• 發布單位:TWCERT/CC
• 更新日期:2022-08-16
• 點閱次數:1629

網頁置換(Website Defacement)攻擊：駭客入侵受害網頁伺服器並將受害設備之原網頁替換成其它駭客自製的網頁，常見於有政治動機的「網路抗議者」、激進駭客(Hacktivism)用來傳播訊息或是用以炫耀技術、戰績。例如知名的網頁置換揭露平台zone-h，擁有大量國際駭客所分享之成功攻陷並置換的網頁快照資料庫，遭到網頁置換之主因通常為網站或伺服器設備出現漏洞，因此遭駭客侵入與控制。

2022年8月全台陸續發生若干網路攻擊事件，其中公共空間廣告看板因受駭而遭受傳遞惡意假訊息，學校及政府網頁遭置換等攻擊事件。因此，網站管理人員可參考，本中心所提供的網站安全防護建議以及應變措施。

網站安全防護建議（Identify 、Protect and Detect）

1. 制定網站事件應變處理作法，準備好維護頁面與演練導向流程。
2. 制定基本安全策略並持續執行
   • 加強網站管理者的密碼強度或複雜度、多因子認證(Multi-factor authentication，MFA)，並且定期更新密碼。
   • 審視或以掃描軟體確認網站目錄的使用者存取權限狀況。
   • 定時進行網站備份、資料庫備份，落實3-2-1備份原則。
3. 網頁應用安全防護措施：
   • 網站開發時，應要求開發商納入原始碼檢測、弱點掃描及滲透測試等安全軟體發展流程(Secure Software Development Life Cycle, SSDLC)。
   • 網站上線後，應定期檢視網站建置環境及所使用之套件以及外掛程式 等所屬廠商之更新支援狀況，並保持最新；如發現廠商公布不再支援 更新修補，應即檢討可用性以及替換方案。
4. 系統安全防護措施：
   • 網站伺服器的作業系統及應用程式務必安裝最新版的安全更新，並定期進行弱點掃描。
   • 安裝防火牆以及防毒軟體，並正確設定防火牆規則，保持防毒軟體掃毒引擎與病毒碼更新至最新。
   • 關閉不必要之網路服務，建立密碼時使用複雜度高之強密碼規則。

遭受網頁置換攻擊應變措施（Respond and Recover）

1. 立即關閉網站，並導向維護頁面。
2. 評估攻擊影響範圍，啟動相關應變程序。
3. 向警調單位報案尋求協助，並通報TWCERT/CC。
4. 確認入侵根因與途徑，或進行鑑識處理。
5. 如確認資料庫未受影響，或有攻擊時間點之前的資料庫備份，可以備份或原始的網站程式與資料庫重新運行網站。
   • 對重新運行之網站，依入侵原因進行漏洞修補、權限設定、密碼變更等動作。
   • 網頁重新上線，並持續監控相關活動紀錄，以確認無其它的攻擊或惡意程式植入情形。