windows平台下ASP网站被挂马的原因及防范的研究

windows 平台下网站被挂马的原因与对策防范的研究

牟红睿

（新疆天业集团，新疆石河子 742500）

摘要：随着网络技术的不断发展，网络上的各种攻击技术也越来越隐密，方法更加多样化。网页挂马就是常用的攻击方式之一，本文通过分析网页中挂马的原理、类型及方式，以及网页挂马的原因，经过大量实践研究总结出服务器和客户端各种网页挂马的检测方法及防范对策。

关键字：网站挂马；原因；检测方法；防范对策；

随着计算机网络技术的不断发展，互联网安全形势也逐渐严峻，网络上的各种攻击手段也在变得越来越隐秘，方法也更多样化。根据《瑞星2012年中国信息安全综合报告》，2012年1至12月瑞星“云安全”系统截获挂马网站516万个网页，比2011年同期增加了48.7%[1]。网页挂马不仅对网站的安全运行造成威胁，而且对于用户来说，有可能造成个人信息泄露、各种账户及密码被窃取等严重恶劣影响。

1.网页挂马的原理

网站挂马又称之为网页隐藏式恶意连结,就是攻击者在正常的页面中插入一段伪代码，当浏览该网页时，这段代码就会被执行，同时下载并运行所调用的木马服务器端程序，进而控制浏览者的主机，以便对用户实施各种攻击[2]。作为网页挂马的散布者，其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。

2.网页挂木马的过程及挂马方法

网页挂马实际上一个html 网页而已，但它与其它网页不通的是该网页是经过精心制作的。当用户访问该网页时就会中木马，这些网页利用了浏览器漏洞或者操作系统漏洞等，让浏览器在后台自动下载指定位置的木马并安装或直接运行。这些过程都在后台运行，用户很难察觉的到。挂马只是一种手段，其目的是将木马传播出去。以远程控制为目的的木马，是为了得到大量的肉鸡，以此对某些网站实施控制和修改。以获取信息为目的的木马，是为了获取各种账号信息。

2.1网站挂马攻击过程

(1)将准备好的木马程序上传到申请的空间中，运行木马生成器，在“木马地址”中填入已经上传到空间中的木马网址，然后点击“生成网马”按钮，即可在程序的同目录生成一个网页木马。运行网马加密软件，在“欲加密的网页”中浏览选中生成的网页木马对其进行加密，最后将其上传到网页空间中，并保证和空间中的木马程序位于同一目录中。(2)黑客利用工具软件搜索有脚本缺陷或漏洞的网站进行入侵，得到网站的webshell ，然后利用各种挂马方式编辑网站首页的内容，插入相应的挂马代码。(3)当网站的浏览者浏览该网站时，浏览者点击某个连接或者浏览某个页面，就会转引到黑客预先设计好的木马连接陷阱。(4)

浏览者在不知情的情况下，本地图 2利用木马攻击过程

电脑会被植入木马程序，这段程序就会被执行，进而控制浏览者的主机，以便对用户施展各种攻击。(如图2所示网页挂马的过程图)。

挂马方式有很多，其原理就是在一个正常的网页中做一个指向存在木马的地址指向。以Script 挂马为例，Script标签用于定义客户端脚本，比如JavaScript。Script元素即可包含脚本语句，也可以通过src属性指向外部脚本文件。实现常见的图像操作、表单验证以及动态内容更新等。但是src的这个功能被攻击者的利用，比如在网页中插入

、等各种形式。黑客可以把木马植入muma.txt、shareto_button.js、ver.asp、mystat.asp等文件中，这就会导致用户在打开正常的页面是也访问了含有漏洞溢出的页面，虽然用户看不到这个页面，但这个页面却被执行了。

下面我们针对这种挂马流程做一个具体的过程：

首先，准备一款木马软件，比如PcShare、灰鸽子等，PcShare是一款功能强大的远程管理软件，可以在内网、外网任意位置随意管理需要的远程主机，有超强的隐藏和自我修复等功能。上传到黑客构建的服务器上，并记下可以通过Web访问的有效地址路径。

其次，编写一个网页木马。这个网页木马被执行后就会下载在第一步准备的木马软件。

最后，在正常的页面挂上前面准备好的木马了。就是利用Script指向你的网页木马的地址，这样当用户在访问正常页面时，网页木马也会得到执行。

2.2挂马方法

网页挂马中所使用的木马隐蔽性都很高。黑客为躲避杀毒软件对所挂木马的查杀，常使用2 种方法对所挂木马进行特殊处理:①加壳处理，即对源文件经过特殊的算法进行压缩、变形，经过这道工序后木马程序就会逃过大部分杀毒软件的查杀;②修改特征码，即黑客对木马中特征码部分的代码进行修改，将其加密或使用汇编指令将其跳转，致使杀毒软件无法找到病毒特征码，从而不能将其判定为病毒。常见的挂马方式如下:

Iframe框架挂马。Iframe是HTML语言标记，作用是文档中的文档，或者浮动的框架(FRAME)。黑客在一些正常的网页中设置一些高度或宽度为零的隐藏框架，这样用户在打开正常网页时候，看不到这个页面存在的木马地址指向，于是木马就被执行。

Javascript挂马。它的隐蔽性较iframe高，更难发现；而且javascript挂马时可以将脚本直接写在被挂的页面中，也可以通过注入网页，让网站远程调取异地的js脚本。javascript的灵活性较高，这让它拥有了一张随时可以变换的面孔，很容易蒙混过关，导致木马久杀不绝。比如在javascript代码中有一个Window的open功能， 。或者先将脚本代码保存为一个独立的js文件，并上传到一个黑客的服务器中，然后用一句语句就可以了。

CSS挂马。如今交互式的Web2.0网站越来越多，允许用户设置与修改的博客、SNS社区等这些互动性非常强的社区和博客中，往往会提供丰富的功能，并且会允许用户使用CSS层叠样式表来对网站的网页进行自由的修改。黑客在利用CSS挂马时，往往是借着网民对某些大网站的信任，将CSS恶意代码挂到博客或者其他支持CSS的网页中，当网民在访问该网页时恶意代码就会执行[3]。比如下面这段代码:

Body{Background-image:url('javascript:document。write('path'));}"background-image"在css中功能是定义页面背景图片，而这段代码可以通过"background-image"配合javascript代码让网页悄