论文部分内容阅读
本文可以学到
1 网络挂马的类型
2 网站是如何被入侵的
3 如何防御网页木马后门
4 如何清理被挂木马
本文涉及软件
老兵6.0ASP网页木马
软件大小:23KB
授权方式: 免费
下载地址:http://www.sj00.com/soft/39124.htm
雷客图ASP站长安全助手
软件大小:94KB
授权方式:共享
下载地址:http://www.feitec.com/ShowSoft.asp?id=209
相关知识
什么是网页木马
当用户浏览某网页时,自动下载并运行某一“木马”程序,进而通过该程序实施控制或窃取机密信息。
网页后门木马和网页木马的区别
网页后门木马和网页木马最大的区别是后门木马是为黑客操控(修改)用户网页的工具,而网页木马是为向其他访问网页的用户种植木马的工具。
先了解一下网页挂马的几种类型:
潜入式网络挂马:
网页木马被攻击者利用iframe语句,加载到任意网页中都可运行的一种通用挂马形式,是最早的一种网络挂马技术。
js调用型网页挂马
js挂马是一种利用js脚本文件调用的原理进行的网页木马隐藏挂马技术,如:黑客首先制作一个.js文件,然后利用js代码调用到挂马的网页:
图片伪装挂马
随着防毒技术的发展,黑客的手段也不停的更新,图片挂马就是为逃避杀毒监视的新技术,攻击者将http://www.xxx.com/a.htm中的木马代码植入到a.gif图片文件中,再利用代码调用执行,是比较新颖的一种挂马隐藏方式。
如:
注:当用户打开http://www.xxx.com时,显示给用户的是http://www.xxx.com/a.gif图片,而http://www.xxx.com/a.htm网页木马代码也随之启动。
网络钓鱼挂马(也称伪装调用挂马)
网络上最常见的欺骗手段,黑客们利用伪装技术,当用户打开一个看似正常的页面时,网页木马随之运行,隐蔽性较高。
伪装挂马进化
高级欺骗,黑客利用IE或者Firfox浏览器的设计缺陷制造的一种高级欺骗技术,当用户访问木马页面时地址栏显示www.sina.com或www.cctv.com等用户信任地址,从而实现欺骗。
小提示
高级欺骗类型的网络挂马,是利用浏览器的漏洞实现的,如使用的是最新版IE7.0和Firfox浏览器则失效。
时间:2008年1月6日
现场:北京BBS联盟发展有限责任公司WEB服务器(装载有公司网站和BBS论坛),公司网站在凌晨被入侵后挂马(据公司技术人员分析为账号窃密木马,主要利用公司网站访问量较大攻击来访用户,对公司形象危害极大)。
负责工程师:孙健(网络安全专家)
受攻击服务器环境:
主服务器(WEB)为Win2003 + ASP + FSO (组件)
安装组件:
IIS6.0(WEB网页服务)
DATABASE(数据库)
drewbbr1.47(网络监视系统)
MCAFEE7.1企业版(杀毒软件)
掌握技能:
网页漏洞的寻找方法
网站被入侵并挂马
2008年1月3号,公司正常上班的第二天,北京BBS联盟发展有限责任公司的网管刘小军,看着眼前10多张网络密码丢失报告几乎抓狂。小刘想了半天,觉得肯定是元旦期间,公司的网站被人入侵了挂马导致的。无奈之下,小刘联系了北京信息安全中心的朋友,网络安全专家孙键来帮忙。
高手出马,问题马上解决,一个小时后孙键把分析报告发给小刘,清晰的分析了网站被入侵的过程和解决方案。
网站入侵分析
由于北京BBS联盟发展有限责任公司的网站,采用了低版本的eWebEditor在线HTML编辑器,存在着上传漏洞,黑客利用这点得到WEBSHELL(网页管理权限)后,修改了网站,进行了挂马操作。
图1
图2
分析报告中指出:网站的admin路径下发现cer.asp网页木马,经分析为老兵的网页木马(加密后依旧能通过特征码分辨,推荐网站管理员使用雷客图ASP站长安全助手,经常检查网站是否被非法修改,如图1、2)
判断分析网页漏洞:
1.判断网站是否使用了eWebEditor的简单方法:查看程序源代码,看看源码中是否存在类似“ewebeditor.asp?id=”语句,只要有此语句的存在,就能判断网站确实使用了WEB编辑器。
2.eWebEditor编辑器可能会被黑客利用的安全漏洞:
(1)管理员未对编辑器的数据库路径和名称进行修改,导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。
(2)管理员未对编辑器的用户登录路径进行修改,导致黑客可以利用网站数据库所获得的用户名和密码,直接登陆编辑器管理后台。
(3)该WEB编辑器上传程序存在的安全漏洞。
掌握技能
网页木马的防御和清除
安全解决方案:
防御网页木马
反注册、卸载危险组件:(网页后门木马调用的组件)
(1)卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\WSHom.Ocx
(2)卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll
(3)卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
注:如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件,例如:regsvr32.exe %windir%\system32\scrrun.dll(如图3)
图3
清理网页挂马
1.利用雷客图ASP站长安全助手查找所有在2007-12.31日-2008-1.1日之间所有修改过的文件里是否有iframe语句和http://www.xxx.com/a.htm关键词,进行手工清理。
2.也利用雷客图ASP站长安全助手批量删除网马(如图4)。
3.检查JS文件,在2007-12.31日-2008-1.1日之间增加的JS文件全部删除。
图4
解决eWebEditor
编辑器安全隐患
由于公司网站在开发时集成了eWebEditor编辑器,删除或替换容易导致其他问题出现,推荐按如下方案解决:
1.修改该编辑器的默认数据库路径和后缀名,防止数据库被黑客非法下载。
默认登陆路径admin_login.asp
默认数据库db/ewebeditor.mdb
2.修改编辑器后台登陆路径和默认的登陆用户名和密码,防止黑客进入后台管理界面。
默认帐号admin
密码admin或admin888
3.对Upload.asp语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限 。
对上传语句限制进行修改:
将原来的:sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
修改为:sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")增加上传限制。
1 网络挂马的类型
2 网站是如何被入侵的
3 如何防御网页木马后门
4 如何清理被挂木马
本文涉及软件
老兵6.0ASP网页木马
软件大小:23KB
授权方式: 免费
下载地址:http://www.sj00.com/soft/39124.htm
雷客图ASP站长安全助手
软件大小:94KB
授权方式:共享
下载地址:http://www.feitec.com/ShowSoft.asp?id=209
相关知识
什么是网页木马
当用户浏览某网页时,自动下载并运行某一“木马”程序,进而通过该程序实施控制或窃取机密信息。
网页后门木马和网页木马的区别
网页后门木马和网页木马最大的区别是后门木马是为黑客操控(修改)用户网页的工具,而网页木马是为向其他访问网页的用户种植木马的工具。
先了解一下网页挂马的几种类型:
潜入式网络挂马:
网页木马被攻击者利用iframe语句,加载到任意网页中都可运行的一种通用挂马形式,是最早的一种网络挂马技术。
js调用型网页挂马
js挂马是一种利用js脚本文件调用的原理进行的网页木马隐藏挂马技术,如:黑客首先制作一个.js文件,然后利用js代码调用到挂马的网页:
图片伪装挂马
随着防毒技术的发展,黑客的手段也不停的更新,图片挂马就是为逃避杀毒监视的新技术,攻击者将http://www.xxx.com/a.htm中的木马代码植入到a.gif图片文件中,再利用代码调用执行,是比较新颖的一种挂马隐藏方式。
如:
注:当用户打开http://www.xxx.com时,显示给用户的是http://www.xxx.com/a.gif图片,而http://www.xxx.com/a.htm网页木马代码也随之启动。
网络钓鱼挂马(也称伪装调用挂马)
网络上最常见的欺骗手段,黑客们利用伪装技术,当用户打开一个看似正常的页面时,网页木马随之运行,隐蔽性较高。
伪装挂马进化
高级欺骗,黑客利用IE或者Firfox浏览器的设计缺陷制造的一种高级欺骗技术,当用户访问木马页面时地址栏显示www.sina.com或www.cctv.com等用户信任地址,从而实现欺骗。
小提示
高级欺骗类型的网络挂马,是利用浏览器的漏洞实现的,如使用的是最新版IE7.0和Firfox浏览器则失效。
时间:2008年1月6日
现场:北京BBS联盟发展有限责任公司WEB服务器(装载有公司网站和BBS论坛),公司网站在凌晨被入侵后挂马(据公司技术人员分析为账号窃密木马,主要利用公司网站访问量较大攻击来访用户,对公司形象危害极大)。
负责工程师:孙健(网络安全专家)
受攻击服务器环境:
主服务器(WEB)为Win2003 + ASP + FSO (组件)
安装组件:
IIS6.0(WEB网页服务)
DATABASE(数据库)
drewbbr1.47(网络监视系统)
MCAFEE7.1企业版(杀毒软件)
掌握技能:
网页漏洞的寻找方法
网站被入侵并挂马
2008年1月3号,公司正常上班的第二天,北京BBS联盟发展有限责任公司的网管刘小军,看着眼前10多张网络密码丢失报告几乎抓狂。小刘想了半天,觉得肯定是元旦期间,公司的网站被人入侵了挂马导致的。无奈之下,小刘联系了北京信息安全中心的朋友,网络安全专家孙键来帮忙。
高手出马,问题马上解决,一个小时后孙键把分析报告发给小刘,清晰的分析了网站被入侵的过程和解决方案。
网站入侵分析
由于北京BBS联盟发展有限责任公司的网站,采用了低版本的eWebEditor在线HTML编辑器,存在着上传漏洞,黑客利用这点得到WEBSHELL(网页管理权限)后,修改了网站,进行了挂马操作。
图1
图2
分析报告中指出:网站的admin路径下发现cer.asp网页木马,经分析为老兵的网页木马(加密后依旧能通过特征码分辨,推荐网站管理员使用雷客图ASP站长安全助手,经常检查网站是否被非法修改,如图1、2)
判断分析网页漏洞:
1.判断网站是否使用了eWebEditor的简单方法:查看程序源代码,看看源码中是否存在类似“ewebeditor.asp?id=”语句,只要有此语句的存在,就能判断网站确实使用了WEB编辑器。
2.eWebEditor编辑器可能会被黑客利用的安全漏洞:
(1)管理员未对编辑器的数据库路径和名称进行修改,导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。
(2)管理员未对编辑器的用户登录路径进行修改,导致黑客可以利用网站数据库所获得的用户名和密码,直接登陆编辑器管理后台。
(3)该WEB编辑器上传程序存在的安全漏洞。
掌握技能
网页木马的防御和清除
安全解决方案:
防御网页木马
反注册、卸载危险组件:(网页后门木马调用的组件)
(1)卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\WSHom.Ocx
(2)卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll
(3)卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
注:如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件,例如:regsvr32.exe %windir%\system32\scrrun.dll(如图3)
图3
清理网页挂马
1.利用雷客图ASP站长安全助手查找所有在2007-12.31日-2008-1.1日之间所有修改过的文件里是否有iframe语句和http://www.xxx.com/a.htm关键词,进行手工清理。
2.也利用雷客图ASP站长安全助手批量删除网马(如图4)。
3.检查JS文件,在2007-12.31日-2008-1.1日之间增加的JS文件全部删除。
图4
解决eWebEditor
编辑器安全隐患
由于公司网站在开发时集成了eWebEditor编辑器,删除或替换容易导致其他问题出现,推荐按如下方案解决:
1.修改该编辑器的默认数据库路径和后缀名,防止数据库被黑客非法下载。
默认登陆路径admin_login.asp
默认数据库db/ewebeditor.mdb
2.修改编辑器后台登陆路径和默认的登陆用户名和密码,防止黑客进入后台管理界面。
默认帐号admin
密码admin或admin888
3.对Upload.asp语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限 。
对上传语句限制进行修改:
将原来的:sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
修改为:sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")增加上传限制。