网页篡改

    近些年随着我国互联网事业的蓬勃发展，与之相随也产生了大量的网络安全事件，特别是针对互联网的网络攻击。其中，篡改网页文件已经成为了普遍的攻击手段之一，即攻击者修改受害网站页面来显示他们自己的信息。一般来说网页篡改攻击事件想要做到预先检查和实时防范有一定难度，而且由于网络环境复杂而难以追查责任，攻击工具简单且向智能化发展。众所周知，网站代表了一家单位对外的形象与自己的立场，目前虽然有防火墙、入侵检测系统等安全设备作为安全防范手段，但Web应用攻击很难被传统的安全设备所检测到，可以轻松突破防火墙和入侵检测系统的保护。单纯依靠防火墙和入侵检测系统等传统的网络安全设备无法完全有效防范此类攻击，因此，网页防篡改技术成为信息安全领域研究的焦点之一。

    网页篡改一般有明显的网页篡改和隐藏式两种。明显的网页篡改即攻击者可炫耀自己的技术技巧，或表明自己的观点，如之前的某中学官网被黑事件；隐藏式篡改一般是将被攻击网站的网页植入链接色情、诈骗等非法信息的链接中，以通过灰黑色产业牟取非法经济利益。黑客为了篡改网页，一般需提前知晓网站的漏洞，提前在网页中植入后门，并最终获取网站的控制权。

    经济利益一直是黑客攻击的主要动机之一，由于搜索引擎占据了巨大的互联网入口流量，我们平时使用搜索引擎查找信息时也是优先点击排名靠前的搜索结果，所以有些黑色产业经营者（网络赌博等）与黑客合作，通过购买攻陷的合法站点来批量篡改被控网站的页面，实现非法站点推广，从而获得巨大的经济利益。

    此外，随着虚拟货币的不断发展，比特币、门罗币的兴起，让很多不法分子看到了商机。黑客通过向被篡改站点网页嵌入浏览器挖矿脚本或在网站中加入一段js代码，用户通过浏览器访问这些站点时这些脚本会在后台执行并大量占用资源，电脑会变慢、卡顿，CPU 利用率甚至飙升至100%，进而让你的电脑沦为挖矿的肉鸡，用户很难察觉从而控制网站浏览者计算机资源为攻击者挖矿。也成为一种常见的获取经济利益的方式。

    随着技术的加强和互联网企业安全意识的提高，现在不少浏览器已经提供挖矿防护了

    网站代表着政府、高校、企事业单位等在互联网用户中的形象，对有影响力的单位来说，页面被恶意篡改会造成严重的影响，尤其是经济、名誉损失、甚至需要承担一定的政治风险。所以如何有效快速的防范、发现网页被篡改，将影响缩至最小才是最重要的事宜。

网页篡改检测

    我们可以形象的把Web服务器看成是一个美术馆大楼，目录是大楼的楼层和房间，每个网页文件都是房间挂着的画作。这些画作每天由工作人员不断更新，每天也有成千上万的借阅者通过借阅口来取出和阅读这些画作。网页防篡改的目标就是保证人们看到的是真实的画作，而不是赝品，甚至反动宣传品。

   1)外挂轮询技术  

    用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

    即：大楼配备了一个检查员进行巡检，他以一个普通借阅者的身份不停地在借阅处调取每个房间的每副画作，与手里的真实画作相比较里进行检查，发现有可疑物品即进行报警。

    这种方式的显著弱点是：当大楼规模很大，房间和画作很多时，他会忙不过来。对于特定的一幅画作，两次检查的时间间隔会很长，不法分子完全有机会更换画作，对借阅者造成严重影响。

   2)核心内嵌技术

    将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。

    即：大楼在借阅口处配备一个检查员，他对每一个调出的画作进行检查，发现有可疑画作即阻止它的流出。

    这种方式的显著优点是：每副画作在流出时都进行检查，因此可疑画作完全没有被借阅者看到的可能；相应弱点是，由于存在检查手续，画作在流出时会耽误时间。

  3)事件触发技术

    利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。

    即：大楼在正门进口处配备一个检查员，他对每一个进入的画作进行检查，发现有可疑物品即进行报警。

    这种方式的显著优点是：防范成本很低，但缺点是：美术馆大楼的结构非常复杂，不法分子通常不会选择正门进来，他会从天花板、下水道甚至利用大楼结构的薄弱处自己挖个洞进来，并且还不断会有新的门路被发现，可见防守进口的策略是不能做到万无一失的。另外，非法画作一旦混进了大楼，就再也没有机会进行安全检查了。

    可以看出，不同的网页防篡改技术都有各自的优点和不足，我们要根据自己的业务需求来选择合适的技术，扬长避短。

网页被篡改的应对措施及防范

    应对措施：

    1、首先要查看被篡改文件的最后修改时间，确定是否为自己修改。

    2、打开被篡改的文件（如主页），检查里面有无新增 Javascript 脚本，或被篡改的内容。打开文件查找显示在被篡改网页的内容可以快速找到。

    3、如果被篡改文件没有被修改，说明被篡改页显示的内容被注入到数据库中，网站程序有注入漏洞；应该先把此漏洞补上，再把被注入到数据库的内容全部清除。

    防范措施：

    网站服务器被入侵时，如果是中了病毒，要先用杀毒软件清理。同时也要加强服务器安全防护，配置好防火墙，关闭不需要的端口，使用安全复杂的登录口令等。要确保自己的Web应用、中间件、操作系统等做到经常打补丁，避免被黑客利用已知漏洞攻击。

    文件安全方面要做好各个硬盘访问权限的控制，进行文件备份。数据库也要限制远程登录，并删除存在安全隐患的文件。同时也要定期对网站进行安全检测，防范XSS，SQL注入等常见的漏洞。

    参考资料：

    三种网页防篡改技术的区别是什么？-推吧推吧

    https://www.tui8tui8.com/marke/details/368.html

    网站网页被篡改、服务器被入侵，怎么有效应对-亮术网

    http://www.liangshunet.com/ca/201401/423972728.htm

    什么是有效的WEB网页防篡改系统？ - 知乎

    https://www.zhihu.com/question/39213101?sort=created