網(wǎng)頁(yè)掛馬全解析

近年來(lái)，網(wǎng)頁(yè)掛馬是黑客最常流行的攻擊方法之一，在2008-2010年期間，客戶端受到惡意網(wǎng)馬的年攻擊達(dá)到了千萬(wàn)級(jí)別，雖然這兩年網(wǎng)絡(luò)釣魚(yú)已經(jīng)在數(shù)量上超過(guò)了網(wǎng)頁(yè)掛馬攻擊，但是我們?nèi)匀徊荒艿粢暂p心，網(wǎng)頁(yè)掛馬危害仍然巨大，對(duì)網(wǎng)站的安全運(yùn)行造成威脅，對(duì)客戶端來(lái)說(shuō)，會(huì)直接造成賬號(hào)密碼的泄露和竊取，嚴(yán)重影響人們的生活。

那么我們現(xiàn)在來(lái)分析下常見(jiàn)的掛馬方式解析。

首先我們要理解，什么是網(wǎng)頁(yè)掛馬，網(wǎng)頁(yè)掛馬是指：把一個(gè)木馬程序上傳到一個(gè)網(wǎng)站里面然后用木馬生成器生一個(gè)網(wǎng)馬，再上到空間里面！再加代碼使得木馬在打開(kāi)網(wǎng)頁(yè)時(shí)運(yùn)行！

掛馬操作可以有多種方式實(shí)現(xiàn)，以下是比較常見(jiàn)的幾種掛馬攻擊手段。

1.框架掛馬

框架掛馬是指在網(wǎng)頁(yè)中創(chuàng)建一個(gè)寬度和高度都為0的框架，在訪問(wèn)網(wǎng)頁(yè)時(shí)，從網(wǎng)頁(yè)表面是無(wú)法通過(guò)肉眼看到這個(gè)框架的，只能通過(guò)網(wǎng)頁(yè)源碼分析或抓包的方式查看到相應(yīng)的數(shù)據(jù)信息。

2. JS文件掛馬

JS文件掛馬是指黑客插入JS代碼到網(wǎng)頁(yè)中，同時(shí)惡意篡改網(wǎng)站文件中的JS文件代。一般來(lái)講，那些被全站引用的JS代碼最容易被黑客掛馬。

3. JS變形加密

JS變形加密一般是使用某種加密方式對(duì)JS文件掛馬代碼進(jìn)行加密處理，黑客通過(guò)加密代碼的方式隱藏了該信息。

4. body掛馬

body掛馬是通過(guò)向body標(biāo)簽插入惡意代碼實(shí)現(xiàn)的，當(dāng)用戶訪問(wèn)掛有以上代碼的網(wǎng)頁(yè)時(shí)，頁(yè)面就會(huì)自動(dòng)跳轉(zhuǎn)去執(zhí)行黑客指定的惡意頁(yè)面，從而導(dǎo)致掛在惡意頁(yè)面的木馬在本地被執(zhí)行。

5. 隱蔽掛馬

黑客將一段Javascript代碼放在一些比較隱蔽的位置，當(dāng)頁(yè)面執(zhí)行時(shí)，會(huì)通過(guò)DOM操作的方式創(chuàng)建框架訪問(wèn)黑客指定的掛馬頁(yè)面，從而實(shí)現(xiàn)惡意代碼的執(zhí)行。

6. css中掛馬

黑客可以利用CSS代碼來(lái)實(shí)現(xiàn)掛馬，當(dāng)網(wǎng)頁(yè)代碼執(zhí)行到body部分時(shí)，會(huì)根據(jù)CSS定義的背景圖片地址進(jìn)行訪問(wèn)，而訪問(wèn)的內(nèi)容是通過(guò)javascript偽協(xié)議的方式執(zhí)行相應(yīng)的惡意代碼。

那么如何防御網(wǎng)頁(yè)掛馬呢？

對(duì)于普通用戶來(lái)說(shuō)，防范網(wǎng)頁(yè)掛馬攻擊可以從以下幾方面做起。

1. 使用較安全的操作系統(tǒng)版本及瀏覽器。Windows7的安全性和兼容性較Vista及先前版本有很大的提高，而且Windows7下IE8默認(rèn)開(kāi)啟了數(shù)據(jù)執(zhí)行保護(hù)(DEP)，可以在一定程度上保護(hù)客戶端系統(tǒng)免受惡意代碼的攻擊。同樣類(lèi)似，firefox、chrome瀏覽器也有一定的惡意網(wǎng)址和代碼攔截的功能。

2. 安裝安全防護(hù)軟件。網(wǎng)頁(yè)掛馬已經(jīng)流行多年，隨著安全服務(wù)廠商對(duì)網(wǎng)頁(yè)掛馬攻擊方式研究的不斷深入，目前大多數(shù)的安全防護(hù)軟件都具備惡意網(wǎng)址攔截和網(wǎng)馬攻擊攔截的功能，用戶只需要在客戶端環(huán)境中安裝安全防護(hù)軟件就可以對(duì)惡意網(wǎng)頁(yè)掛馬攻擊行為進(jìn)行攔截。

還有就是：

1.首先，用殺毒軟件掃描，或用站長(zhǎng)工具檢測(cè)，查出被掛馬的位置，刪除惡意代碼。

2.如果你對(duì)網(wǎng)站代碼比較熟悉的話，可以查看網(wǎng)站什么地方出現(xiàn)了新的代碼，然后刪除。網(wǎng)站掛馬主要是商業(yè)利益，賺取流量，盜取游戲賬號(hào)等目的，總之是有利可圖。一般黑客會(huì)把惡意代碼插入在網(wǎng)站首頁(yè)，因?yàn)槭醉?yè)是流量最大的地方。登錄網(wǎng)站后臺(tái)，點(diǎn)擊外觀，進(jìn)入index.phop，仔細(xì)排查代碼，和數(shù)據(jù)庫(kù)的源文件比對(duì)。

3.平時(shí)要養(yǎng)成做好網(wǎng)站數(shù)據(jù)庫(kù)備份的習(xí)慣，當(dāng)遇到網(wǎng)站被攻擊，無(wú)法防護(hù)時(shí)，就可以直接還原數(shù)據(jù)庫(kù)的資料。wodpress程序搭建的網(wǎng)站使用wp-db-backcp插件進(jìn)行備份，并需要綁定郵箱接收網(wǎng)站數(shù)據(jù)庫(kù)信息。

4.用FTP工具登錄網(wǎng)站，通過(guò)查看網(wǎng)站目錄修改時(shí)間，通過(guò)時(shí)間進(jìn)行判斷掛馬文件。

5.如果以上3種方法都無(wú)法檢測(cè)出來(lái)惡意代碼，就只能用urlsnooper軟件進(jìn)行查殺。

6.普通的掛馬還好處理，要是數(shù)據(jù)庫(kù)掛馬了就很頭疼，即使你重新做一個(gè)網(wǎng)站還是沒(méi)用的。

7.建議大家在購(gòu)買(mǎi)網(wǎng)站空間的時(shí)候，盡量選擇信譽(yù)、安全系數(shù)較高的供應(yīng)商。

好了，以上就是網(wǎng)頁(yè)掛馬的全解析，還有一些方法，希望能給朋友們一些好的啟發(fā)。