思海网络:主营业务服务器租用,服务器托管,双线服务器,双线机房,广东电信服务器,广东电信租用,机柜租用,虚拟主机
我们的服务承诺
  • 19年行业经验·绝对专业!
  • 全年7×24小时用心服务!
  • 实体公司运作,决非个人!
  • 服务器租用带宽100%保障!
  • 免费DDOS被攻击紧急救助!
  • 免押金,免设置费!
  • 免费安装设置Ftp,IIs,Php!
  • 免费安装服务器版杀毒软件!
  • 免费系统安全性设置!
首页 - 技术文章 - WEB服务器
文章浏览

分析并清除web服务器上网页木马

添加时间:2012-5-1 来源:admin 

 挂马这个词目前我们似乎经常能听到,那么什么是挂马呢?挂马就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到自己不可告人的目的。例如很多游戏网站被挂马,黑客的目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。下面就让我们来了解这种时下最流行的黑客攻击手段。

  挂马的核心:木马

  从“挂马”这个词中我们就可以知道,这和木马脱离不了关系。的确,挂马的目的就是将木马传播出去,挂马只是一种手段。挂马使用的木马大致可以分为两类:一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是为了得到大量的肉鸡,以此对某些网站实施拒绝服务攻击或达到其他目的(目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者)。另一类是键盘记录木马,我们通常称其为盗号木马,其目的不言而喻,都是冲着我们的游戏帐号或者银行帐号来的。目前挂马所使用的木马多数属于后者。

  木马的免杀伎俩

  作为挂马所用的木马,其隐蔽性一定要高,这样就可以让用户在不知不觉中运行木马,也可以让挂马的页面存活更多的时间。黑客为了让木马躲避杀毒软件的查杀,使用的伎俩很多。通常使用的方法有:

  加壳处理:关于壳的概念我们曾经介绍过,就是为了让别人无法修改编译好的程序文件,同时压缩程序体积。木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀,这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀,但只局限于一些比较热门的加壳程序,例如aspack、UPX等,而碰上一些经过冷门加壳程序处理后的木马时,就无能为力了。所以加壳仍是黑客比较常用的免杀伎俩之一。

  冷门的加壳程序

  修改特征码:杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时,如果在程序中发现了病毒特征码,就将该程序判定为病毒。黑客当然也明白这个道理,于是他们会修改木马中被定为特征码的部分代码,将其加密或使用汇编指令将其跳转,这样杀毒软件就无法在木马中找到病毒特征码,自然也就不会将其判定为病毒了。

  虽然这两种方法都可以躲过杀毒软件的查杀,但是我们还是有办法阻止木马运行的,具体方法将在防范部分讲到。那么木马是如何“挂”在网站上的呢?这里我们以“灰鸽子”木马为例,演示一下黑客挂马的过程。演示用的“灰鸽子”木马已经经过免杀处理,杀毒软件无法查杀。

关键词:挂马   代码

分享到:

顶部 】 【 关闭
首 页 | 服务器租用 | 服务器托管 | 云服务器 | 大带宽 | 虚拟主机 | 新闻中心 | 技术文章 | 购买流程 | 付款方式 | 关于我们 | 联系我们 | 下载中心
版权所有:佛山思海电脑网络有限公司 ©1998-2019 All Rights Reserved.
电话:(0757)22630313、22633833
公司地址: 广东省佛山市顺德区大良国际商业城A区4座3楼106号
邮政编码:528300
中华人民共和国增值电信业务经营许可证:粤B1.B2-20030321
粤B2-20030321-1 网站公安备案编号:44060602000007
交互式栏目专项备案编号:200303DD003
机房7x24小时服务热线 机房7x24小时服务热线:(0757)23628508、23628509
销售部 销售部: sh023@sd168.com
技术部 技术部: sh007@sd168.com
客户部 客户部: sh025@sd168.com
网管部 网管部: sh007@sd168.com
察察工商部备案安网网上报警警警