专家教你如何进行网站挂马检测与清除.docx
《专家教你如何进行网站挂马检测与清除.docx》由会员分享,可在线阅读,更多相关《专家教你如何进行网站挂马检测与清除.docx(8页珍藏版)》请在冰豆网上搜索。
专家教你如何进行网站挂马检测与清除
专家教你如何进行网站挂马检测与清除
2009-06-2210:
15出处:
比特网作者:
陈小兵【我要评论(0)】
[导读]不完全统计,90%的网站都被挂过马,挂马是指在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码..
3.对地址进行解码
该地址采用了一种编码,我对常用的这种编码值进行了整理,如下表所示,从中可以找出该代码中的真实地址为。
表1编码对应表
原值
解码前的值
原值
解码前的值
原值
解码前的值
backspace
%08
I
%49
u
%75
tab
%09
J
%4A
v
%76
linefeed
%0A
K
%4B
w
%77
creturn
%0D
L
%4C
x
%78
space
%20
M
%4D
y
%79
!
%21
N
%4E
z
%7A
"
%22
O
%4F
{
%7B
#
%23
P
%50
|
%7C
$
%24
Q
%51
}
%7D
%
%25
R
%52
&
%26
S
%53
'
%27
T
%54
(
%28
U
%55
)
%29
V
%56
*
%2A
W
%57
+
%2B
X
%58
%2C
Y
%59
-
%2D
Z
%5A
.
%2E
[
%5B
/
%2F
\
%5C
0
%30
]
%5D
1
%31
^
%5E
2
%32
_
%5F
3
%33
`
%60
4
%34
a
%61
5
%35
b
%62
6
%36
c
%63
7
%37
d
%64
8
%38
e
%65
9
%39
f
%66
:
%3A
g
%67
;
%3B
h
%68
<
%3C
i
%69
=
%3D
j
%6A
>
%3E
k
%6B
?
%3F
l
%6C
@
%40
m
%6D
A
%41
n
%6E
B
%42
o
%6F
C
%43
p
%70
D
%44
q
%71
E
%45
r
%72
F
%46
s
%73
G
%47
t
%74
H
%48
u
%75
4.获取该网站相关内容
可以使用Flashget的资源管理器去获取该网站的内容,如图4所示,打开Flashget下载工具,单击“工具”-“站点资源探索器”,打开站点资源探索器,在地址中输入“”,然后回车即可获取该网站的一些资源,在站点资源探索器中可以直接下载看见的文件,下载到本地进行查看。
图4使用“站点资源探索器”获取站点资源
说明:
使用“Flashget站点资源探索器”可以很方便的获取挂马者代码地址中的一些资源,这些资源可能是挂马的真实代码,透过这些代码可以知道挂马者是采用哪个漏洞,有时候还可以获取0day。
在本例中由于时间较长,挂马者已经撤销了原来的挂马程序文件,在该网站中获取的html文件没有用处,且有些文件已经不存在了,无法对原代码文件进行分析。
5.常见的挂马代码
(1)框架嵌入式网络挂马
网页木马被攻击者利用iframe语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的的一种网络挂马技术。
通常的挂马代码如下:
解释:
在打开插入该句代码的网页后,就也就打开了
(2)Js调用型网页挂马
js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术,如:
黑客先制作一个.js文件,然后利用js代码调用到挂马的网页。
通常代码如下:
(3)图片伪装挂马
随着防毒技术的发展,黑手段也不停地更新,图片木马技术逃避杀毒监视的新技术,攻击者将类似:
注:
当用户打开
(4)网络钓鱼挂马(也称为伪装调用挂马)
网络中最常见的欺骗手段,黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页,利用社会工程学欺骗方法,引诱点击,当用户打开一个看似正常的页面时,网页代码随之运行,隐蔽性极高。
这种方式往往和欺骗用户输入某些个人隐私信息,然后窃取个人隐私相关联。
比如攻击者模仿腾讯公司设计了一个获取QQ币的页面,引诱输入QQ好和密码,如图5所示。
等用户输入完提交后,就把这些信息发送到攻击者指定的地方,如图6。
图5伪装QQ页面
图6获取的QQ密码
(5)伪装挂马
高级欺骗,黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术,当用户访问木马页面时地址栏显示
(二)清除网站中的恶意代码(挂马代码)
1.确定挂马文件
清除网站恶意代码首先需要知道哪些文件被挂马了,判断方法有三个,方法一就是通过直接查看代码,从中找出挂马代码;方法二是通过查看网站目录修改时间,通过时间进行判断;方法三使用本文提到的软件进行直接定位,通过监听找出恶意代码。
在本案例中,网站首页是被确认挂马了,通过查看时间知道被挂马时间是8月25日左右,因此可以通过使用资源管理器中的搜索功能,初步定位时间为8月24日至26日,搜索这个时间范围修改或者产生的文件,如图7,图8所示,搜索出来几十个这个时间段的文件。
图7搜索被修改文件
图8搜索结果
2.清除恶意代码
可以使用记事本打开代码文件从中清除恶意代码,在清除代码时一定要注意不要使用FrontPage的预览或者设计,否则会直接访问挂马网站,感染木马程序。
建议使用记事本等文本编辑器。
在清除恶意代码过程中,发现挂马者竟然对js文件也不放过,如图9所示。
图9对js文件进行挂马
技巧:
可以使用Frontpage中的替换功能替换当前站点中的所有指定代码。