网页木马
什么是网页木马
什么是“网页木马”?用户在浏览某些网页的时候,网页中可能会包含一些恶意的代码,这就是俗称的“网页木马”,此种行为通常被称为“挂马”。
网页中包含的恶意代码通常类似为:<iframe src=http://xxx/xxx width=50 height=0></iframe>“网页木马”并非万能的,它一般是通过系统中的漏洞(例如浏览器的漏洞、浏览器插件的漏洞等)来对用户的主机进行攻击,进而获取用户主机中的敏感数据,例如QQ号、网银账号、游戏ID等。
如果你的主机已经安装了最新的安全补丁,大多数网页木马都无法对你的主机造成伤害。
但是,也有不少网页木马是通过系统未公开的漏洞来攻击用户主机,即是说,即使你的主机安装齐全所有安全补丁,也无法做到100%免疫。
网页中为何会被插入恶意代码?通常有三种情况,如下图所示,注:黑色箭头表示数据流向,红色箭头表示恶意代码插入位置。
1. 服务器被黑。
服务器被入侵或感染病毒,硬盘上的网页文件被修改,被插入恶意代码。
这种情况比较少见。
表现形式:互联网上所有用户访问这台服务器上的网页时,网页上都会包含有恶意代码。
2. 服务器被ARP欺骗。
服务器所处的那个局域网内,有主机被黑客控制或者感染了病毒,服务器返回给用户的网页数据,在传输过程中被ARP欺骗程序、病毒程序所篡改,插入了恶意代码。
表现形式:互联网上所有用户访问这台服务器上的网页时,网页上都会包含有恶意代码。
3. 用户的局域网被ARP欺骗。
用户所处的那个局域网内,有主机被黑客控制或者感染了病毒。
服务器返回给用户的网页数据,在传输过程中被ARP欺骗程序、病毒程序所篡改,插入了恶意代码。
表现形式:局域网的用户,在访问所有网站时,网页中都会包含恶意代码。
如何避免受“网页木马”侵害?服务器网管:1. 加强服务器的安全管理,避免被黑客入侵或者感染病毒。
2. 安装ARP防火墙,避免受局域网内ARP欺骗程序、ARP病毒的影响。
网页木马机理与防御方法
网页木马机理与防御方法网页木马是指利用网络漏洞或者采用钓鱼等手段传播的,可以直接在用户浏览器中运行的恶意代码。
网页木马在用户不知情的情况下通过浏览器的漏洞或者其他手段渗透进来,一旦成功,就会进行各种攻击,比如窃取用户隐私,破坏系统安全等。
1. 攻击者利用漏洞:攻击者利用漏洞,通过特定的方法将木马代码植入网站。
2. 收集用户信息:木马攻击后,攻击者可以通过收集用户信息来获取重要的账户和密码信息。
3. 后门设置:攻击者可以利用网页木马来设置后门,以便随时进入系统。
4. 远程控制:网页木马可以给黑客提供远程控制权限,使他们能够使用受害者的电脑来进行各种攻击。
5. 绕过杀毒软件:网页木马通常可以绕过机器中安装的杀毒软件,因此其能够在不被发现的情况下运行。
1. 及时更新防病毒软件:防病毒软件可以对网页木马进行及时的识别和隔离,同时也可以升级软件以应对新型的木马病毒。
2. 限制浏览器的访问权限:对于一些敏感的网站或不必要的网站,可以将其浏览器访问权限限制,避免用户访问到不安全的站点。
3. 开启防弹窗功能:一些网页木马通过弹窗的方式,在用户不知情的情况下进行攻击。
因此,开启防弹窗功能是一种比较简单有效的防范措施。
4. 配置防火墙:防火墙可以有效地限制计算机对外界的接口,避免黑客利用网站漏洞进行攻击。
同时,防火墙也可以限制木马运行的端口。
5. 安装安全软件:一些安全软件,如安全防护软件以及防病毒软件,可以对用户计算机上的木马和病毒进行识别和隔离。
总之,对于网页木马的防范工作,需要从多个方向入手,提高网络安全意识、加强各类防护措施是防范网络木马攻击的重要方法。
网页木马机理与防御方法
Information Security •信息安全Electronic Technology & Software Engineering 电子技术与软件工程• 207【关键词】网页木马 机理 防御方法1 引言网页木马是计算机木马病毒中的一种,主要是寄存在网页中并且对一些特殊的页面信网页木马机理与防御方法文/杨维荣本文对网页木马的入侵方式以及网页木马对计算机漏洞的运用机理进行了分析,网页木马主要利用电脑浏览器以及插件中存在的漏洞来实现的,并且具有非常强的隐蔽性,最后从完善系统漏洞,提升系统的安全等级、提升浏览器的安全等级、关闭远程注册表功能以及提升网页木马预防意识四个方面阐述了网页木马防御方法, 从而确保计算机系统的网络安全。
摘 要息进行病毒侵害,通常会寻找浏览器存在漏洞或者缺少插件补丁的终端用户电脑下手,对其进行木马入侵盗取资料信息或者破坏电脑系统等。
网页木马具有代码编写快捷、感染性强,同时网页木马病毒还具有非常大的破坏性,可以在用户浏览网页的过程中潜伏到电脑系统中,对电脑的系统软件造成破坏,侵害了用户的个人隐私,对创建健康的网络环境造成非常坏的影响。
正因为木马病毒具有如此强大的入侵性与破坏性,需要我们在进行网页操作具有预防网页木马的意识,本文从网页木马的入侵方式以及运用计算机漏洞的入侵机理出发对网页木马进行深入研究,并且对于防御网页木马提出了几点建议。
2 网页木马概念从根本上来说网页木马是一种带有恶意代码的程序编程。
攻击者将编写好的木马程序隐藏在网页文件或者系统中,电脑终端用户在操作计算机进行文件下载或者网页浏览时,会不经意间将网页木马带入到计算机中,潜伏在计算机中的木马会根据系统漏洞发动攻击,获得电脑的主动权并可以远程操作电脑。
攻击者可以修改电脑的客户点资料、盗取电脑的文件、修改电脑的注册表信息与系统设置等,甚至可以攻击计算机系统程序,从而造成计算机系统的损坏。
在通常网络环境中,网页木马往往以正常的网页界面显示出来,该界面隐藏有一系列具有关联性的恶意代码。
网页木马机理与防御方法
网页木马机理与防御方法网页木马是一种通过网页页面进行传播和执行恶意代码的攻击方式。
当用户访问被感染的网页时,木马代码会在用户的电脑上运行,从而导致安全风险和信息泄露。
下面将介绍网页木马的机理以及防御方法。
一、网页木马的机理网页木马通常利用以下几种方式进行传播和攻击:1. 漏洞利用:利用网页中存在的安全漏洞,通过注入恶意代码或利用已知漏洞进行攻击。
常见的漏洞包括Cross-site Scripting (XSS)和Cross-site Request Forgery (CSRF)等。
2. 伪装下载:通过伪装成常见软件、游戏或网页插件等可信来源,诱使用户下载和安装木马程序。
这种方式常用于传播恶意软件和病毒。
3. 社交工程:通过发送钓鱼邮件、社交媒体欺骗等方式,诱使用户点击恶意链接或下载恶意文件。
二、网页木马的防御方法为了确保网页的安全性和用户的隐私,以下是一些常用的防御方法:1. 及时更新:网页开发人员应及时更新系统和软件补丁,修复已知的安全漏洞,以阻止木马利用这些漏洞进行攻击。
2. 输入验证:对于前端输入字段,进行严格的数据验证和过滤,以防止恶意代码的注入。
后端也要对接收到的数据进行过滤和处理,确保安全性。
3. 安全策略:设置合适的访问控制策略,只允许必要的访问权限。
限制外部请求的访问和操作范围,避免恶意代码的传播和执行。
4. 密码安全:用户的密码应采用安全性较高的加密算法进行存储,并设置合理的密码复杂度要求。
建议用户定期更换密码,避免被破解。
5. 安全证书:为网页配置SSL证书,使用HTTPS协议加密网页通信。
这样可以确保用户的信息在传输过程中不被窃取或篡改。
6. 安全意识培训:定期对公司员工进行网络安全意识培训,教育他们识别和防范网页木马的攻击。
提醒他们不要点击可疑链接或下载未知来源的文件。
7. 安全扫描:定期使用安全扫描工具对网页进行全面扫描,及时发现漏洞和木马,并采取相应的修复措施。
总结:网页木马是一种通过网页页面传播恶意代码的攻击方式。
网页木马机理与防御技术
网页木 马多被用 于让 客户端 过路式 下载“ 盗号木 马” , 窃取 客户端个 人信 息, 它 已经 成为 黑客谋求 经济利 益 的重 要工具 . 围绕着 网页 木马逐渐 形成 了具有 一定规 模、分 工 明确 的地 下经济链 : 股 票账 号、信用 卡账 号乃至
特性, 并总结 防御方的研 究现 状 以及探 讨攻防双方 的发展趋势, 为进一步研 究作参考. 本文第 1 节 介绍 网页木马工 作机制, 主要包括 网页木 马定义 、典 型攻击流程 、漏洞利用 机理及 些 提高攻 击成 功率 、增强 自身 隐蔽性方 面的对抗 手段. 第 2节从监 测 、特 征分析 、防范这 3方面对 网页木马 防御方 的研
J o u r n a l o fS o f t w a r e软件 学报 V o 1 . 2 4 , N o . 4 , Ap r i l 2 0 1 3
网页木 马是近年来 出现的一种 新形态 的恶意代码 , 它通 常被人 为置入 We b服务器 端的 H T ML页面 中, 目的 在 于 向客 户端传播 恶意程 序: 客户 端访 问该页面 时, 它 利用 客户端 浏览器及 其插件 的漏洞 将恶 意程序 自动植入 客 户端 . 网页木 马的表 现形 式是 一个或 一组 有链接 关 系、含 有( 用 J a v a S c r i p t等脚 本语 言编 写 的) 恶意 代码 的 HT ML页面, 恶意代码在 该( 组) 页面被客户 端浏览器 加载 、渲 染的过程 中被执行 并利用浏 览器及插件 中的漏洞 隐蔽地下 载 、安 装 、执 行病毒 或 间谍 软件 等恶意可 执行 文件. 网页木 马是一 种客户 端攻击 方式, 相 比较蠕虫 等 通 过 网络 主动进行 自我复 制、 自我 传播, 网页木 马部署在 网站服 务器端, 在用户 浏览页面 时发起 攻击. 这种客 户 端攻击 方式可 以有效 地绕过 防火墙 的检测 , 隐蔽地 、有效地在 客户 端植入 恶意代码 , 进 而在 用户不 知情 的情 况 下 自动完 成恶意可执 行文件 的下载 、 执行, 国外将这种 攻击方 式称为 Dr i v e — b y — Do wn l o a d (  ̄ , 内直 译为“ 过路式 下
支招防御网页木马
2o 中 教 网 9 0 国 育 络2 14
身两方面的原因。
行完备的防范 。 对于服务器管理者而言 ,就是要恰 当
2 用户端安全措施 .
对 于用户端 的安全主要从 以下几个方 设 置 网站 服 务 器 。 此 , 别 强 调 几 点 : 在 特 一 面加强木马防御 : 存在漏洞 、 帐号密码泄密 、 m 操作系统管 理配置不当( 如用户密码设置的过于简单 、 是要 经常及 时更新 系统及组件补 丁,以免 () 1 增强 防范意识 ,确保上网行 为规 网站文件夹添加了浏览权限 、网站文件夹 留下 可乘 之机 ;二是对于提供多个站点服 范 。 匿名访 问用户权 限过高等 ) S L 、 Q 数据库注 务的 ,应针对 每个 网站新建一个 网站 匿名 对上 网用户而言 ,就是要养成 良好 的 访 问的用户 , 以便各个网站之 间隔离. 三是 上 网习惯 ,尽量从大规模门户网站或官方 入漏洞等。 I S 不使 用 默 认 的 We 站 网站浏览信息 、 b 2 网站 本 身 的原 因主要 有 上传 漏 洞 利 用 I 假 设 站 点 的 , . 下载资源 , 不随意登录不 明 并且把 I 站点文件 、 作系统文件和 网 站 及 不 规 范 网站 。 浏 览 互 联 网 时 , 于 I S 操 ( 上传页面未作身份认证 ) 、暴库 ( c %5 漏 点 , 在 对 I S 洞 ) Q 注人漏洞 、旁注 、未加修改的免 I 站点 日志文件存放位置规划在不 同盘符 使用的应用软件也要经常更新 ,以免产生 、S L 上, 删除 I 安装时默认 的Ie u I s nt b目录, p 删 可乘之机。 费网站管理 系统等
支 招 防御 网 页 木 马
政府 、中小企业 、 金融 、门户和 电子商务网站成为黑客网页挂 马的最爱五类 网站 , “ 即 黑五类 ” 。
网站中病毒或者有木马的处理方法是什么
网站中病毒或者有木马的处理方法是什么电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵网站被黑或者是被上传木马是比较常见的,也是用户比较关注的一个问题,因为用户在访问网站的时候会自动下载病毒或者木马,如果有杀毒软件的话,就会有相关的提示,网站被黑或者被上传木马主要有以下两种情况方法步骤1.网站存在文件上传漏洞,黑客会利用这样的漏洞,上传一些黑客文件。
上传之后黑客就可以对该网站的所有文件进行任意修改,这种目前比较常见的一种情况。
针对这种情况, 只能找专业的技术人员进行检查,检查出网站漏洞并彻底修复,并且将一些黑客上传的隐藏恶意文件给修复。
原因: 很多网站都需要使用到文件上传功能,例如很多网站需要发布产品图片等。
文件上传功能本来应该具有严格的限定。
例如:只允许用户只能上传JPG,GIF等图片。
但由于程序开发人员考虑不严谨,或者直接是调用一些通用的文件上传组件, 导致没对文件上传进行严格的检查。
处理: 处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能。
重点针对这个文件上传功能进行检查, 同时针对网站所有文件进行检查,排查可疑信息。
同时也利用网站日志,对文件被修改时间进行检查:(1)查到哪个文件被加入代码: 用户要查看自己网页代码。
根据被加入代码的位置,确定到底是哪个页面被黑, 一般黑客会去修改数据库连接文件或网站顶部/底部文件,因为这样修改后用户网站所有页面都会被附加代码。
(2) 查到被篡改文件后,使用Ftp查看文件最后被修改时间, 例如Ftp 里面查看到conn.asp文件被黑,最后修改时间是 2015-12-22 10:34 分, 那么可以确定在2015-12-22日10:34 分这个时间有黑客使用他留下的黑客后门,篡改了你的conn.asp这个文件。
注意:(1)很多用户网站被黑后,只是将被串改的文件修正过来。
或重新上传, 这样是没多大作用。
如果网站不修复漏洞。
黑客可以很快再次利用这漏洞,对用户网站再次入。
服务器安全基础知识系列(三)关于网页木马
一、总论网页木马一直是国内网络流行的东西。
(注释,据朋友说,这种东西在国外并不流行。
)之所以比较流行我觉得有如下原因:1.网页木马在各种网络威胁中技术含量相对来说属于较低的类型。
这就意味着他便于制作推广。
2.免费空间的增多和个人建站的流行,给网页木马客观附带的造就了很大的生存空间。
3.国内上网人数的奇迹般的递增,使网页木马的受众层增多。
4.国内上网人群目前普遍安全意识较低,很多人使用盗版系统,有时候无法更新补丁或及时更新补丁,(注释,国内网页木马大多是针对windows系统的ie的)使针对ie漏洞型的网页木马生存时间延长。
5.网页木马见效快,(注释,这个并不是证明网页木马效率高,而是因为受众多)6.很多间接推动网络安全,擅长脚本技术的人很及时地推出了众多简便式的网页木马生成器或网页木马程式。
此中icefox(冰狐浪子EST),LCX()等对于国内网页木马的流行起到了奠基的作用。
以上jinzhou只是浅显说到网页木马之所以流行的原因。
其中也可看到网页木马目前来说还是具有一定优点的,尤其是制作操作简单。
和相对收效快的特点。
下面简单说说网页木马的一些不足。
1.很多网页木马针对的是特有的ie漏洞。
(注释,关于详细情形,以下论述)一旦漏洞补上,网页木马失效。
ie的漏洞相对系统的核心漏洞来说,修补比较容易。
(注释,何况有些人根本就不是用ie和ie内核浏览器)2.网页木马的绝对命中率较低,一般来说10%就很不错了。
(注释,这由多种原因造成,比如受众方做了其他限制,一些杀毒软件或监控软件的干扰和警示,对相关运行网页木马的一些控件的解除,比如更名或删除debug和wsh等会使一些网页木马无法成功,一些安全监视工具会提示异常运行等等)3.网页木马没有固定目标。
缺乏针对性,一定意义上,它只是等着别人来中,它不能主动地选择受众。
4.网页木马很难感染一些重要部门的重要机器而不被发现。
网页木马常常无力顾及木马被下载后的深入隐藏。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈网页木马
摘要由于利益驱动,网络犯罪者已频繁地在中国万维网上构建木马网络,用于攻击普通因特网用户的客户端主机,窃取虚拟资产从而获得非法收入。
本文对网页木马的攻击和防范策略进行深入分析,从而深刻了解网页木马的危害。
关键词网页木马;木马攻击;恶意脚本
中图分类号tp393 文献标识码a 文章编号 1674-6708(2011)46-0214-02
网页木马是指表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
1 背景和根源
网页木马这种安全威胁在中国万维网上出现于 2003 年甚至更早,在此之前,国内黑客社区还主要由政治事件、炫耀技术能力、追求社区威望等动机所驱动,但随着网络游戏和虚拟交易的日益流行,一些恶意攻击者寻找出通过攻击普通因特网用户从而快速获利的网络犯罪途径,并形成了分工明确,组织严密的地下经济链,而网页木马是其中最为主要的方式之一。
网页木马存在的技术基础­——安全漏洞。
另一个使得网页木马安全威胁持续存在的根源是普通因特网用户用于访问万维网
的浏览器和相关应用软件中存在的安全漏洞,这些安全漏洞为网页木马进入并感染受害主机提供了必要条件。
2 网页木马的实质
网页木马的实质是利用漏洞向用户传播木马下载器。
网页木马实际上是一个html网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢。
因为嵌入在这个网页中的脚本恰如其分地利用了ie浏览器的漏洞,让ie在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
3 可能被网页木马利用的漏洞
3.1 利用url格式漏洞
此类网页木马是利用url格式漏洞来欺骗用户。
构造一个看似jpg格式的文件诱惑用户下载,但事实上用户下载的却是一个exe 文件。
此类攻击,具有相当的隐蔽性,利用url欺骗的方法有很多种,比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼,还有漏洞百出的“%30%50”之类的unicode编码等等。
3.2 通过activex控件制作网页木马
通过 activex 把普通的软件转化为可以在主页直接执行的软
件的网页木马,此类网页木马对所有的系统和ie版本都有效,缺点是浏览网页木马时会弹出对话框,询问是否安装此插件。
病毒作者通常是伪造微软、新浪、google等知名公司的签名,伪装成它们的插件来迷惑用户。
3.3 利用wsh的缺陷
利用wsh修改注册表,使ie安全设置中“没有标记为安全的activex控件和插件”的默认设置改为启用,然后再利用一些可以在本地运行exe程序的网页代码来运行病毒。
它的危害在于,可以利用ie的安全漏洞提升权限达到本地运行任意程序的后果。
4 网络木马的攻击策略
为了将挂马网站的访问流量重定向至网页木马宿主站点,攻击者通常使用如下四类策略。
4.1 内嵌html标签
第一类策略使用内嵌html标签,如iframe, frame等,将网页木马链接嵌入到网站首页或其它页面中。
为了达到更好的隐蔽性和灵活性,攻击者还经常利用层次嵌套的内嵌标签,引入一些中间的跳转站点并进行混淆,从而构建复杂且难以追溯的庞大网页木马网络。
4.2 恶意脚本
第二类也是很常用的重定向策略是利用script标签通过跨站脚本(xss: cross-site scripting)包含网页木马。
跳转脚本通常
使用document.write生成包含网页木马链接的 iframe。
内嵌标签,或者比较少见的windows.open函数弹出一个新的html窗口连接网页木马进行攻击。
4.3 内嵌对象
第三类重定向策略基于调用第三方应用软件或浏览器帮助对象(bho)的内嵌对象。
当攻击者发现这些第三方应用软件或bho 中存在某些可利用的安全漏洞,他们会通过构造。
相应的内嵌对象,通过在挂马页面中包含,从而在其被打开时攻击存有漏洞的软件,从而获得目标主机的控制权。
4.4 arp欺骗挂马
第四类是攻击者使用一种危害度更高的网页挂马构建策略——arp欺骗挂马。
这种方法不需要真正地攻陷目标网站,在攻击安全防护严密的知名网站时非常有效,在同一以太网网段内,攻击者通过arp欺骗方法就可以进行中间人攻击,劫持所有目标网站出入的网络流量,并可在目标网站的html反馈包中注入任意的恶意脚本,从而使其成为将网络访问流量重定向至木马宿主的挂马站点。
5 网页木马的防范策略
网页木马的防范只靠杀毒软件和防火墙是远远不够的,因为一旦黑客使用了反弹端口的个人版木马,那么杀毒软件和防火墙就无可奈何,所以,网页木马的防范要从它的原理入手,从根子上进行防范。
主要采取的防范策略有:
1)及时安装安全补丁;
2)改名或卸载最不安全的activexobject(ie插件);
3)提高ie的安全级别,禁用脚本和activex控件。
6 结论
当今网络,反病毒软件日益增多,使用的反病毒技术越来越先进,查杀病毒的能力逐渐提高,但病毒制作者并不会罢休,反查杀手段不断升级,新的病毒层出不穷,形式也越来越多样化,为了躲避查杀,病毒自身的隐蔽性越来越高。
网页木马对普通的因特网用户构成了严重的威胁,要做到有效防范,从而阻止网络犯罪者通过网页木马获得非法收入。
参考文献
[1]韩法旺.web网页木马研究初探[j].科技信息,2008(19).
[2]吕磊.基于行为分析的网页木马检测技术研究[j].哈尔滨工业大学学报,2009.。