人们通常认为只要不随意打开可疑的文件和程序,不访问不良网站、不打开可疑的邮件附件,通常感染木马的机会就不大,然而,这些传统的经验已经被颠覆了,网页挂马的流行使用户在浏览著名网站时也可能会中招。对于网站站长来说,网页挂马是让人深恶的行为,它会严重影响网友对该网站的信任,失去的流量和人气不是轻易能够挽回的。究竟网页挂马是怎么一回事,它与传统的木马有什么区别,谊如何防护呢?
认识网页挂马
网页挂马是近年来网络安全领域最热门的话题之一,甚至说它一统木马之天下也不为过。在认识网页挂马之前,先来重温木马的基本概念
什么是木马
木马(Trojan)是一种特殊的应用程序,它分成客户端和服务端两部分,其中,客户端又称为控制端,而服务端就是木马程序。当某台电脑被装上服务端后,黑客就可以使用客户端与这台电脑建立连接,并且获得这台电脑的控制权。
虽然木马程序通常不会对系统造成致命的破坏,但木马的危害性并不比病毒小,甚至有过之而无不及。木马的危害性主要表现为以下几个方面
·记录键盘或鼠标操作,盗取网银的账号和密码,给用户造成经济损失。
·盗取网游账号和密码,转移游戏装备、游戏币等虚拟财产。
·在受害者的电脑里悄悄安装软件,其中不乏各种流氓软件。
·以受害者的电脑作为跳板入侵其他网站,或者直接操作受害者的电脑进行黑客活动,让其作为替罪羊。
除了这些针对个人电脑的木马之外,还有一种用于入侵网站的脚本来马(即Webshell.如ASP木马、PHP木马)。黑客入侵网站后,将ASP木马或PHP木马放置在网站服务器的Web目录中,与正常的文件混合在一起或者直接嵌入正常的阿页文件中,这样黑客就可以通过Web浏览器连接木马来控制网站服务器。由于Webshell通过80端U进行通信,与正常的网页浏览行为区别不大, 因此可以轻易穿越防火墙,而且不容易在系统安全日志留下记录。
Webshel!中有1种特殊的类型,称为“一句话木马”。顾名思义,一句话木马的特征就是服务端只有1句简单的语句,例如<%execute request(””)%>就是典型的一句话木马服务端,只要黑客把这段代码插入网站中任意一个asp页面,就可以通过客户端入侵网站获得Webshell。
什么是网页挂马
网页挂马并非前面提及的ASP木马或PHP木马,它只是一种木马传播手段。与传统的发送邮件附件、捆绑应用程序等方式相比,网页挂马可以在几天内获得数以千计甚至数以万计的“肉鸡”即感染木马程序的电脑)。
网页挂马的基本原理其实并不复杂,首先,黑客精心制作一个木马程序,如灰鸽子、黑洞等,并通过加壳、加花等手段避开杀毒软件的查杀,有的黑客还会自己动手编写木马。木马准备就绪,接下来利用操作系统、浏览器或应用程序的漏洞构建一个特殊的网页,当用户访问这个网页时,如果电脑存在漏洞,那么木马程序就会悄悄下载并安装在用户的电脑上。
为了让更多的电脑中招,黑客通常会入侵一些人气较高的网站,将网页木马嵌入受害网站的主页,利用受害网站的流量来传播木马,这就是所谓的网页挂马。一些黑客还会自己架设大量的垃圾网站(例如成人网站、破解软件下载网站等).在网站中嵌入网页木马来守株特兔。图11-1为网页挂马的原理示意。
网页挂马的盛行是因为它可以带来巨额的经济利益,致使很多传统的黑客堕落成使用黑客技术牟利的骇客craclcer.骇客获得大量“肉鸡”后,可以通过打包出售“肉鸡”、刷网站流量、安装下载者(自动下载更多的木马)、CPA广告安装等方式获利
制作木马程序
由于网页挂马的第一步是制作一个木马程序,具备较高编程水平的黑客通常会自己编写木马,这样就不容易被杀毒软件查杀;而不具备编程能力的黑客可以使用现成的木马程序,如黑洞、灰鸽子等,这些木马程序有很多变种,通过加壳、加花等伪装手段处理后也能够逃过杀毒软件的查杀。
下面以灰鸽子为例,演示黑客如何制作木马程序。
灰鸽子是国内著名的术马,也是反弹式木马的代表作,它不仅功能完善,而且使用方法非常简单,即使初学者也能轻易掌握。与其他木马程序一样,灰鸽子也有服务端和客户端,其中客户端又称为控制端,供黑客或系统管理员管理被控制的电脑及用来生成服务端;而服务端就是木马程序,将服务端安装至目标电脑后,目标电脑就可以被黑客或系统管理员控制。
木马免杀技术
现在,大多数用户都具备一些电脑安全知识,懂得安装杀毒软件来保护电脑的安全。为了使木马程序躲过杀毒软件的查杀,由此衍生出一个技术问题:木马免系。首先,我们先来了解杀毒软件查杀病毒的原理,不同品牌的杀毒软件所采用的技术各有不同,就原理而言大致可以分成特征代码识别和行为监测两种。
特征码识别是传统的查杀方法,杀毒软件公司获得病毒的样本后,对样本进行分析,并定义一段病毒特征码到病毒库中,然后通过在线更新等方式发送给杀毒软件,杀毒软件将病毒特征码与电脑中的文件进行对比,发现包含病毒特征码的文件则视为病毒。
行为监测是一种相对较新的反病毒技术,有的杀毒软件称之为启发式扫描或主动防御,它的原理是通过监测病毒程序的特定行为来发现病毒,这种技术可以及时发现新出现的、病毒库尚未定义的病毒。缺点是误报率较高,因此,大多数杀毒软件都把两种技术结合使用。
了解了杀毒软件查杀病毒的原理后,木马免杀的思路自然也就出来了,目前比较常用的木马免杀技术主要有加壳和加花,下面将分别进行介绍。
木马加壳
自然界中的病毒,除了核心部分的DNA或者RNA之外,还有一层蛋白质构成的外壳,用于保护核心不被破坏。在电脑程序中也有类似的外壳,运行一个带壳的程序时,外壳会首先运行,取得系统控制权后。运行受保护的程序。壳原本的作用是保护软件不被反编译和非法破解,由于壳的特殊性,黑客很快发现了壳也可以用来保护木马程序逃避杀毒软件的查杀。
Intemet 上各种加壳软件层出不穷,由于加壳操作并不复杂,使用这种方式免杀的关键在于尽可能选择最新出现的、不常见的壳,因为杀毒软件的更新相当迅速,一旦壳被成功破解后,便失去了保护的能力。
由于各种加壳程序的操作大同小异,下面以一个国产的加壳工具为例进行示范。
把加密后的代码放到PHP网站上进行测试,证实加密后PHP木马的功能完全正常。
网页挂马技术解析
本节对网页挂马技术进行详细分析,包括如何制作网页木马,如何将网页木马挂到入侵的网站上,并以实例演示黑客通过服务器程序漏洞挂马的过程。
制作网页木马
其实,制作网页木马就是精心构造一个特殊的网页,该网页利用浏览器或其他应用程序的安全漏洞,使用户在打开这个网页时,自动下载并安装黑客上传的木马程序。高明的黑客通常会根据最新出现的浏览器漏洞编写网页木马,这些需要黑客对脚本编程和系统安全都有一定的认识。然而网上有很多现成的网页木马生成器,使用这些软件,一个毫无编程基础的菜鸟也可以制作出网页木马。
虽然这些工具使用的通常都是已经公布有一段时间的安全漏洞,但是由于不少用户并没有及时更新补丁的习惯,因此使用网页木马生成器制作出来的木马仍然有相当大的危害。
网页木马生成器的使用方法大同小异,下面以顶狐网页木马为例,演示黑客是如何使用工具软件来制作网页木马。首先,黑客会将事先配置好的木马程序上传到网上,并且记下木马程序的URL。
通常会选择一些免费的主页空间或者网络硬盘空间。一些免费空间不允许上传.exe文件,不过这也难不倒黑客,只需把扩展名改成,bat或者.com就可以了。
运行网页木马生成器,设置木马程序的URL及要使用的安全漏洞,然后单击Make按钮,在网页木马生成器的文件夹里,就会生成一个或数个网页,这些就是网页木马,11-24。如果电脑里存在相应的安全漏洞,只要打开这些网页,就会感染黑客事先上传的木马程序。
需要注意的是,一些网页木马生成器本身带有木马,建议读者不要随便尝试,否则会让自己的电脑成为别人的“肉鸡”。
常用的网页挂马方式
网页木马完成制作后,接下来黑客就会想方设法把它扩散出去,以便获得大量的“肉鸡”,最常用也最有效的方法就是入侵流量较大的网站,然后把木马挂到网站上,这就是俗称的“挂马”,所有访问该网站的人都有可能成为受害者。此外,一些黑客还会自己建立一些非法的成人网站、破解软件下载网站,把网页木马挂到这些阿站上,利用人们猎奇的心理,达到传播木马的目的。
下面用一个简单的例子来演示挂马的原理。首先我们随意打开一个网页,然后将其保存下来用记事本打开这个网页,然后插入以下代码
保存后,双击打开修改后的网页,可以看到在打开的网页里出现了一个框架,显示的是http:Uwww.qq.com的内容,11- 25。如果把其中的网址改成网页木马的网址,然后width和height的值都设置为0,那么打开这个网页时,就会同时自动打开网页木马,而且由于长和宽都为O,受害者很难察觉。
黑客成功入侵某个网站,获得上传和编辑权限后,就可以将网页木马上传至任意一个可以访问的空间,然后修改受害网站的主页或者其他浏览量较大的页面,加入自动打开网页木马的代码。当浏览者打开被挂马的网站时,就会同时运行网页木马。
前面演示的仅仅是其中一种较为常用的挂马语句,其实类似这样的方法还有很多,例如使用JS脚本挂马、css挂马等,下面列举一些简单的演示代码。
使用iframe语句
防御网页挂马
网页挂马给浏览者造成损失,影响用户对网站的信任,指望黑客发善心显然不现实,不让黑客有可乘之机才是关键
黑客挂马需要获得网站webshell.只要做好网站的安全措施,就可以把木马的风险降到最低。
·设置严密的权限,上传目录只开放写入和读取权限,绝对不允许执行权限。
·防止SQL注入,及时修补注入漏洞,还可以使用网站防火墙硬件或软件过滤黑客的攻击,例如铱迅Web应用防火墙等。
·及时修补各种安全漏洞,尤其要关注ODay漏洞。即使暂时没有相应的补丁,通常也能获得临时的解决办法,不要给黑客入侵的机会。
·避免使用弱口令,在一些黑客入侵案例中,服务器和程序本身都根安全,但用户的安全意识薄弱却成了黑客的突破口。姓名拼音、生日之类的简单密码绝对不能使用,一个安全性差的密码可能会在几分钟内被破解。比较安全的密码应该是长度在10位以上的英文字母、数字加控制符的组合。
·网站数据库建议改名、管理目录及页面也要改名或删除,需要使用时再上传
扫描ASP木马
除了做好网站安全管理之外,还要定期对网站的页面进行检查,查看是否有黑客隐藏的后门。大中型网站的页面非常多,可以使用诸如雷客图ASP站长安全助手、铱迅网站木马Webshell扫描器这一类的网站安全工具来辅助检查。下面以雷客图为例,介绍扫描ASP木马的方法。
雷客图的使用很简单,将下载的Web目录上传到服务器,然后通过浏览器访问即可。为了安全起见,建议首次使用雷客圈时要修改密码,或者平时不用时删除之,需要使用时重新上传。
雷客图提供了ASP木马扫描功能,通过检查asp文件的行为、调用的函数及木马的可疑特征码等方式来发现可疑的ASP木马。
登录雷客图控制面板后,单击“查找ASP木马”按钮,然后输入要检查的路径,接着单击“开始扫描”按钮。扫描完毕,程序会列出可疑的文件及相关描述,站长可以根据这些信息对文件做进一步检查,查看是否存在木马,11·36。
需要注意的是,雷客图等网站安全工具仅起到辅助的作用,可能存在误报、漏报的情况,管理员需要根据自己的安全知识酌情处理。
批量清除网页挂马
有些木马带有批量挂马功能,可以一次性让网站所有页面都挂上木马,如果站长手动逐一清除,工作量非常大,这时,可以使用雷客图的批量清除网页木马功能快速完成这项工作,具体的操作步骤如下
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。