分析并清除web服务器上的网页木马
来源:asp之家 发布时间:2009-05-28 08:36:00
很多朋友都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。有经验的朋友会知道这是网页恶意代码,但是自己打开的明明是正规网站,没有哪家正规网站会将病毒放在自己的网页上吧?那么是什么导致了这种现象的发生呢?其中最有可能的一个原因就是:这个网站被挂马了。
挂马这个词目前我们似乎经常能听到,那么什么是挂马呢?挂马就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到自己不可告人的目的。例如很多游戏网站被挂马,黑客的目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。下面就让我们来了解这种时下最流行的黑客攻击手段。
挂马的核心:木马
从“挂马”这个词中我们就可以知道,这和木马脱离不了关系。的确,挂马的目的就是将木马传播出去,挂马只是一种手段。挂马使用的木马大致可以分为两类:一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是为了得到大量的肉鸡,以此对某些网站实施拒绝服务攻击或达到其他目的(目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者)。另一类是键盘记录木马,我们通常称其为 * 木马,其目的不言而喻,都是冲着我们的游戏帐号或者银行帐号来的。目前挂马所使用的木马多数属于后者。
木马的免杀伎俩
作为挂马所用的木马,其隐蔽性一定要高,这样就可以让用户在不知不觉中运行木马,也可以让挂马的页面存活更多的时间。黑客为了让木马躲避杀毒软件的查杀,使用的伎俩很多。通常使用的方法有:
加壳处理:关于壳的概念我们曾经介绍过,就是为了让别人无法修改编译好的程序文件,同时压缩程序体积。木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀,这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀,但只局限于一些比较热门的加壳程序,例如aspack、UPX等,而碰上一些经过冷门加壳程序处理后的木马时,就无能为力了。所以加壳仍是黑客比较常用的免杀伎俩之一。
冷门的加壳程序
修改特征码:杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时,如果在程序中发现了病毒特征码,就将该程序判定为病毒。黑客当然也明白这个道理,于是他们会修改木马中被定为特征码的部分代码,将其加密或使用汇编指令将其跳转,这样杀毒软件就无法在木马中找到病毒特征码,自然也就不会将其判定为病毒了。
虽然这两种方法都可以躲过杀毒软件的查杀,但是我们还是有办法阻止木马运行的,具体方法将在防范部分讲到。那么木马是如何“挂”在网站上的呢?这里我们以“灰鸽子”木马为例,演示一下黑客挂马的过程。演示用的“灰鸽子”木马已经经过免杀处理,杀毒软件无法查杀。
猜你喜欢
- FlashFXP是一款优秀的FTP工具,但是很多朋友在使用过程中仅掌握其基本的上传/下载功能,其实在FlashFXP里面隐藏了很多实用的技巧
- 昨天特意去机房安装64位系统,带了一个250G新硬盘去。为了减少断网的时间,首先把硬盘分好区,把许多数据也拷到一个分区里。我用的是windo
- 一. 环境变量$PATH:Linux是一个多用户操作系统,每个用户都有自己专有的运行环境。用户所使用的环境由一系列变量所定义,这些变量被称为
- 如果你的VPS上有个文件要传到另一个VPS上,最最简单的方法有两种。一个是先下载到本地,然后上传到另一个VPS,这个方法的缺点是速度慢。另一
- 我不主张以任何恶意去推测站长,我也不赞同以坏蛋假设对待Google。当一个人的Google AdSense账号被停止后,发布者需要的是保持冷
- Quickstart Guide The Foreman installer is a collection of Puppet modul
- 如果您拥有移动网站并希望在上面展示 Google 广告,此指南可引导您逐步完成在移动网页上投放广告。要开始这一过程,首先请登录到 AdSen
- 怎样为Godaddy主机域名续费呢?你可使用Domain Manager来为某一个或者所有的域名续费。 To Renew Your Do
- MySQL是一个真正的多用户、多线程SQL数据库服务器。SQL(结构化查询语言)是世界上最流行的和标准化的数据库语言。MySQL是以一个客户
- 本文介绍了Centos6.9安装vsftpd并配置多用户的方法,分享给大家,具体如下:一、安装vsftpd#安装vsftpdyum -y i
- 配置httpd.conf 监听多个端口 # Listen: Allows you to bind Apache to specific IP
- 目前常用的文档格式有TXT、WORD、PDF等,对这些文档的搜索引擎优化方法比较简单,只要在文件标题和文档首页前面的一些文字信息中包含关键词
- 北京时间11月4日上午消息,据国外媒体报道,MySpace CEO欧文•范纳塔(Owen Van Natta)今天表示,M
- 1, 登录Godady 帐号2, 进入Hosting account list 管理主机列表3. &nbs
- 北京时间6月28日消息,美国谷歌公司开始在放置搜索广告方面使用用户最近搜索历史的信息,虽然广告的针对性有所提到,但是这将引发有关谷歌如何保护
- 中国站长站(chinaz.com)据赛迪网-IT技术报道:昨天在调试一个博客系统时遇到了http500错误,于是按照2003时的解决方法在I
- SimpleServer:WWW——一款设置简单的Windows平台基础服务器。AnalogX公司的SimpleServer:WWW服务器可
- 以下是我的一些经验,希望对你有用,但你要知道,绝对的安全是没有的。这才是一个网管存在的理由。所以。未雨绸缪是件好事。但亡羊补牢也不是下策。请
- 服务器安全狗Linux版(SafeDog for Linux Server)是为Linux服务器开发的一款服务器管理软件,它集成了系统参数快
- 这里提供的下载和安装步骤,一步步下来,由于家里机器是XP,终于到了添加扩展名那步,发现最后的确定总是disable的,难道XP的IIS不支持