网页挂马是指歹意攻击者攻击WEB网站后,在网页中嵌入一段代码或脚本,用于主动运转带有特定意图木马程序,而歹意攻击者施行歹意代码或脚本植入的行为一般称为“挂马”。
网页挂马的原理
网页挂马的基本原理是运用了操作系统缝隙、浏览器缝隙(各种以IE为核心的浏览器被攻击的可能性最高,由市场占有率决定)、浏览器相关插件的缝隙(比方Flash、adobeacrobat等,非常多见)。这些缝隙往往能够造成缓冲区溢出和权限提高,缝隙被运用,就能够履行攻击者设定的任意代码。
常见的挂马类型
结构挂马、js文件挂马、js变形加密、body挂马、荫蔽挂马、css中挂马、JAVA挂马、图片假装、假装调用、高级诈骗等。
网页挂马的常见方法
(1)将木马假装为页面元素。木马则会被浏览器主动下载到本地。
(2)运用脚本运转的缝隙下载木马
(3)运用脚本运转的缝隙开释隐含在网页脚本中的木马
(4)将木马假装为缺失的组件,或和缺失的组件绑缚在一起(例如:flash播映插件)。这样既达到了下载的意图,下载的组件又会被浏览器主动履行。
(5)经过脚本运转调用某些com组件,运用其缝隙下载木马。
(6)在渲染页面内容的过程中运用格局溢出开释木马(例如:ani格局溢出缝隙)
(7)在渲染页面内容的过程中运用格局溢出下载木马(例如:flash9.0.115的播映缝隙)
怎么防备和检测网页挂马?
网页木马的履行方法
(1)运用页面元素渲染过程中的格局溢出履行shellcode进一步履行下载的木马
(2)运用脚本运转的缝隙履行木马
(3)假装成缺失组件的装置包被浏览器主动履行
(4)经过脚本调用com组件运用其缝隙履行木马。
(5)运用页面元素渲染过程中的格局溢出直接履行木马。
(6)运用com组件与外部其他程序通讯,经过其他程序启动木马(例如:realplayer10.5存在的播映列表溢出缝隙)
在与网页木马奋斗的过程中发现,为了逃避杀毒软件的检测,一些网页木马还具有了以下行为:
--6.1修正系统时刻,使杀毒软件失效
--6.2摘除杀毒软件的HOOK挂钩,使杀毒软件检测失效
--6.3修正杀毒软件病毒库,使之检测不到歹意代码。
--6.4经过溢出缝隙不直接履行歹意代码,而是履行一段调用脚本,以逃避杀毒软件对父进程的检测。
怎么清除网页木马
一旦中了网页木马,就看那些文件是最近修正正的,首要检查这些新文件,(从FTP中能够检查文件最近修正时刻。)然后进入源文件把相关的网页挂马种类的可疑代码删除。
假如你对你所运用的网站程序不熟悉,主张删除所有文件(数据库、图片、文档、程序模板主题等文件夹能够保存)或者运用最初的备份网站文件进行全掩盖。
假如你的网站还没有被挂马,请从防备开端吧。
(1):对网友开放上传附件功用的网站一定要进行身份认证,并只允许信赖的人运用上传程序。
(2):保证你所运用的程序及时的更新。
(3):不要在前台网页上加注后台管理程序登陆页面的链接。
(4):要时常备份数据库等重要文件,但不要把备份数据库放在程序默许的备份目录下。
(5):管理员的用户名和暗码要有一定复杂性,不能过于简略。