掛馬

掛馬

所謂的掛馬,就是黑客通過各種手段,包括SQL注入,網站敏感文件掃描,伺服器漏洞,網站程序0day, 等各種方法獲得網站管理員賬號,然後登陸網站後台,通過資料庫“備份/恢復”或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP,然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒。

基本信息


名詞解釋

所謂的掛馬,就是黑客通過各種手段,包括SQL注入,網站敏感文件掃描,伺服器漏洞,網站程序0day, 等各種方法獲得網站管理員賬號,然後登陸網站後台,通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP,然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒。

危害

很多遊戲網站被掛馬,黑客目的就是盜取瀏覽該網站玩家的遊戲賬號,而那些大型網站被掛馬,則是為了搜集大量的肉雞。網站被掛馬不僅會讓自己的網站失去信譽,丟失大量客戶,也會讓我們這些普通用戶陷入黑客設下的陷阱,淪為黑客的肉雞。
如果不小心進入了已被掛馬的網站,則會感染木馬病毒,以致丟失大量的寶貴文件資料和賬號密碼,其危害極大。

分辨

其實我們說的所謂的掛馬一般就是在那些可編輯文件下或是頭部加入一段代碼來實現跳轉到別的網站訪問那個他們指定的HTML網頁木馬的然後通過你電腦本身的漏洞攻破你的系統給你下載一個下載者,然後那下載者設定多少時間后開始在指定地點隱藏下載木馬並運行!所以說我們只要把那段代碼給清理掉了就達到了清理掛馬的作用了!所以我們首先要辨別是不是自己的站是不是被掛馬!你如果打開網站發現很卡但是殺毒軟體沒報警別以為沒事了,很多馬很有可能做了免殺處理所以殺軟沒反映!我們打開網站點查看源代碼如果頂部或是底下出現了這樣的代碼就恭喜你中標了!比如:
我想學做站的人都知道這行代碼的意思吧?就是插入一個長和高都是0框架運行
http: //www.baidu/muma.html這個頁面!但是因為框架的長和高都是零你就沒辦法看到那個窗口了!但是如果你沒在頂部和底部發現這些代碼就以為沒事了,有的人還會在中間插入,只是在底部和頂部絕對不會影響到網站的整體結構不用想那麼多!但是如果那個掛馬的哥們稍微耐心一點多測試一下在網站代碼的中間還是很容易的!所以如果你代碼太多嫌找著麻煩的話你就可以直接在IE瀏覽器里點查看--隱私里看到底有沒有外連到別的站上去的站!有的話那很有可能被掛馬了!(PS:如果你的站採集了的別人的圖片的話在隱私里會有連到別人那的哦,或是統計代碼也是,所以這要自己分析,哪些是正常的,哪些不是)!有的童鞋可能會說你這人真笨怎麼不知道在源文件里直接查找
1 、js文件掛馬
首先將以下代碼
document.write("");
保存為xxx.js,
則JS掛馬代碼為
2、css中掛馬
body {
background-image: url('javascript:document.write("
src=http: ")')}

恢復

恢復措施:1.整站被掛馬,最快速的恢復方法是,除開資料庫、上傳目錄之外,替換掉其他所有文件;
2.仔細檢查網站上傳目錄存放的文件,很多木馬偽裝成圖片保存在上傳目錄,你直接把上傳文件夾下載到本地,用縮略圖的形式,查看是不是圖片,如果不顯示,則一律刪除;
3.資料庫裡面存在木馬,則把資料庫的木馬代碼清除!可以採用查找替換;
4.如果網站源文件沒有,則需要FTP下載網站文件,然後再DW裡面,用替換清除的方式一個個清除,注意網站的木馬數,如果被掛了很多不同的,必須多多檢查!

預防

措施:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。
這其中包括各種新聞發布、商城及論壇程序,只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定複雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程序,下載后要對其資料庫名稱和存放路徑進行修改,資料庫文件名稱也要有一定複雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護后刪除後台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
11、定期對網站進行安全的檢測,具體可以利用網上一些工具,如億思網站安全檢測平台。

原因分析


簡述

一般來說,伺服器或者網站被植入病毒代碼有以下三種原因:網站代碼、入侵導致、病毒導致

網站代碼

如果伺服器上大部分用戶的網站都正常,只有少量用戶網站被黑,那麼就很可能是少量用戶網站被黑的網站代碼有問題,存在安全漏洞造成的。造成這個問題是沒有辦法解決,也不是服務商的責任。
大家都知道,“虛擬主機提供商”對自己的每個虛擬主機用戶都分配了FSO文件操作的許可權,他們通過您分配的合法許可權,可以任意改動和上傳的任何文件。如果用戶沒有保護好您分配給他們的合法許可權,令黑客有機可乘,那麼,黑客就可以利用合法許可權對網站進行破壞了,但是大部分用戶都認為這個黑客入侵不是他自己造成的,是服務商造成的,這實際上是冤枉了服務商。

入侵導致

當伺服器上所有網站都被植入了病毒代碼,並且可以在源文件的尾部或頭部找到病毒代碼文件,或者在IIS裡面被植入了添加腳本,就標明是由於伺服器被入侵導致的。

病毒導致

當伺服器上所有網站都被植入了病毒代碼,並且在源文件的尾部或頭部無法找到病毒代碼文件,就表明伺服器所在的機房中了ARP病毒。這時需要聯繫我們來解決,一般情況下,機房會有大量伺服器中毒,會有很多客戶向機房反應,一般在半小時內機房就會處理的。
  • 目錄