![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgvxNp1vib0m0PdpU-piMBOzla743KmZ9JjOWyKRF8tusGmWl4AnY5BN68cWpGr7H5yZyMO0Y0U1GV08FW_OJHDbrduoZW1JCyS65FrkrO3M7skLNufnsRl6u2YofUNC7Qbyxzl2U7BPW-B/s1600/0.png)
然而自今年年初,我們的團隊監控到了有種自動化的大規模 SQL Injection 加掛馬攻擊,在每週末準時報到 (阿碼新聞稿,PC World(IDG),ITHome),讓不少人半夜接到關切電話,而 HackAlert 與 SmartWAF 也收了不少樣本下來...
但很多客戶的網站都很龐大,URL也常變動,單一 URL 監控要定期更改實在不方便,所以我們開始設計能夠定期自動監控全網並自動進行掃描的企業級監控功能,並在最近終於釋出正式的版本,我在這邊一步一步帶大家使用:
1. 首先,登入後的空白頁:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBAnu7GCHC3bH3-U87etYX2PIB3X7bfrAlva3Pt4g2585Dp1fUiROMDRy9166eW9hcDYPdHReu8N1N4zjnf24AcgouTnkhpMdee6YnjBWxe4hilrwD0httNGDSKdsps4XSHODIXLKkI2Xy/s1600/1.png)
2. 點選「新增專案」,會出現設定精靈
我們指定要監控這個眾多阿宅常去的著名網站 (hxxp://waigua.tw)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTGGSDjXXvErG_X1o8C0_6OiXVDxD-bwn7vtDfFRUo-QMo1vTKKcg9GMsAeCpXDA-UPz24rWwOWpgjke_y5ZpfV9hLfKWilMALvtpi5QF8baW9ykvvTuhrmzmtf4ci5QfMTkBGtSFW429l/s1600/2.png)
3. 新增完畢,點「Scan Now」就會開始全站檢查:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQdjN0SPVi5q4f1cDAJ2LJVn6Gk1aIPZhIEDOxVV5_-rUW4KM1jW0n1WPslH72GLxLxSLn2LujsD_vXcKh40Mv_6VYQIiIStXyHj0Nw3VpBfOxcEilqcVAuYqxMgRXCzH_X-4xuwwn54tT/s1600/3.png)
下圖是爬完的結果:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5wiNLxFPtPxiAHyM-Wda3_P6qKsCpiLBsFjMopst0EHtmGsDl6UF5XByRAgLC5v3RFgi2_sGoM_GdW75B8UiTzLesj2MQK_iQll_t7lZkoCh69Mt11qx6BK5tWKopJMMhPQX2uPqH4fFy/s1600/4.png)
全站檢查會開始 crawl 整個網站,目前的版本總共找到400頁,用Google查詢的話,會找到158筆左右:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhoyjiZgg_7O_IpDBxVFuUcB5X_sWrny9I97AZxz4KyO0VcX8dyJsIqE5Gss-y2EL8ifzXquQygUIBp6kdKzpjijhife4kTOFi-OlDHnfCQPA1TXbzaaf68p3TylDvEY8rzzarZ1vKWcNem/s1600/google-search-waigua.png)
4. 接著就可以到專案統計表去看全網掛馬偵測結果
(測試時間為2008年8月14號下午5點左右):
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj7U3u3jKQpXCPd5N6eznRi5cmwKe7sbap-ReVSkldst8jFUdDhP63BbZyo_-Et3wBu24sacPVLf9XXlzjNOS0unxeDHO5iQHcyR8hN4jGCOrC8hm_oYUiRjAY7DVaBq-Lx0We6KcSDSbq6/s1600/5.png)
看來很多頁都很精彩,總共有98頁被掛,玩 game 練功順便開動物園。
5. 但是 HackAlert 不只告訴你哪個網頁已經被掛 (徵狀),還可告訴你木馬怎麼被下載的 (證據):
首先, 把滑鼠移過去就會看到點選提示:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9iOC_slipP6vNdQ9E0gSzBvTX638xd3OK4Aq9mOA9t9FCANs5Wsw_fUPxCxDl8DtzEawqHjfw0-bsIzCEtVjl6M44Z8bbwRbK4LCBsj06RUdrrft2apEgy5CqrOD_aVBo6_FPhmixH_bt/s1600/5-2.png)
反白後按下去,就會看到看到木馬下載被 HackAlert 記錄的過程:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiN1j-dBpDsAkjnvqKYNsrttFC4LXtsVrOprkotXHcW3Q2WKf4fzbqTrw2P9rkK1bwBW2l-wrGU8W1gZ1KcR3Piysv_Asqc3phPv43X4UrnJrm0q-BRSDP48hNk9-sHNv4l9SqPY8oTWFt5/s1600/6.png)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFZTtZSmarLP6bk9dVBCY54EcD627YkS-U4EHNHIibGtADbok6RBLeY94iul4kB1lCMnCEMJsZ3KP3AAgYa0eywNn8p1K9cUhkppH88gcXJz-NsaBXELcvzbfi7_aYY42UBsVyRoEEwPuD/s1600/7.png)
6. 企業客戶可以啟動 syslog 通報以及查閱記錄功能:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgntsU7zm4yqZ0kCZYZdpVxbImaFz_kV0AAis880Z-dNXcPtolvD5B8XAbTjLRDpXUZL5Rbd7fKqlYhV8adxO7kqYQu10xvvgSZJgvdLNiMjcvya1Va0Fdrx49iw_oLFxY2LH-9Ko6oLHOv/s1600/8.png)
有了全網監控功能之後,不論是掛在首頁或是藏在深處的馬,都能被更有效的發現,有興趣的話,,可以跟我們聯絡,透過 http://hackalert.armorize.com 首頁上的 Contact Us 就可以找到我們。
作者 Walter 為阿碼科技 CTO
1 篇回應 :
不小心連上很宅的網站,
真的發現許多病毒。
此服務真是造福MIS呢...
張貼留言