网页被植入恶意后门或者暗链、挂马的背后

1、 简单挂马

首页被挂马,登录网站后,杀毒软件报警,检查后,发现首页index.asp检查,底部出现,清理掉后,页面即正常,这种挂马主要以直接修改首页文件为主,容易发现和清理。

2、 网页后门挂马

登录网站任何页面都出现杀毒报警,按之前的方法查看index.asp,并且去掉了iframe语句。但却发现问题依然存在,于是查看其他文件才发现,所有文件全部加上了挂马语句,即使恢复了首页,但用户访问其他页面的时候依然会蹦出病毒提示。采用备份文件覆盖恢复,重装操作系统等方法都实验以后,隔天后可能再出现被挂马的情况,此时应怀疑属于网页后门导致,于是检查所有asp程序文件,攻击者往往会采用一些双扩展名的文件存放在,例如图片目录当中,xxxx.jpg.asp文件,打开来看代码类似于<%execute request("sb")%> 这样的语句,明显是一句话后门,从文件名来判断,这种伪装图片的后缀上来的文件,应怀疑是提交图片功能存在上传漏洞,建议停用或者采用云锁进行过滤和检查网页木马。

3、 数据库挂马

访问首页病毒报警,全盘查找,没有发现首页和其他文件被篡改,如果对比所有文件的md5,发现文件没有任何篡改的迹象,也就是说文件还是那些文件,为啥会出现挂马页面呢?可以考虑检查数据库中表单是否被挂马,网页木马并没有挂在文件里,而是挂在数据库内容里。原理是首页调用活动新闻的时候,从数据库里读出表单内容,形成网页,因此读取的地方被插入了挂马语句,通过日志分析可以看到类似sql注入漏洞的log:

http://www.aa.com/news.asp?id=8 '

http://www.aa.com/news.asp?id=8 and 1=1—

http://www.aa.com/news.asp?id=8 and 1=2--

可能最初会有一些探测语句。最后发现挂马的动作:

http://www.aa.com/news.asp?id=8 ‘ update news set ziduan='’ where id=8’

从此判断应该是news.asp存在注入问题,因此加入对变量类型判断和关键字过滤等工作,再将数据库中的挂马字段进行修改。可用云锁轻松拦截这些语句。

4、 文件调用挂马

应查看被调用的其他页面,常见的conn.asp等被包含的文件,有可能被插入后门,为啥修改这一个文件就能这么大威力呢?因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查,例如数据库日志寻找一下是否有类似执行master..xp_cmdshell的记录,攻击者可能利用该扩展功能执行了系统命令来修改了文件,建议修改数据库口令,把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽,只允许本机访问。用云锁的防火墙功能进行拦截,并且可以扫描出被挂马的文件。

5、 arp挂马

用户反映访问网站的时候,杀毒软件提示病毒,但是登录服务器自己访问http://127.0.0.1或本地ip,却没有发现被挂马,但是所有用户通过域名去访问,就会有提示,可以通过服务器上进行抓包分析,检查是否能发现大量arp包,这种arp包通常是将服务器的mac地址转向另一个ip,利用arp协议进行挂马,这种情况的花需要在交换机上进行mac和ip地址绑定,在交换机上进行配置以后。

6、 域名劫持挂马

直接在服务器通过ip访问就正常,用户通过域名访问就是提示有病毒,此时ping 自己网站域名的时候,如果显示的ip和真实的不一样,需要赶紧查看域名解析是否被修改,登录域名管理后台,修改为正常的,并且修改管理密码。

7、 后台程序挂马

更新网页的后台程序,一般会使用一些熟悉的路径,例如:

http://www.xxx.com/admin/

http://www.xxx.com/login/

http://www.xxx.com/manage/

这种后台程序的链接虽然不公开给用户,但是经常容易被猜到,那么这种情况下,后台的用户名密码可以利用暴力破解的工具来穷举,理论上说破解只是时间问题,攻击者登录后台以后,就可以很方便的直接修改内容进行挂马,往往修改后台地址路径是个很费劲的工作,因为修改路径以后还需要考虑调整其他相关的程序,路径都要改成一致,可以利用云锁www.yunsuo.com.cn的重定向功能完成。

网页被植入恶意后门或者暗链、挂马,虽然看起来直接影响的是网站访问者,但实际上网站也会产生损失,例如搜索引擎的排名由于反复的中毒、关机重装导致迅速滑落位置,甚至有时候直接被提醒含有恶意代码,客户久而久之也会慢慢流逝,所以需要尽早利用云锁来解决这些问题。

时间: 2024-11-03 22:30:23

网页被植入恶意后门或者暗链、挂马的背后的相关文章

天气预报网站被爆大最植入恶意木马

中介交易 SEO诊断 淘宝客 云主机 技术大厅 国家计算机病毒应急处理中心通过互联网络监测发现,近期连续出现众多与天气有关的WEB网站被植入恶意木马的现象. 这些WEB网站常常会以"高温预警"为主题,实际却是一个带有假冒插件的恶意WEB网站.一旦计算机用户点击进入该网页后,会可能导致计算机用户的操作系统自动下载捆绑其他病毒.木马等恶意程序的插件,最终导致计算机用户的私密数据信息被窃取. 恶意攻击者往往利用这些WEB网站自身的漏洞或管理缺陷,对网站进行网页挂马,而且一般情况下挂马的周期很

恶意网页之注册表后门—注册表使用全攻略之十九_注册表

恶意网页之注册表后门-注册表使用全攻略之十九 浏览器顽固不改, 修改注册表成功,重新启动后又恢复到被修改的状态 主要是修改注册表后留后门,目的让你修改注册表好像成功,重新启动后又恢复到被修改的状态. 这主要是在启动项里留了后门,大家可以打开注册表到 HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Micro

疯狂的黑帽SEO 随着暗链流失的搜索引擎排名

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 提到暗链,大家就会想到"暗恋"!,但这里我们所要说的不是"暗恋"而是"暗链".暗链又称"黑链".黑客在页面上植入暗链的攻行行为被称为"暗链攻击". 暗链通常是指黑客在入侵网站获取网站控制权限后,在网页中植入链接信息等代码.暗链的实现原理很简单,

浅谈明链和暗链的操作

越来越多的人重视友情链接,因为链接对于一个网站PR的提升和流量的引入起到至关重要的作用.友情链接简分为明链和暗链,这两种链接的含义可以从字面简单理解,明链就是可以看见的链接.暗链有的是可以看见的链接,有的则是隐藏的链接.具体这两种链接怎么操作,笔者试图从以下几个方面分析,如果不对请斧正. 1.链接之前的注意事项 许多新手站长在建站初期不去努力丰富网站内容,往往去大量交换友情链接,唯恐别人不知道自己的网站,但效果却很差,一方面因为自己的网站权重低,流量低,别的网站不愿意交换链接.另一方面,即使交换

近日流量增加 多个高校网站被植入恶意木马

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 国家计算机病毒应急处理中心14日通报,通过对互联网的监测发现,近期在互联网络中连续出现很多高校的Web网站被植入恶意木马的现象. 高考刚刚结束,正是考生和家长访问各大高校网站,获取填报志愿信息的时期,用户访问高校Web网站的频率增高,浏览量增大.一旦考生和家长访问了被植入恶意木马的高校网站,就会受到恶意木马的入侵感染而被恶意攻击者远程控制,进

浅谈高校网站为何经常被植入恶意木马

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 国家计算机病毒应急处理中心14日通报,通过对互联网的监测发现,近期在互联网络中连续出现很多高校的Web网站被植入恶意木马的现象. 高考刚刚结束,正是考生和家长访问各大高校网站,获取填报志愿信息的时期,用户访问高校Web网站的频率增高,浏览量增大. 一旦考生和家长访问了被植入恶意木马的高校网站,就会受到恶意木马的入侵感染而被恶意攻击者远程控制,

大量招聘Web网站被植入恶意木马

据新华社电 国家计算机病毒应急处理中心通过对互联网的监测发现,近期在互联网络中连续出现各类招聘Web网站被植入恶意木马的现象,提醒用户小心谨防. 专家说,春节长假过后是各大企业招聘的高峰期,大量求职人员上网查询企业招聘用工的相关事宜,访问一些地方门户网站.人才类网站.企业官网和招聘论坛,互联网络中求职者访问招聘Web网站的频率大大增高.由于这些网站的安全系数较低,往往很容易被恶意攻击者利用,黑客借助这些Web网站存在的诸多漏洞进行网页挂马,植入恶意木马程序. 专家说,一旦求职者访问了被挂马的招聘

恶意邮件附件病毒或恶意后门程序用户需小心谨慎

国家计算机病毒应急处理中心通过对互联网的监测发现,近期计算机用户受到一些恶意电子邮件的威胁,其附件是病毒或是恶意后门程序,提醒用户小心谨防. 通常情况,恶意电子邮件的附件会是.zip..rar等压缩附件形式嵌入到电子邮件中,而该恶意电子邮件的附件为.htm (H T M L)格式的网页文件,并且在其编码中嵌入了伪装的脚本程序. 专家说,一旦计算机用户点击电子邮件附件,网页文件中伪装的脚本程序会将操作系统中的浏览器IE重定向到一个嵌入恶意木马程序的软件Web站点上.与此同时,恶意脚本程序会注入We

恶意电子邮件其附件是病毒或是恶意后门程序

国家计算机病毒应急处理中心通过对互联网的监测发现,近期计算机用户受到一些恶意电子邮件的威胁,其附件是病毒或是恶意后门程序,提醒用户小心谨防. 通常情况,恶意电子邮件的附件会是.zip.rar等压缩附件形式嵌入到电子邮件中,而该恶意电子邮件的附件为.htm (HTML)格式的网页文件,并且在其编码中嵌入了伪装的脚本程序. 专家说,一旦计算机用户点击电子邮件附件,网页文件中伪装的脚本程序会将操作系统中的浏览器IE重新定向到一个嵌入恶意木马程序的软件Web站点上.与此同时,恶意脚本程序会注入Web网页