糟糕!! 被Google與StopBadWare 點到名了

在與朋友閒談中他跟我抱怨他們公司的網站被駭客入侵嚴重的程度對他們來說就是機關單位的LOGO與我們台灣的國旗被改掉,想當然耳他們是絕對被上級單位徹底的檢討一番,也因為他們不是專業的軟體公司請了幾個專家診斷後發現至少網站有植入木馬程式、SQL Injection攻擊。我想這應該也非同小可,尤其該單位儲存了很多投資者相關資料。當然有多重要我就不得而知。不過我也會想要多了解到底是有他們描述的多嚴重。

在搜尋網頁上查詢該單位的關鍵字後境出現這樣的畫面:
Google已警告我該網站可能有不安全的程式且建議不要再點,我想Google能替使用者診斷並建議每個網站的是否安全與否,這麼貼心的服務我並不意外;意外的是,這臉丟大了,透過Google搜尋全世界都會知道台灣這個保護投資者資料中心的單位竟是不安全。這真的該被檢討、好好的檢討。

我很好奇Google怎這麼利害有辦法可以知道別人網站主機是否藏有木馬或是具有破壞性的程式碼?它是怎辦到的?

後來才發現並不是Google有本事去做偵測的動作,而是透過StopBadWare紀錄所有有問題的網站,該網站也不會主動去查詢有問題的網站,而是透過網友通報,基本上他有點類似像投訴單位,假使你因瀏覽過某些網站造成電腦中毒,在你沒有相關的技術背景下,你可以將這個你認為有可能有病毒的網站告訴StopBadWare,他們會幫你偵測。當然如果你是高深的技術人員,你還可以跟他們討論建議更深入的問題,不管怎樣,有問題的網站會有紀錄留下來,Google就是從抓這些紀錄告訴你這網站安全性,該網站有(in-depth)深入報告與(quickly)快速報告,其中快速報告將會簡單告訴你有哪些網佔含有bad ware(電腦中毒後你會往往不知情 事後也很難移除 難以復原的程式)

若要去除Google上的不良紀錄,也得同樣寫信到該網站上跟StopBadWare通報,除了建議你幾個具體的讓你更安全的建議,原則上網站權限要設定好不要有機會讓其他無關檔案寫入你的網站內,開發系統的時候要注意injection的問題,這裡有個英文 StopBadWare討論區 可看看別人的心得。

對於企業委外軟體服務來說,常看到許多企業單位隨便將網站外包給廠商做,在業者原先know-how提供不夠完整情況下,軟體外包商往往也只是將程式寫出來就好,後續的維護與資安的考驗根本就沒考慮到,更別提發包出去的企業單位自己有多清楚,只知道在價錢上越便宜越好,其實後果還是企業單位自己要承擔的。