，如篡改网页内容、挂马、窃取网站注册用户密码数据等。根据360网站安全检测平台抽样扫描，发现30.5%的网站存在“后门”，这些网站平均每家被植入“后门”数量多达8个，很可能是由不同黑客入侵控制的。以国内300余万家网站总量测算，有“后门”的网站高达百万家。
       据统计，医疗行业网站、政府网站和企业官网是“后门”检出率最高的网站类型，比例分别达到46.9%、40.0%和38.5%；教育学习类网站的“后门”比例最低，但也有21.7%的该类型网站已经被黑客控制。安全专家石晓虹博士介绍说，网站一旦存在“后门”，缺乏专业安全技术的站长很难发现，可能随时被黑客篡改页面、流量劫持、挂马，甚至“拖库”，直接危害网站访问者的电脑系统和账号安全，也严重干扰网站的正常运营。
       “后门”泛滥的根源在于众多网站存在高危漏洞，即便是一个“菜鸟”黑客，也能使用批量入侵工具，针对一些流行建站系统的漏洞实施攻击，短时间内就能攻破大批网站。令人担忧的是，这些黑客工具在网上能够轻松下载到。针对网站用户，不少网站安全检测平台提供了“后门查杀”功能，可以方便站长快速检测并清除“后门”，摆脱黑客的恶意控制。
       网站安全防护方法
       一、网站的通用保护方法
       针对黑客威胁，网络安全管理员采取各种手段增强服务器的安全，确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样，可以用如下的方法来对WWW服务器进行保护：
       安全配置
       关闭不必要的服务，最好是只提供WWW服务，安装操作系统的最新补丁，将WWW服务升级到最新版本并安装所有补丁，对根据WWW服务提供者的安全建议进行配置等，这些措施将极大提供WWW服务器本身的安全。
       防火墙
        安装必要的防火墙，阻止各种扫描工具的试探和信息收集，甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接，给WWW服务器增加一个防护层，同时需要对防火墙内的网络环境进行调整，消除内部网络的安全隐患。
       漏洞扫描
       使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描，来发现潜在的安全问题，并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
       入侵检测系统
       这些安全措施都将极大提供WWW服务器的安全，减少被攻击的可能性。
       二、网站的专用保护方法
       尽管采用的各种安全措施能防止很多黑客的攻击，然而由于各种操作系统和服务器软件漏洞的不断发现，攻击方法层出不穷，技术高明的黑客还是能突破层层保护，获得系统的控制权限，从而达到破坏主页的目的。这种情况下，一些网络安全公司推出了专门针对网站的保护软件，只保护网站最重要的内容–网页。一旦检测到被保护的文件发生了{非正常的}改变，就进行恢复。一般情况下，系统首先需要对正常的页面文件进行备份，然后启动检测机制，检查文件是否被修改，如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较：
       监测方式
       本地和远程：检测可以是在本地运行一个监测端，也可以在网络上的另一台主机。如果是本地的话，监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话，WWW服务器需要开放一些服务并给监测端相应的权限，较常见的方式是直接利用服务器的开放的WWW服务，使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录，如FTP等。采用本地方式检测的优点是效率高，而远程方式则具有平台无关性，但会增加网络流量等负担。
       定时和触发：绝大部分保护软件是使用的定时检测的方式，不论在本地还是远程检测都是根据系统设定的时间定时检测，还可将被保护的网页分为不同等级，等级高的检测时间间隔可以设得较短，以获得较好的实时性，而将保护等级较低的网页文件检测时间间隔设得较长，以减轻系统的负担。触发方式则是利用操作系统提供的一些功能，在文件被创建、修改或删除时得到通知，这种方法的优点是效率高，但无法实现远程检测。
        比较方法
       在判断文件是否被修改时，往往采用被保护目录和备份库中的文件进行比较，比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下，一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较，这种方法虽然简单高效，但也有严重的缺陷：{恶意入侵者}可以通过精心构造，把替换文件的属性设置得和原文件完全相同，{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名，最常见的是MD5签名算法，由于数字签名的不可伪造性，数字签名能确保文件的相同。
       恢复方式
       恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话，恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行，那么需要文件共享或FTP的帐号，并且该帐号拥有对被保护目录或文件的写权限。
       备份库的安全
        当黑客发现其更换的主页很快被恢复时，往往会激发起进一步破坏的欲望，此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现，让黑客无法找到备份目录。另一种方法是对备份库进行数字签名，如果黑客修改了备份库的内容，保护软件可以通过签名发现，就可停止WWW服务或使用一个默认的页面。
       通过以上分析比较我们发现各种技术都有其优缺点，需要结合实际的网络环境来选择最适合的技术方案。
       三、网站保护的缺陷
       尽管网站保护软件能进一步提高系统的安全，仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计，而现在动态页面占据的范围越来越大，尽管本地监测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。
       另外，有些攻击并不是针对页面文件进行的，前不久泛滥成灾的”Red Code”就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面，网站保护软件本身会增加WWW服务器的负载，在WWW服务器负载本身已经很重的情况下，一定好仔细规划好使用方案。
       四、结论
       本文讨论了网站常用的保护方法，详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点，并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的，但使用这些工具能帮助提高安全性，减少安全风险。