2009腾讯安全技术峰会演讲实录：

林世飞：各位业界的朋友，各位同事大家下午好！首先先自我介绍一下，我叫林世飞，我们团队主要负责公司的运维，我个人主要从事安全系统的设计开发，我今天和大家分享的主题是互联网企业如何应对恶意网站的思考，希望跟大家一起探讨目前恶意网站的特点以及危害，以及互联网企业如何应对恶意网站，特别是挂马与诈骗的危险。

以下的内容主要基于个人工作经验的总结，不对的地方请大家指教。今天的主要内容有以下几个部分：探讨一下恶意网站的形式以及危害。会尝试分析一下恶意网站危害用户的过程，尝试找到解决方案。其中重点探讨互联网公司如何应对恶意网站的威胁。最后会简单介绍一下腾讯在应对恶意网站，保护用户安全上网这块所做的努力。

目前恶意网站的形势怎么样呢？首先我们看一组数据，第一组是0.02%，这是我们搜索爬虫周期性检查10亿，在一个页面得到的统计数据，也就是说大概有1万各网页里可能有两个含有恶意的代码。都有哪些网站会被挂马呢？

这是我们2009年4月5日对于访问量比较大的网站挂马的统计情况，可以看到这里面有IT.com、凤凰网的论坛、优酷，被挂马的网站怎么挂上取得呢？

我们看一下读者主页的例子，第一行被抄了木马代码，当用户访问这个网站的时候就有可能在他的机器上中木马。这里有一个比较有趣的统计，我们2008年12月份统计有哪些政府网站域名被挂马，一个月统计有207个政府的站点先后被挂木马，用户访问有可能中毒。可以看到这个网页挂马的风险还是比较大的。

继续来看第二个数字是799万，这是国家计算机网络应急中心统计今年Coficker蠕虫的数量，这个相当于武汉总人口的数量。比如说远程溢出的途径还好，通过点网站挂马，访问网站中毒的形式也成为传播重要的途径。我们继续来看。

35%，这是美国点击欺诈收集的信息，大概点击付费有30%都是欺诈点击，欺诈点击就是通过给用户机上中用户的软件，在用户不知情的情况下点击这些广告获得一些利益。

像Google这些大的搜索，也提供竞价搜索，他们说点击欺诈不超过10%，但是还是为点击欺诈的诉讼支付了9000万美元的和解费。点击欺诈只是恶意网站背后灰色产业的一角，我们知道通过这些软件可以进行盗号，点击欺诈，ddos攻击和网络诈骗。第一个环节首先就是盗号，盗号主要是给这个网站种植木马，然后让用户中毒达到第一步。

目前恶意网站发展的趋势有哪些新的形势呢？这里简单分享一下，一是近年来随着利益的发展，早上卢山讲了如果百分之几的利益还很可观，盗号趋于集团化，首先有专门的木马工作室，有进行专门的开发，把开发的软件进行网马，把这些木马种植在有漏洞的网站上，通过这些木马的传播让用户中毒，就可以进入大量中毒用户机器，再把这些用户信息提供给盗号团伙，然后通过更新不同的盗号密码，盗取用户的各种帐户信息，然后洗号再去市场上销售。一个很完善、分工非常明确的灰色产业链。

第二个特点就是通过第三方挂马的形式越来越多，他通过分析你的网站，你嵌入哪些第三方网站，他通过黑掉第三方网页然后达到黑你这个网站的效果。这个例子就是我们曾经遇到的，我们在嵌入第三方的新闻，然后黑客没办法黑我们的网站，就黑第三方的网站，实际上打开腾讯混合页面的时候就会加载木马程序。

三是软件漏洞大量频出，Oday频出，只要你在使用这些软件，如果更新不够及时，你机器在访问网页的时候就会中木马，迅雷和暴风影音都有这些漏洞。另外一个例子就是我们在2008年12月份做出的统计，当时黑客已经大规模在使用，但是微软已经没出补丁，就是说你的机器没补丁可打，你访问软件的时候就会中木马。我们11号系统刚出来，这个漏洞发了一天多，被黑客公开利用，我们两个小时内发现了55个利用这个漏洞来的，因为他是没有补丁，防起来比较困难。

针对性的诈骗问题越来越多，每个互联网企业都不同程度的遇到，这个图片就是我们的系统检测出来的一个针对新浪的诈骗，空间搞活动，说你中奖的活动。这是我们检测到淘宝五周年到处发垃圾消息，告诉你中奖，一个针对性的诈骗行为。这是我个人淘宝的信息，说我全部中奖了，我的运气从来没这么好过。

这样的恶意网站对整个互联网有哪些危害呢？我们这里简单一起探讨一下。一是木马下载大量的传播已经危害到很多游戏帐户体系。二是大量用户中毒成为肉鸡，然后进行监视，然后可以进行攻击，他有足够多的肉鸡，集中访问网站进行攻击。三是通过肉鸡点击欺诈，已经危害到广告搜索，Google曾经为搜索付了9000万美元。雅虎点击欺诈也为官司掏了不少的钱。

四是诈骗可能会带来大量的投诉，给互联网企业带来比较高的运营成本，如果盗号团伙针对你做了一次诈骗，客服会收到大量的投诉，很多人说在你们公司中奖了，你们要我来你们这里领奖，对于公司的运营成本也有很大的影响，如果我们处理不好的话，公司的信誉还会受损失，在中国互联网蓬勃发展的过程中，门槛是很低的，有些没办法识别哪些是诈骗的信息。五是针对电子商务以及银行用户的损失是很大的，高附加值的产品一旦被盗，里面的一些财产是比较大的，直接的后果就是对这个东西再也不信任了，就造成了用户的流失。

我们怎么样应对这些恶意的网站呢？为了回答这个问题，我们先详细分析一下挂马网站危害用户的过程，互联网上充斥着各种网站，有正常的有挂马，用户浏览正常的网站没什么，如果不小心用户浏览一些挂马，就会有一些木马上来，成为肉鸡。最简单的是，尽量避免，避免用户访问这些受挂马的网站，这样后续的环节都不会产生，尽量保护用户不会成为黑客控制的肉鸡。

对于互联网企业来讲，我们怎么样面对这种恶意的网站呢？我们首先来看一下互联网公司都有哪些的安全资产，首先可能都会有自己的办公内网，可能还有不同的产品，互联网企业的网站、搜索或是IM游戏，在IDC方面可能有很多CDN的服务器，或是第三方的代码或是DNS，或是合作的游戏以及广告，第三方的业务。

在产品方面可能遇到哪些风险呢？首先是互联网公司本身的网站可能会被挂马，还有游戏，这种IM的帐户可能会被盗，提供的方案是有一些统一识别过滤的系统，然后识别在我们产品当中是合法的。第二个方案是防篡改的系统，从我们系统发布出去的，如果网站存在漏洞的话，防盗系统会把它拒绝掉，防止这些网站执行这些恶意的代码。

IDC方面遇到的风险比如说CDN的服务器受到一些欺骗，被欺骗到一些黑客上，还有一些DNS劫持，这里能够提供的方案就是，首先我们要对CDN的一些业务，发布到CDN的页面进行监控，对我们的域名解析进行监控。还有一些第三方的代码会传到我们的服务器上，我们有一些第三方扫描的工具。IDC在第三方的挂马，我们可能有很多的广告和合作的频道，第三方挂马间接导致我们挂马，我们的建议是有一个第三方的管理系统，把他拿出来定期扫描挂马。

还有在内网方面的风险，刚才提到第三方，还有在内网，刚才早上的时候迅雷的朋友也分享到，很多是通过挂马渗透，到你电脑里访问一个网站，如果他机器上装第三方网站，通过这个口进入到OA的内网，这里给到一些解决方案，一是必须在出口处我们要建立一些网关，如果员工从外面下载一个文件，我们要保存下来去查杀，如果遇到有人入侵以后，黑客入侵之前的木马他安装以后会删掉，基本上很难删掉，做应急也会用到，方便你跟踪黑客是怎么进来的。

另外要提供一些审计的系统，都访问哪些站点，访问权限的控制并不是所有的网站都可以访问，有一些挂马的黑名单控制，OA访问的时候是安全的。

刚才主要是探讨恶意网站里面挂马这方面的威胁，接下来我们简单分享一下互联网企业如何面对钓鱼的威胁，在这方面我个人有两个建议：一是提倡技术上创新；二是体系上不断的完善。技术创新方面首先一个概念就是说我们把安全作为一种需求加入到产品需求当中去，比如我们来看这样的假冒例子，告诉你中奖了。

如果我们把安全需求加进来，比如提示的时候把用户的信息带上，这时候木马难度要高很多，木马程序也会升级，可能会读你帐号信息，也能知道你叫什么名字，然后说某某人你好，你中奖了，对方就升级了。

这里介绍一个技术，我们可以让用户自己去设置一些个性化的提示，比如说我们可以在消息地方，如果你没有设置的话，点击这个地方可以设置，在推信息的时候服务器才能保存，这样木马读不到，我们把客户设置的个性化信息显示在这儿，会把这个信息带进来，说明这个受信任的系统消息。

当然这里面还有一个理念，我们拿淘宝举例，我们看到淘宝站内信和私人信分开，站内信和私人信分在一个列表，很多时候可以假冒，把标题、昵称，这样可以提高诈骗的门槛，这里可以看到有一些公告，必须要提升一些假的。腾讯在这方面也做了类似的工作，早上的同事也提到，我们在Q-zone信息回复的时候告诉用户在这里不会发布中奖信息，告诉用户不要发现。聊天窗口那里不要相信中奖，不要透露个人信息和拨打陌生人电话。我们把安全作为一个安全需求加我们产品设计初衷去。

另外一种是我们可以识别网站挂马，看是否是钓鱼网站。希望借助联动打击，形成整体的打击体系。就拿腾讯来讲，恶意网站的诈骗，在QQ E-mail发在这里领奖，我们检测一次技术，在QQ消息我们会拦掉，希望联动起来可以打击。

在体系完善方面，希望有些用户的教育，公司做了一些努力，会提醒客户不要轻易相信中奖。我们建议能够给用户提供快速的投诉渠道，发现问题可以迅速的发现，把风险降低最小。285新的规定说，提供这些工具也是一种非法的行为。

最后跟大家分享第三方安全方面的解决方案，很多公司有第三方的广告，第三方挂马直接的后果基础我们被间接挂马，我简单介绍一下。我们在第三方服务器上，以及参加上加上安全认证的服务器，当用户访问产品页面的时候，这里面并没有包含第三方的页面，然后把这个页面拉到用户浏览区里面，在用户浏览区用户请求我们认证说，这时用户要打开第三方是否安全，认证服务器告诉他，

告诉你是安全的，这个时候第三方的代码才会显示出来。

这样做的好处是，一旦轮到第三方挂马和欺诈信息的时候，我们把他抓到黑名单，用户就不再访问，它是很迅速的。我们会不会把第三方的代码传到服务器上，管理第三方代码，给第三方提供代码上传，我们希望第三方提供URL，登记到我们的库里就可以了。

作为国内最大的互联网公司，腾讯以“最受欢迎的互联网公司”为远景，致力于提高互联网安全，建立统一的恶意网站评价体系，并应用于各产品，我们产品当中所有流传的不法声音，第三方的地址全部集中进行管理检测，把这些结果利用到我们的拍拍、论坛、博客里面去，保证这些恶意网站一旦被发现，所有的产品全部封杀掉。

这是我们搜索里面做，这是我们在用户浏览中，Q-zone告诉你中奖了，很好看让大家点的时候，大家可以查询评价体系，这个网址的安全情况，如果有恶意的话，我们会提示用户含有恶意，把这个情况拦截掉。这在QQ客户端我们会进行保护，保护用户的浏览，我们这样做的目的就是保护用户不要访问这些恶意网站，从源头上打击这些灰色产业，保护用户不被盗。

关于互联网企业如何应对恶意网址的话题很多，这里有一些个人的思考，互联网企业首先具备检测恶意网站的能力，首先能发现问题，不要等到用户来投诉，发现以后能够采取措施打击这些恶意网站。更上一层楼的话，除了被动的发现、打击以外，我们最好能够做到化被动为主动，主动发现恶意网站，当他再一个地方出现的时候就把他封杀。

最后一种情况就是互联网企业能把打击恶意网站的经验，比如黑名单可以共享给其他企业，我们保护用户的上网浏览的安全。因为用户机器