web服务器上的网页木马查找和清除

[ 来源:http://www.it55.com | 作者: | 时间:2007-12-04 | 收藏 | 推荐 ] 【大中小】

　　寻找缺陷网站，写入网页木马

　　网页木马准备完毕，就等着寻找挂马的目标网站了。此时黑客会到处搜索，寻找有脚本缺陷的网站程序，找到后利用网站程序的漏洞入侵网站，并得到网站的一个webshell。这时我们可以编辑网站首页的内容，将挂马的代码插入即可。代码为：<iframe src="/muma.htm"; width="0" height="0" frameborder="0"></iframe>，src参数后面的是网页木马的地址。当我们打开这个网站的首页后，会弹出网页木马的页面，这个页面我们是无法看到的，因为我们在代码中设置了弹出页面的窗口长宽各为0。此时木马也已经悄悄下载到本机并运行了。我们可以看到，网站的首页显示正常，杀毒软件并没有任何反应，而木马却已经运行了，可见木马的隐蔽性很高，危害也相当严重。

　　“挂马”攻击已经成为目前最流行的攻击方式，面对数量庞大的“挂马”网站，我们该如何防御呢？作为一名网站站长，我们又如何知道自己的网站被人挂马了呢？站长防范：如果你是一名站长，可以对网站首页以及其他主要页面的源代码进行检查，如用记事本打开这些页面后，以“<iframe>”为关键字进行搜索，找到后可以查看是否是挂马代码。不过碰上有经验的黑客，会编写一段代码将整句挂马代码进行加密，这样我们就很难找到网页中的挂马代码。这时，我们可以采用“掘马”-北京智恒联盟公司出品的一个专门针对网页木马代码检测的一个系统，可以帮助解决代码量较大，网页木马存在形式多样检查困难的问题。系统定期升级可以检测1000多种网页木马，检测定位非常准！

　　普通用户防范：普通用户关心的自然是如何防范“挂马”攻击。既然杀毒软件在网页木马面前成了“睁眼瞎”，而我们又无法感知网站是否被“挂马”。在这种情况下，我们岂不是任人宰割？我们已经知道网页木马的运行原理利用了IE浏览器的漏洞，因此只要我们及时更新系统补丁就可以让网页木马失效了。开启系统“自动更新”的方法为：右键点击“我的电脑”，选择“属性”，切换到“自动更新”标签，选中其中的“自动（推荐）”即可。

（编辑：IT资讯之家 www.it55.com）