上个月帮一家长沙的企业清理网站,进去一看我人都麻了。整个网站后台被塞了将近五百个页面,全是博彩和色情内容,网站目录里还藏着好几个后门文件,最老的一个已经存在了快两年。也就是说这家公司两年时间里压根没人打开过后台看过一眼,网站就那么敞着让人随便折腾了两年。
我问老板你多久没管过网站了,他说网站做好以后就没再登录过,平时忙都忙不过来谁有空看那个。我又问他知不知道网站已经被黑了,他一脸懵,说完全不知道,还是因为有客户打电话来说搜他们公司名字搜出来一堆乱七八糟的链接他才觉得不对劲。
这种情况我一个月能碰到好几回,已经见怪不怪了。
长沙大量的中小企业网站,做好以后就没人管了。后台密码还是建站公司当初设的那个,程序版本好几年没更新过,服务器也没人维护,就那么扔在互联网上自生自灭。这些网站在普通用户眼里就是一个打不打开都行的页面,但在黑产从业者眼里,它们是宝贝。
为什么黑产特别喜欢这种没人管的网站?道理很简单,成本低风险小回报高。黑客攻击网站是要花时间和精力的,如果一个网站防护严密、有人盯着,他进去了也待不久,很快就会被发现清理出去。但一个没人管的网站就像一栋废弃的厂房,门锁早就坏了也没人来修,里面发生什么外面根本不知道。黑客进去了想干什么干什么,放赌博广告、发钓鱼邮件、建色情页面、甚至拿你的服务器去挖矿,你压根不会发现。
黑产利用你的网站赚钱的路子很多。最常见的就是在你网站里植入大量赌博或色情网站的链接,靠这些链接给黑产网站导流赚钱。你不知道是因为这些链接藏得很深,普通访客看不到,但搜索引擎能看到。还有一种是把你的网站当跳板去发钓鱼邮件,用你公司的域名去骗你的客户,收件人一看是正规公司发来的邮件就不会怀疑。更隐蔽的是在你的服务器里植入挖矿程序,悄悄占用你的服务器资源替别人赚钱,你的网站速度变慢你也只会觉得是服务器配置不行,不会往被黑了这方面想。
这些事听着好像离你很远,但一旦发生了后果比你想的严重得多。
你的网站是做了ICP备案的,公安机关的网安系统会定期扫描备案网站。如果发现你的网站上有违法内容,不管你是主动放的还是被黑客植入的,你作为主办者都逃不了干系。轻则收到整改通知,提交材料配合调查,重则罚款甚至关站。我帮过的客户里就有人因为网站被挂了赌博链接被叫去问话的,虽然最后没被处罚,但光是写整改报告、跑流程就折腾了半个月,生意都顾不上。
更麻烦的是如果你的网站被拿来当钓鱼工具骗了别人的钱,你就不是配合调查这么简单了。虽然你不知情,但犯罪行为是通过你的网站和域名实施的,你有连带责任的可能性。就算最后证明你没有参与,调查过程中你的域名可能被暂停解析,服务器可能被要求关停,你的正常业务全部停摆。这种损失你说找谁赔?找不到,因为根本原因是你自己没有尽到安全管理的义务。
有些老板觉得我的公司小网站也没啥内容,黑客不至于盯上我。这个想法大错特错。黑产攻击网站跟你公司大小没关系,他们用的是自动化工具在网上批量扫描,发现哪个网站有漏洞就进去搞事情。你的网站在他们眼里跟路边没上锁的车一样,不是专门盯你,是路过顺手就开了。
所以我想说的是,网站做完了不是就完事了。你得管它,哪怕只是最基础的管。密码改复杂点,程序定期更新一下,隔段时间登后台看一眼有没有异常,有条件的话找个安全维护的人帮你盯着。这些事情花不了多少时间和钱,但它能帮你避开的麻烦是你想象不到的。
别等到公安给你打电话了才想起来自己还有个网站,那个时候就已经晚了。