教你进行网站挂马检测与清除.doc

专家教你如何进行网站挂马检测与清除 [导读]不完全统计，90%的网站都被挂过马，挂马是指在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码.. 　　3.对地址进行解码 　该地址采用了一种编码，我对常用的这种编码值进行了整理，如下表所示，从中可以找出该代码中的真实地址为。 　　表1 编码对应表 原值 解码前的值 原值 解码前的值 原值 解码前的值 backspace %08 I %49 u %75 tab %09 J %4A v %76 linefeed %0A K %4B w %77 creturn %0D L %4C x %78 space %20 M %4D y %79 ! %21 N %4E z %7A " %22 O %4F { %7B # %23 P %50 | %7C $ %24 Q %51 } %7D % %25 R %52 & %26 S %53 ' %27 T %54 ( %28 U %55 ) %29 V %56 * %2A W %57 + %2B X %58 , %2C Y %59 - %2D Z %5A . %2E [ %5B / %2F \ %5C 0 %30 ] %5D 1 %31 ^ %5E 2 %32 _ %5F 3 %33 ` %60 4 %34 a %61 5 %35 b %62 6 %36 c %63 7 %37 d %64 8 %38 e %65 9 %39 f %66 : %3A g %67 ; %3B h %68 < %3C i %69 = %3D j %6A > %3E k %6B ? %3F l %6C @ %40 m %6D A %41 n %6E B %42 o %6F C %43 p %70 D %44 q %71 E %45 r %72 F %46 s %73 G %47 t %74 H %48 u %75 　　4.获取该网站相关内容 　　可以使用Flashget的资源管理器去获取该网站的内容，如图4所示，打开Flashget下载工具，单击“工具”-“站点资源探索器”，打开站点资源探索器，在地址中输入“”，然后回车即可获取该网站的一些资源，在站点资源探索器中可以直接下载看见的文件，下载到本地进行查看。 　　 　　图4 使用“站点资源探索器”获取站点资源 　　说明： 　　使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源，这些资源可能是挂马的真实代码，透过这些代码可以知道挂马者是采用哪个漏洞，有时候还可以获取0day。 　　在本例中由于时间较长，挂马者已经撤销了原来的挂马程序文件，在该网站中获取的html文件没有用处，且有些文件已经不存在了，无法对原代码文件进行分析。 　　5.常见的挂马代码 　　(1)框架嵌入式网络挂马 　　网页 木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下： 　　 　　解释：在打开插入该句代码的网页后，就也就打开了/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。 　　(2)Js调用型网页挂马 　　js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如： 黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。通常代码如下： 　　 　　/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了。 　　(3)图片伪装挂马 　　随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似： /test.htm中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了。图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如： 　　 　　注：当用户打开/test.htm是，显示给用户的是/test.jpg，而/test.htm网页代码也随之运行。 　　(4) 网络钓鱼挂马(也称为伪装调用挂马) 　　网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿 腾讯公司设计了一个获取QQ币的页面，引诱输入QQ好和密码，如图5所示。等用户输入完提交后，就把这些信息发送到攻击者指定的地方，如图6。 　　 　　图5