网页挂马的原理

    网页挂马的基本原理是运用了操作系统缝隙、浏览器缝隙(各种以IE为核心的浏览器被攻击的可能性最高，由市场占有率决定)、浏览器相关插件的缝隙(比方Flash、adobeacrobat等，非常多见)。这些缝隙往往能够造成缓冲区溢出和权限提高，缝隙被运用，就能够履行攻击者设定的任意代码。

    常见的挂马类型

    结构挂马、js文件挂马、js变形加密、body挂马、荫蔽挂马、css中挂马、JAVA挂马、图片假装、假装调用、高级诈骗等。

    网页挂马的常见方法

    （1）将木马假装为页面元素。木马则会被浏览器主动下载到本地。

    （2）运用脚本运转的缝隙下载木马

    （3）运用脚本运转的缝隙开释隐含在网页脚本中的木马

    （4）将木马假装为缺失的组件，或和缺失的组件绑缚在一起（例如：flash播映插件）。这样既达到了下载的意图，下载的组件又会被浏览器主动履行。

    （5）经过脚本运转调用某些com组件，运用其缝隙下载木马。

    （6）在渲染页面内容的过程中运用格局溢出开释木马（例如：ani格局溢出缝隙）

    （7）在渲染页面内容的过程中运用格局溢出下载木马（例如：flash9.0.115的播映缝隙）

    怎么防备和检测网页挂马？

    网页木马的履行方法

    （1）运用页面元素渲染过程中的格局溢出履行shellcode进一步履行下载的木马

    （2）运用脚本运转的缝隙履行木马

    （3）假装成缺失组件的装置包被浏览器主动履行

    （4）经过脚本调用com组件运用其缝隙履行木马。

    （5）运用页面元素渲染过程中的格局溢出直接履行木马。

    （6）运用com组件与外部其他程序通讯，经过其他程序启动木马（例如：realplayer10.5存在的播映列表溢出缝隙）

    在与网页木马奋斗的过程中发现，为了逃避杀毒软件的检测，一些网页木马还具有了以下行为：

    --6.1修正系统时刻，使杀毒软件失效

    --6.2摘除杀毒软件的HOOK挂钩，使杀毒软件检测失效

    --6.3修正杀毒软件病毒库，使之检测不到歹意代码。

    --6.4经过溢出缝隙不直接履行歹意代码，而是履行一段调用脚本，以逃避杀毒软件对父进程的检测。

    怎么清除网页木马

    一旦中了网页木马，就看那些文件是最近修正正的，首要检查这些新文件，（从FTP中能够检查文件最近修正时刻。）然后进入源文件把相关的网页挂马种类的可疑代码删除。

    假如你对你所运用的网站程序不熟悉，主张删除所有文件（数据库、图片、文档、程序模板主题等文件夹能够保存）或者运用最初的备份网站文件进行全掩盖。


    假如你的网站还没有被挂马，请从防备开端吧。

    (1)：对网友开放上传附件功用的网站一定要进行身份认证，并只允许信赖的人运用上传程序。

    (2)：保证你所运用的程序及时的更新。

    (3)：不要在前台网页上加注后台管理程序登陆页面的链接。

    (4)：要时常备份数据库等重要文件，但不要把备份数据库放在程序默许的备份目录下。

    (5)：管理员的用户名和暗码要有一定复杂性，不能过于简略。