网页挂马的危害及防治方法研究.docVIP

网页挂马的危害及防治方法研究 　　摘要：在计算机网络高度发达的今天，人们普遍使用计算机来提高个人工作效率。电子商务、网络营销、网上银行使新一代网络有了更进一步的发展，然而近年来很多网站频繁遭受木马攻击破坏，如何保护自己的网站免受网页木马的侵害显得尤为必要。该文从什么是网页挂马、挂马的工作原理、常见的挂马方式、执行方式、检测方法以及如何防治网页挂马等方面做了分析研究。 　　关键词：网页；挂马；攻击；检测；防范 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）08-0069-02 　　1 网页挂马的概念以及其危害性 　　网页挂马指的是黑客利用木马生成器或其他程序编写的破坏计算机系统的程序，通过系统漏洞，或者其他攻击方式登录到远程WEB服务器，将木马程序植入到WEB服务器的网页中，从而在用户点击网页时，进行盗链、增加自己网站访问量、窃取用户信息、破坏网站数据库等行为，达到攻击服务器、使服务器瘫痪的目的！ 　　在远程服务器端，由于系统管理员的疏忽、经常会有打补丁不及时、造成系统存在漏洞的现象，这也是网站维护过程中不可避免的事情，而黑客往往会利用这些系统漏洞、通过嗅探、监测、权限提升等手段攻击服务器，然后将恶意代码程序植入网页，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险操作，甚至在系统管理员不知情的情况下将系统管理员输入的超级管理员账号密码悄悄发送到黑客制订邮箱。在得到超级管理员权限后对网站页面修改、数据篡改、植入自己的链接，在用户每次访问页面时即可访问网页挂马的散布者植入的链接，甚至导致用户将木马下载并执行，然后又进行不断的复制和传播，恶性循环，从而使更多的用户电脑收到攻击并被控制。网页挂马散布者最直接的目的就是获取更多的用户资源。 　　2 常见的网页挂马方式 　　网页挂马常见的挂马方式有如下几种： 　　（1）木马程序会伪装成为一个图片或者一个动画，或者其他页面元素，普通用户很难发现，当用户浏览网页时，这个木马程序就被浏览器下载到本地运行且被复制传播； 　　（2）框架挂马，木马程序是以一个网址，用框架页面镶嵌到网页中，当用户正常访问页面时，就会加载这个框架页，被访问后就会中此木马程序，用户单凭肉眼是发现不了的。常见代码为： 　　（3）js文件挂马，这种挂马方式是将基于Java script 的代码程序镶嵌到网页的JS文件当中，尤其是整站中如果只运用了一个或几个js 文件，这样的网站最容易被挂马。只要调用了这个js 文件的页面就会被执行。常见代码为： 　　（4）js变形加密，Js 挂马还可以将代码用其他加密方式进行加密，通过加密代码的方式隐藏了该信息。 　　（5）body挂马，在body标签中嵌入以下代码：var _userid = ;var _siteid =669;var _istoken = 1;var _model = Model03; WebPageSpeed =109; UrchinTrack();，当用户正常访问时，页面就会发生跳转并加载访问http：///这个网址，从而达到执行恶意代码的目的。 　　（6）隐蔽挂马，黑客将以下Javascript代码嵌入到网页中，放在一些比较隐蔽的位置，top.document.body.innerHTML=top.document.body.innerHTML+＼r＼n；，当页面执行时，会通过DOM操作的方式创建框架访问http：///，从而实现恶意代码的执行。 　　（7）css中挂马，这种方式是将黑客代码镶嵌到CSS 样式表中，当用户页面执行到body标签时，就会根据CSS中定义的某一图片路径，或者某一文件路径，而这个路径就是被黑客挂载的木马程序。 　　常见的网页挂马方式还不止这几种，在实际运行中，木马程序还常常会更改系统时间，防止杀毒软件对其进行清理，更改病毒库，使自己相对于杀毒软件来说具有“免疫功能”等等。 　　3 网页挂马该如何检测并得到有效防治 　　网页挂马常见的检测方法有：（1）网页挂马可以用专业免费网页安全检测工具横向测评，如Mcafee siteadvisor等。（2）可以利用百度、Google等搜索引擎搜索网站。如果有网站有木马则搜索引擎会在搜索列表的下方提示有不安全因素。这就说明网站有可能被挂马了。（3）也可以利用杀毒软件进行查杀网页源文件，如果发现木马程序，则说明网站源代码中存在挂马现象，此时也可以手动清除木马，也可以在站点中发现相同特征木马，将其全部替换成空格即可。（4）人为判断方式，通过在客户端浏览页面，如果发现大量或标签，里面还含有与本站无关的网址，则很有可能网站被挂木马，也可