黑客一直在試圖找到延長(zhǎng)植入代碼在站點(diǎn)上的存活期的方法。存活期是指從攻擊者植入惡意代碼到網(wǎng)站管理員發(fā)現(xiàn)并將其清除的這段時(shí)間。通常，管理員越早發(fā)現(xiàn)惡意代碼，則存活期越短，反之則越長(zhǎng)。

顯然，最簡(jiǎn)單的攻擊方法就是先攻占掛載頁(yè)面的Web服務(wù)器，然后在Web服務(wù)器上面安裝流氓軟件。這些流氓軟件十分狡猾，可以很好的將自己隱藏在服務(wù)器系統(tǒng)中，避開(kāi)站點(diǎn)管理員、安全研究人員或其他黑客的巡查。

網(wǎng)絡(luò)上有許多博客、文章及論壇都出現(xiàn)了售賣(mài)各類(lèi)用于“滲透測(cè)試”黑客工具的相關(guān)信息。Websense的安全專(zhuān)家監(jiān)視了其中一些論壇，他們發(fā)現(xiàn)最近有一批Rootkits工具正在論壇上販賣(mài)，這類(lèi)Rootkits工具可在Web服務(wù)器架設(shè)的站點(diǎn)上植入和隱藏惡意代碼。雖然不法組織只將這些工具出售給了極少數(shù)人，但研究人員、網(wǎng)站管理員和Web服務(wù)器管理員已經(jīng)發(fā)現(xiàn)了它們，并開(kāi)始在安全博客及論壇上展開(kāi)相關(guān)討論。其中，有幾個(gè)論壇的帖子都提到了這樣的現(xiàn)象：同一臺(tái)服務(wù)器上所掛載的不同站點(diǎn)上時(shí)不時(shí)的會(huì)出現(xiàn)一些被植入的惡意iframes代碼段，代碼段中的URL字段會(huì)不斷變化，而網(wǎng)站和Web服務(wù)器的管理員都查不到問(wèn)題所在。（見(jiàn)圖1）

據(jù)悉，不法分子只需花一千美元就可以購(gòu)買(mǎi)名為“Apache 2”的流氓模塊。不法分子在廣告中展示了該模塊的部分特性：可將代碼植入php、htm或是js頁(yè)面；只允許特定的IP地址訪問(wèn)；可周期性的更新URL鏈接（可配合漏洞攻擊包使用）等。

先將生成的iframes代碼段放一邊，真正值得我們注意的是上面提到的這種流氓模塊。因?yàn)檫@種流氓模塊可以自動(dòng)轉(zhuǎn)為隱藏模式而難以被管理員發(fā)現(xiàn)，所以它有很長(zhǎng)的存活期，它能搜集和記錄系統(tǒng)管理員賬號(hào)登錄服務(wù)器所用的IP地址，一旦發(fā)現(xiàn)管理員登錄，它就馬上潛伏起來(lái)，不對(duì)管理員顯示惡意iframes代碼段。另外，像tcpdump這樣的檢測(cè)進(jìn)程也會(huì)激活流氓模塊的隱藏模式。而一旦管理員下線或檢測(cè)進(jìn)程終止，惡意代碼又會(huì)開(kāi)始活躍起來(lái)，繼續(xù)為害。

流氓Apache模塊軟件的作者甚至在網(wǎng)上發(fā)布了該流氓軟件配合各種漏洞攻擊包的成功率。（見(jiàn)圖2）

Websense將如何保護(hù)客戶(hù)免受這種流氓軟件生成的植入式惡意代碼的威脅呢？

當(dāng)客戶(hù)瀏覽被植入惡意代碼的Web站點(diǎn)時(shí)，Websense的ACE（高級(jí)分類(lèi)引擎）專(zhuān)利技術(shù)可實(shí)時(shí)分析Web站點(diǎn)，防御任何加載過(guò)程中出現(xiàn)的惡意iframes代碼段。這類(lèi)流氓Apache模塊根據(jù)不同的參數(shù)來(lái)決定是否顯示植入的惡意內(nèi)容，如根據(jù)IP地址判斷訪問(wèn)者是否是第一次來(lái)訪，或是通過(guò)特定的反向鏈接而來(lái)等。這對(duì)沒(méi)有實(shí)時(shí)監(jiān)控功能的安全解決方案來(lái)說(shuō)是巨大的挑戰(zhàn)，而Websense提供的解決方案具有實(shí)時(shí)解析和動(dòng)態(tài)分析的優(yōu)勢(shì)，可在發(fā)現(xiàn)植入的惡意代碼后馬上對(duì)頁(yè)面進(jìn)行攔截，以保障客戶(hù)擁有安全的網(wǎng)絡(luò)環(huán)境。（見(jiàn)圖3）