教你如何清除WEB服務器木馬

很多朋友都碰到過這樣的現象：打開一個網站，結果頁面還沒顯示，殺毒軟件就開始報警，提示檢測到木馬病毒。有經驗的朋友會知道這是網頁病毒，但是自己打開的明明是正規網站，沒有哪家正規網站會將病毒放在自己的網頁上吧？那麼是什麼導致了這種現象的發生呢？其中最有可能的一個原因就是：這個網站被掛馬了。 掛馬這個詞目前我們似乎經常能聽到，那麼什麼是掛馬呢？掛馬就是黑客入侵了一些網站後，將自己編寫的網頁木馬嵌入被黑網站的主頁中，利用被黑網站的流量將自己的網頁木馬傳播開去，以達到自己不可告人的目的。例如很多遊戲網站被掛馬，黑客的目的就是盜取瀏覽該網站玩家的遊戲賬號，而那些大型網站被掛馬，則是爲了蒐集大量的肉雞。網站被掛馬不僅會讓自己的網站失去信譽，丟失大量客戶，也會讓我們這些普通用戶陷入黑客設下的陷阱，淪爲黑客的肉雞。下面就讓我們來了解這種時下最流行的黑客攻擊手段。 掛馬的核心：木馬 從“掛馬”這個詞中我們就可以知道，這和木馬脫離不了關係。的確，掛馬的目的就是將木馬傳播出去，掛馬只是一種手段。掛馬使用的木馬大致可以分爲兩類：一類是以遠程控制爲目的的木馬，黑客使用這種木馬進行掛馬攻擊，其目的是爲了得到大量的肉雞，以此對某些網站實施拒絕服務攻擊或達到其他目的（目前絕大多數實施拒絕服務攻擊的傀儡計算機都是掛馬攻擊的受害者）。另一類是鍵盤記錄木馬，我們通常稱其爲盜號木馬，其目的不言而喻，都是衝着我們的遊戲帳號或者銀行帳號來的。目前掛馬所使用的木馬多數屬於後者。 木馬的免殺伎倆 作爲掛馬所用的木馬，其隱蔽性一定要高，這樣就可以讓用戶在不知不覺中運行木馬，也可以讓掛馬的頁面存活更多的時間。黑客爲了讓木馬躲避殺毒軟件的查殺，使用的伎倆很多。通常使用的方法有： 加殼處理：關於殼的概念我們曾經介紹過，就是爲了讓別人無法修改編譯好的程序文件，同時壓縮程序體積。木馬經過加殼這一道工序後就有可能逃過殺毒軟件的查殺，這也是爲什麼我們裝了殺毒軟件還會感染老病毒的原因。雖然目前的殺毒軟件都支持對程序脫殼後再查殺，但只侷限於一些比較熱門的加殼程序，例如aspack、UPX等，而碰上一些經過冷門加殼程序處理後的木馬時，就無能爲力了。所以加殼仍是黑客比較常用的免殺伎倆之一。 冷門的加殼程序 修改特徵碼：殺毒軟件是根據病毒特徵碼來判定一個程序是否是病毒的。殺毒軟件在對程序進行檢測時，如果在程序中發現了病毒特徵碼，就將該程序判定爲病毒。黑客當然也明白這個道理，於是他們會修改木馬中被定爲特徵碼的部分代碼，將其加密或使用匯編指令將其跳轉，這樣殺毒軟件就無法在木馬中找到病毒特徵碼，自然也就不會將其判定爲病毒了。 雖然這兩種方法都可以躲過殺毒軟件的查殺，但是我們還是有辦法阻止木馬運行的，具體方法將在防範部分講到。那麼木馬是如何“掛”在網站上的呢？這裏我們以“灰鴿子”木馬爲例，演示一下黑客掛馬的過程。演示用的“灰鴿子”木馬已經經過免殺處理，殺毒軟件無法查殺。 潛伏的攻擊者：網頁木馬 爲什麼我們一打開網頁就會運行木馬程序，木馬又是如何“掛”在網站上的呢？這就要涉及“網頁木馬”這個概念。 網頁木馬就是將木馬和網頁結合在一起，打開網頁的同時也會運行木馬。最初的網頁木馬原理是利用IE瀏覽器的ActiveX控件，運行網頁木馬後會彈出一個控件下載提示，只有點擊確認後纔會運行其中的木馬。這種網頁木馬在當時網絡安全意識普遍不高的情況下還是有一點使用價值的，但是其缺點是顯而易見的，就是會出現ActiveX控件下載提示。當然現在很少會有人去點擊那莫名其妙的ActiveX控件下載確認窗口。 在這種情況下，新的網頁木馬誕生了。這類網頁木馬通常利用了IE瀏覽器的漏洞，在運行的時候沒有絲毫提示，因此隱蔽性極高。可以說，正是IE瀏覽器層出不窮的漏洞造成了如今網頁木馬橫行的網絡。例如最近的IE瀏覽器漏洞MS06-014，就可以利用來製作一個絕對隱蔽的網頁木馬。下面讓我們看看利用MS06-014製作網頁木馬的過程。 網頁木馬當然得有木馬程序，這裏我們使用上文中提到的“灰鴿子”木馬。然後我們要下載一個MS06-014網頁木馬生成器。接着還要一個網頁空間，三者準備完畢後，就可以開始測試了。 生成網頁木馬 首先將木馬程序上傳到網頁空間中。運行“MS06-014木馬生成器”，在“木馬地址”中填入已經上傳到空間中的木馬網址，並勾選下方的“是否隱藏源碼”選項。這個選項的作用是當網頁木馬運行後，會自動清空網頁源文件，用戶即使起了疑心也無法找到痕跡。當然清空的是用戶打開的源文件，而網頁木馬卻不受影響。點擊“生成網馬”按鈕即可在程序的同目錄生成一個名爲muma.htm的網頁木馬。 配置網頁木馬 繼續進行網頁木馬的配置，在“欲加密的網頁”中瀏覽選中生成的網頁木馬。網頁木馬在運行時會利用IE的漏洞，其中肯定存在漏洞利用代碼，這些代碼會被殺毒軟件檢測出來，因此要想隱蔽地運行網頁木馬，加密木馬程序還不夠，還需對網頁木馬進行加密。“MS06-014木馬生成器”的“加密方式”中提供了四種網頁的加密方式，分別是：空字符加密、轉義字符加密、Escape加密和拆分特徵碼。這裏我們使用“轉義字符加密”加密方式，選中“轉義字符加密”選項後點擊“加密”按鈕，免殺的網頁木馬就生成了。將該加密過的網頁木馬上傳到網頁空間中即可。 尋找缺陷網站，寫入網頁木馬 網頁木馬準備完畢，就等着尋找掛馬的目標網站了。此時黑客會到處搜索，尋找有腳本缺陷的網站程序，找到後利用網站程序的漏洞入侵網站，並得到網站的一個webshell。這時我們可以編輯網站首頁的內容，將掛馬的代碼插入即可。代碼爲： src="/muma.htm"; width="0" height="0" frameborder="0">，src參數後面的是網頁木馬的地址。當我們打開這個網站的首頁後，會彈出網頁木馬的頁面，這個頁面我們是無法看到的，因爲我們在代碼中設置了彈出頁面的窗口長寬各爲0。此時木馬也已經悄悄下載到本機並運行了。我們可以看到，網站的首頁顯示正常，殺毒軟件並沒有任何反應，而木馬卻已經運行了，可見木馬的隱蔽性很高，危害也相當嚴重。成功運行木馬 剷除網站“掛馬”毒瘤 “掛馬”攻擊已經成爲目前最流行的攻擊方式，面對數量龐大的“掛馬”網站，我們該如何防禦呢？作爲一名網站站長，我們又如何知道自己的網站被人掛馬了呢？ 站長防範：如果你是一名站長，可以對網站首頁以及其他主要頁面的源代碼進行檢查，用記事本打開這些頁面後，以“>”爲關鍵字進行搜索，找到後可以查看是否是掛馬代碼。不過碰上有經驗的黑客，會編寫一段代碼將整句掛馬代碼進行加密，這樣我們就很難找到網頁中的掛馬代碼。這時可以將所有網頁文件按修改時間進行排序，如果有個別網頁被修改，我們可以很快地發現。 當然，最好的辦法就是設置好網站的權限，對於使用動態語言編寫的網站，一般對網頁文件是不需要改動的，所有的數據都存儲在數據庫中。因此我們可以只對數據庫所在的文件夾設置寫權限，而對整個網站文件夾設置只讀權限，這樣即使網站存在漏洞，黑客也別想通過腳本漏洞入侵網站，更別說在主頁上掛馬了。 普通用戶防範：普通用戶關心的自然是如何防範“掛馬”攻擊。既然殺毒軟件在網頁木馬面前成了“睜眼瞎”，而我們又無法感知網站是否被“掛馬”。在這種情況下，我們豈不是任人宰割？我們已經知道網頁木馬的運行原理利用了IE瀏覽器的漏洞，因此只要我們及時更新系統補丁就可以讓網頁木馬失效了。開啓系統“自動更新”的方法爲：右鍵點擊“我的電腦”，選擇“屬性”，切換到“自動更新”標籤，選中其中的“自動（推薦）”即可。此外我們也可以使用“360安全衛士”等具有補丁更新功能的軟件。運行“360安全衛士”後，點擊“修復”→修復系統漏洞，即可查看系統的補丁狀態，勾選未安裝的補丁下載即可。使用“360安全衛士”更新補丁 殺毒軟件在網頁木馬前失去了作用，不代表我們就拿它沒轍。我們可以使用一款名爲System Safety Monitor（以下簡稱爲SSM）的軟件，在它的監控下，沒有一個木馬病毒可以躲過它的眼睛。安裝完畢後運行，其自動最小化到系統任務欄，開始對系統進行監控。SSM的監控功能相當強悍，系統內部的一些操作也會被監控並提醒。讓我們看看SSM對付這種加密過的網頁木馬效果如何，打開掛有木馬的網頁。SSM馬上彈出了一個攔截警告框，從警告窗口的內容中我們可以看到，iexplore.exe進程試圖啓動zi1224.com程序，其意思是IE瀏覽器想運行zi1224.com這個可執行程序。IE瀏覽器對於可執行程序是提示下載的，而不會直接運行，由此可見其中的貓膩，此時我們點擊“拒絕”按鈕就可以阻止網頁木馬的運行了。SSM的監控原理和殺毒軟件不同，其最大特點是可以監控到所有的網頁木馬，由於其使用較一般安全軟件來得複雜，因此建議中高級用戶使用。