专家教你如何进行网站挂马检测和清除.docVIP

专家教你如何进行网站挂马检测与清除 　　不完全统计，90%的网站都被挂过马，挂马是指在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险超过。目前挂马主要是为了商业利益，有的挂马是为了赚取流量，有的是为了盗取游戏等账号，也有的是为了好玩，不管是处于那种目的，对于访问被挂马的网站来说都是一种潜在的威胁，影响运营网站公司形象。　　当一个网站运营很长时间后，网站文件会非常多，手工查看网页文件代码非常困难，杀毒软件仅仅对恶意代码进行查杀，对网页木马以及挂马程序不一定全部查杀，本文就如何利用一些安全检测工具软件来检测和清除网站木马方面进行探讨，使用本文提及的工具可以很轻松的检测网站是否被挂马。　　(一)检测挂马页面　　1.安装urlsnooper软件　　Urlsnooper是一款URL嗅探工具，其官方主页地址为：/urlsnooper，目前已经不提供免费下载了，可以到/detail-11525.html下载该软件。安装非常简单，按照提示进行安装即可。第一次使用时需要程序会自动检查网卡，查看能否正常连接网络，设置正确无误后，应该出现如图1所示的画面。　　　　图1安装正确后的界面　　2.对网站进行侦测　　在Urlsnooper中的“ProtocolFilter”中选择“ShowAll”，然后单击“SniffNetwork”按钮开始监听网络。接着使用IE浏览器打开需要进行检测木马的网站，Urlsnooper会自动抓取网站中的所有连接，在Index中按照五位数字序号进行排列，如图2所示。　　　　图2监听结果　　说明：　　在侦测结果中可能包含的连接地址非常多，这个时候就需要进行排查，可以选中每一个记录，Urlsnooper会在下方中显示详细的监听结果，如图2所示，就发现存在一段挂马代码：　　在百度搜索中对其进行搜索，如图3所示，有30多项搜索结果，从查询结果可以辅佐证明该段代码为挂马代码。　　　　图3搜索结果　　说明：要善于运用网络搜索引擎，通过搜索可以知道目前关于该问题的描述和解决方法等 360督导招募中，赶紧报名吧！ 　　　　　　　　　　【题材征集】2011-2012新春语音祝福题材征集 4大皆空 金币：373 经验：1589 等级：初中二年级 功勋：2 短信 [回到顶部][回复此楼][引用][举报] 2 楼 2009-07-02 10:48 　　3.对地址进行解码　　该地址采用了一种编码，我对常用的这种编码值进行了整理，如下表所示，从中可以找出该代码中的真实地址为。　　4.获取该网站相关内容　　可以使用Flashget的资源管理器去获取该网站的内容，如图4所示，打开Flashget下载工具，单击“工具”-“站点资源探索器”，打开站点资源探索器，在地址中输入“”，然后回车即可获取该网站的一些资源，在站点资源探索器中可以直接下载看见的文件，下载到本地进行查看。　　　　图4 使用“站点资源探索器”获取站点资源　　说明：　　使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源，这些资源可能是挂马的真实代码，透过这些代码可以知道挂马者是采用哪个漏洞，有时候还可以获取0day。　　在本例中由于时间较长，挂马者已经撤销了原来的挂马程序文件，在该网站中获取的html文件没有用处，且有些文件已经不存在了，无法对原代码文件进行分析。　　5.常见的挂马代码　　(1)框架嵌入式网络挂马　　网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：　　　　解释：在打开插入该句代码的网页后，就也就打开了/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。　　(2)Js调用型网页挂马　　js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。通常代码如下：　　　　/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了。　　(3)图片伪装挂马　　随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似：/test.htm中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了。图片木马生成后，再利用代码调用执行，