网页挂马

2024-06-23

网页挂马（精选4篇）

网页挂马篇1

“网页挂马”已成为木马传播的主要途径之一, 黑客往往在入侵网站后利用这种方式将木马“种植”到浏览该网站的用户计算机上并执行命令, 以达到盗取用户财物和控制用户计算机的目的。日前, 微点反病毒专家发现一种更为新颖的网页挂马方法, 通过向“第三方”网站间接挂马, 实现病毒传播速度、数量倍速增长, 对网民危害极大。微点反病毒专家经过技术分析发现, 与以往不同的是近期被挂马的网站, 其共同特征为被挂马的地址完全相同。经核查, 这批被挂马网站均使用了国内某知名“统计网站”编写的用于收集统计用户浏览网页数据信息的代码。黑客正是利用该知名统计网站进行挂马, 从而使得所有使用了该统计代码的网站全部被间接挂马。如果用户浏览了被间接挂马的网站, 木马即被下载到用户电脑中, 下载的木马被激活后, 将注入系统关键进程中, 并自动下载多种盗号木马程序, 同时完成自身木马程序在线更新, 释放autorun.inf利用Windows自动播放功能并借助移动存储介质广泛传播。利用统计网站间接挂马的方式, 使得病毒的传播范围和感染数量呈几何级数增长, 对社会危害极大。

微点反病毒专家介绍, 这种新型的借助第三方进行间接“网页挂马”手段实为一种带有浓郁牟利色彩的新型木马传播手段, 可以迅速实现病毒大量传播, 已成为黑客“创收”不义之财聚宝盆。传统的网页挂马手段只针对单一网站, 并不会主动“感染”其他网站, 由于浏览特定网站的用户数量终究有限, 因此病毒传播范围并不是很大, 对社会危害也较为有限。微点反病毒专家认为, 统计网站间接挂马方式将有可能取代传统的单一网页挂马而成为未来网页挂马的主流途径。黑客肆意寻找知名的第三方网站“下手”, 成功入侵后对该网站进行挂马, 从而使得其他依赖该第三方网站功能的网站自动被中上了木马页面, 这样显然极大地增强了木马传播能力。由于使用知名第三方网站功能的网站很多, 使得病毒网页能够短时间内迅速膨胀传播, 对社会危害极大。

值得注意的是, 使用间接挂马的方法, 使得单纯分析网页本身代码的方法已无法发现网站是否被挂马。微点反病毒专家在用户的反馈中发现, 由于间接挂马手段的隐蔽性较强, 很多网站的管理员甚至都不知道自己的网站已被挂马。微点反病毒专家说, 这种新型挂马方式甚至能够逃脱部分具有网页监控的杀毒软件的检测, 从而可以躲避传统杀毒软件的查杀。因此, 建议广大网友安装使用具有主动防御功能的安全软件, 主动防御软件特有的行为杀毒技术, 针对此类复杂多变的木马程序也有较好清除功能。

网页挂马篇2

金山毒霸反病毒专家李铁军表示，由于office用户升级产品版本的诉求并不强烈，再加上微软office是安装量非常高的应用软件，在缺省情况下，即使很多不用access，也会被安装该组件，同时office组件的漏洞修补一般并不被大多数office用户所重视，往往不去修补，因此该漏洞将给用户带来极大风险。

李铁军担心地指出，此外由于一些使用盗版office的用户担心打补丁会影响盗版软件的使用，而故意不去修补，所以该漏洞的影响将会比较持久。李铁军断定此漏洞将为产业链中的网马制作者热衷采用。

据了解，网页“挂马（种植木马程序）”技术难度并不高，很多的著名网站均出现过网页被“挂马”的事件，用户只是浏览网页，都有可能染上木马，有数据显示超过70%的木马已经通过网页漏洞进行传播。李铁军表示，鉴于此漏洞持续影响性较长，仅依靠良好的上网习惯很难幸免，

金山毒霸反病毒工程师表示，此次漏洞涉及的office组件包括Snapshot Viewer for Microsoft Access、Microsoft Office Access 、Microsoft Office Access 、Microsoft Office Access 。目前微软尚未发布补丁。

浅析网页挂马及其克星“云安全” 篇3

1 网页挂马的概念

网页挂马通常是指正常的网页或网站被恶意攻击者用各种攻击手段入侵,或者木马病毒被直接植入攻击者自己建立的网站。一些先进的挂马页面常常针对多个漏洞采取自动脚本的方式,它先看用户电脑里装的软件,再寻找有用控件,然后针对这些控件来挂马。早期的挂马脚本是一个明马,在入侵用户的电脑后,一个对象就会被创建,再通过此对象打开一链接,随后下载木马程序并保存运行。通过这种方式,利用漏洞下载木马的过程就完成了。

2 网页挂马的危害

很多游戏网站被挂马,目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。

如果不小心进入了已被挂马的网站,则会感染木马病毒,以致丢失大量的宝贵文件资料和账号密码,其危害极大。

3 网页挂马预防

面对愈演愈烈的网页挂马,作为用户来说,对自己建立的网站平时该如何预防网页挂马呢?

1)及时更新自己所用的程序;2)如果自己的网站具有上传附件的功能,那一定要设置身份认证这一关,通过身份认证允许自己信任的人进行程序的上传;3)数据库等重要文件要时常作备份,程序默认的备份目录下不要存放备份数据库;(4)管理员的用户名、密码不能太简单;5)后台管理程序登陆页面的链接不能放在前台网页上;6)通过搜索引擎窃取信息的骇客能够被Robots有效的防范,所以管理员可以创建一个robots.txt上传到网站的根目录;7)组合目录禁止执行和IIS中禁止写入这两个功能,ASP木马就可以得到有效的防止。

4“云安全”计划的产生

云安全(Cloud Security)计划将网格计算、并行处理、未知病毒行为判断等概念和新兴技术融合在一起。大量客户端形成网状并对网络中软件行为的异常进行监测,从而获取网络上恶意程序和木马病毒的最新信息,将其传送到服务器端进行分析和处理,最后把解决方案发给每个客户端。可以说,它是网络时代信息安全的最新体现。

云安全的策略构想是使用者越多,每个使用者就越安全,因为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。

5“云安全”与传统杀毒方式对比

那“云安全”这种防病毒模式与传统的杀毒方式相比,有什么优势呢?

1)从用户方面看,云安全技术的实施,可以全面提升电脑使用效率和客户端的病毒查杀能力。大部分耗费资源被放到了服务器端,客户端的病毒特征库就不必经常更新,在体积变小的同时功能却越来越强,用户电脑资源的消耗就变小,电脑的利用效率也就提高了。

2)从安全厂商的角度来讲,云安全技术中分析病毒特征用的是“人工机器智能”,从客户端收集病毒样本也是利用网络技术。这样,传统的工作内容改变了,反病毒工程师的工作负担也减小了,杀毒能力和处理效率提高了。

3)从整个互联网安全方面来看,云安全技术使用后,杀毒软件可以迅速拦截、快速判断并收集病毒样本,变被动杀毒为主动防御对病毒进行更快地处理,反病毒的效率就大大提升。

6“云安全”的解决方案

云安全的发展犹如一阵风,虽然在云安全概念提出后,很多人认为它不可能实现,在信息领域产生广泛的争议,但是云安全解决方案却被瑞星、趋势科技、卡巴斯基、江民科技、金山、360安全卫士等相继推出。本文以瑞星和趋势科技为例简单说明。

瑞星“云安全”计划的内容是,通过互联网将瑞星技术平台和用户紧密相连,组成一个庞大的监测、查杀木马/恶意软件网络。“云安全”计划的核心之一是“瑞星卡卡6.0”的“自动在线诊断”模块,当用户启动电脑,电脑中的可疑木马样本被该模块自动检测、提取并上传到瑞星“木马/恶意软件自动分析系统”,几秒钟就完成了整个过程。随后用户得到瑞星反馈的分析结果,开始查杀木马病毒,其他所有“瑞星卡卡6.0”用户通过瑞星安全资料库分享结果。

“云安全”技术架构的核心被趋势科技这样定义:借助全球威胁信息汇总的网络,以Trend labs研发中心、文件信誉服务、邮件信誉服务、Web信誉服务为基础,在互联网云数据库中保存病毒特征码,使客户端最低数量得病毒得以在网络威胁到企业网络或用户之前被拦截。

7 建立“云安全”系统的难点

虽然云安全策略被各大安全厂商相继推出,但是要建立能正常运行的“云安全”系统,还是需要解决以下几个问题:

1)需要大量客户端(我们把它称作“云安全”探针)。拥有大量的客户端后,对互联网上出现的恶意程序、危险网站等的感知能力才更灵敏。

2)技术和资金的大量投入。“云安全”系统服务器以及一些硬件设施的维护需要很大的投入。对于安全厂商来说,顶尖的技术团队和高额的研究花费是必不可少的。

3)“云安全”应该是开放性的,要允许合作者的不断加入。客户端需要与其他软件兼容,确保使用其他杀毒软件的用户也可以使用“云安全”系统带来的好处。

4)安全厂商要有充足的反病毒技术、经验。一旦探测到恶意程序,必须尽快分析,这样样本才不会堆积下来,才不会减弱云安全快速探测结果。

8 结束语

由此可见,我们已经不能把云安全看做纯粹的反病毒技术,而是一个互联网化的安全防御体,或者说是杀毒软件的互联网化。云安全是反病毒领域的一条创新之路,在网页挂马愈演愈烈的互联网时代,在“云安全”体系下,病毒样本被杀毒软件更快地收集,病毒被更快地处理,阻止网络威胁于到达用户电脑前。大大提升反病毒的效率,使用户的体验更完善,从而最终达到更快、更全面地安全保护互联网时代用户的目的。

参考文献

[1]张友生.计算机病毒与木马程序剖析[M].北京:北京科海电子出版社,2003.

[2]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.

网页挂马篇4

关键词：网络安全,网页挂马,云安全,检测

1 网页挂马解决方案比较

针对挂马网页, 目前常见的解决方案有3类:浏览器内置过滤功能;浏览器插件过滤;反病毒软件提供过滤功能。

1.1 浏览器内置过滤功能

目前常用的浏览器软件, 包括Internet Explorer 7.0、Firefox 2.0、Opera 9.1、Safari 3.2及其之后的版本均内置挂马网页过滤功能。其中, Firefox使用Google提供的反挂马数据, Opera使用PhishTank和GeoTrust提供的数据。

浏览器实现的挂马网页过滤具有以下两个缺点:挂马网页过滤依赖于浏览器实现, 与其支持的操作系统有关, 并且不能为计算机上安装的其他网络软件或浏览器提供保护;浏览器需要将用户访问的页面地址发送给服务器进行比对, 增加了网络带宽消耗、页面处理延迟, 并且可能泄露用户的隐私。

1.2 浏览器插件过滤

基于浏览器插件的反挂马解决方案, 典型应用有AVG LinkScanner、McAfee SiteAdvisor, 除了提供挂马网页过滤, 还包括了对搜索引擎搜索结果安全性的标注, 帮助用户甄别搜索引擎结果中的有害网页。

浏览器插件提供的挂马网页过滤和浏览器内置功能相比, 提供更强的安全保护能力, 然而, 此类插件对于浏览器的依赖更强, 一般只能安装于Internet Explorer和Firefox浏览器, 并且同样存在需联网检查用户访问内容的问题。

1.3 反病毒软件提供过滤功能

目前越来越多的反病毒软件具有包括反挂马网页在内的网络威胁过滤能力。此类软件对挂马网页过滤的实现方法与其查杀网页恶意代码的做法相似杀毒软件的Web监控通常在本地提供HTTP透明代理, 应用程序访问网页HTTP服务的流量都会经过杀毒软件的Web监控扫描。在此过程中, 杀毒软件可以对网页的URL地址进行过滤, 以屏蔽挂马网页。

与浏览器或浏览器插件提供的反挂马功能不同, 反病毒软件过滤挂马网页的功能可以适用于计算机上安装的各类软件, 并且, 挂马网址数据库一般在反病毒软件更新病毒定义时同时下载, 检测网址过程在本地即可完成。但是, 此类实现方法对系统资源的消耗较大, 依赖于操作系统 (通常为Windows设计) , 且挂马网址数据库需频繁更新以应对最新的威胁。

2 融合云计算及多扫描引擎技术的DNS挂马网页过滤系统

针对以上反挂马过滤实现方法存在的弊端, 基于DNS的挂马网页过滤系统可以提供一个较好的解决方案。域名解析是用户访问网页所必须经历的过程, 在DNS服务器上实现挂马网页过滤不会对用户的网络访问过程增加额外的步骤或产生任何影响。

基于DNS的实现适合任何接入网络的计算机或设备, 与客户端运行的操作系统和浏览器无关, 无需安装任何客户端程序或插件, 适用范围广。挂马网页识别过程由DNS服务器完成, 减轻客户端对资源消耗的压力。通过云计算技术, 客户端无需下载保存任何挂马网址数据, 所有的数据更新过程在DNS端完成, 省去客户端数据库下载和更新, 也避免了客户端数据库更新不及时造成的安全隐患, 同时, 通过多扫描引擎查杀, 可向客户端提供针对最新威胁的及时保护。

总结以上4种反挂马解决方案, 对比其性能特点如表1所示, 基于DNS的挂马网页过滤系统在提供同样的保护能力的同时可解决过滤系统对客户端的依赖部署和维护更为简便。

3 多扫描引擎技术

在当今的网络安全解决方案中没有一款使用单个杀毒引擎能最快最有效地识别木马及其他威胁。利用多引擎反病毒能有效地减少病毒感染的几率。

每一个病毒实验室所研制的扫描引擎是不一样的, 没有一种可以称得上在各方面是最优

秀的, 它们都有各自的优势与劣势。防病毒软件产品一般会使用混合式的技术去检测及击败病毒。以下是最主要的3种方法:特征文件、启发式检测、沙箱。

每一种技术方法都能十分有效地检测到病毒, 但都不能百分之百成功检测。没有任何一个方法是最佳的检测病毒的解决方案, 所以一些反病毒产品集合了两个或者更多的这些检测技术方法。最有效并且是唯一的方式保证上网用户拥有最高等级的防护就是通过使用多扫描病毒引擎, 采用多层深度防御。

值得注意的是, 多扫描引擎是一个很好的解决方案, 但重要的是明白我们获得了什么。当我们拥有5个反病毒扫描引擎时, 并不意味着能提供给我们5倍的网络防御能力, 它只不过给我们提供了5次正确应对网络威胁的机会, 更恰当的来说, 这是5次独立的判断、作出应对的事件。这就好比我们在机场通过5道安检, 每一道安检的内容或方式都会有些微的不同, 这样能增加发现威胁情况的几率。在此系统中我们引入了多个防病毒扫描引擎的使用, 以此增强扫描的可靠性。

4 Hadoop分布式计算平台

Hadoop是一个能够分布式处理大规模海量数据的软件框架。它的长期目标是提供世界级的分布式计算工具, 也是对下一代业务 (如搜索结果分析等) 提供支持的Web扩展 (Web-scale) 服务。

Hadoop主要由HDFS (HadoopDistributedFileSystem) 和MapReduce引擎两部分组成。最底部是HDFS, 它存储Hadoop集群中所有存储节点上的文件。HDFS的上一层是MapReduce引擎, 该引擎由JobTrackers和TaskTrackers组成。

HDFS可以执行的操作有创建、删除、移动或重命名文件等, 架构类似于传统的分级文件系统。需要注意的是, HDFS的架构基于一组特定的节点而构建 (见图1) , 这是它自身的特点。HDFS包括唯一的NameNode, 它在HDFS内部提供元数据服务;DataNode为HDFS提供存储块。

JobTracker (Google称为Master) 是负责管理调度所有作业, 它是整个系统分配任务的核心。它也是唯一的。

TaskTracker具体负责执行用户定义操作, 每个作业被分割为任务集, 包括Map任务和Reduce任务。任务是具体执行的基本单元, TaskTracker执行过程中需要向JobTracker发送心跳信息, 汇报每个任务的执行状态, 帮助JobTracker收集作业执行的整体情况, 为下次任务分配提供依据。

Map操作是独立的对每个元素进行操作, 在函数式编程中, 操作是没有副作用的, 换句话说, Map操作将产生一组全新的数据, 而原来的数据保持不变。因此, 它是高度并行的。Reduce操作虽然不如Map操作并行性那么好, 但是它总会得到一个相对简单的结果, 大规模运算也相对独立, 因此也是比较适合并行的。

5 系统分析与设计

当用户访问一个网站时, 向DNS服务器发送的域名查询仅包含该网址的域名部分, 考虑到一些网站只有部分页面存在挂马和欺诈信息, 以及一些允许用户发布页面或内容的大型网站上可能存在少量有害页面, 对域名的过滤容易造成误报, 影响网站正常内容的访问。

为了解决这个问题, 我们设计了基于DNS服务器、HTTP透明代理服务器和Web服务器以及数据库群的挂马网站过滤系统架构 (图2) , 以提供基于域名和基于URL的两种过滤方式。

我们通过实现BIND服务器的反挂马模块, 作为挂马网站过滤系统的基础。挂马网站记录在内存中以哈希表的链式结构存储以提高查询效率, 反挂马模块提供域名查询数据文件读入数据重新载入等接口函数

查询函数返回3类结果:被查询的域名不是挂马网站、域名被拦截和域名需进行URL过滤。定义如下:

及时有效的挂马网址数据是挂马网站过滤系统使用效果的基本保障。通过提供一个数据转换和整合程序, 将不同来源的挂马网站数据转换为便于DNS服务器和代理服务器读取的统一的数据格式。我们也可以使用防病毒软件公司的扫描接口直接为数据进行过滤服务。

数据整合程序负责将不同来源的数据转换为统一的格式, 供DNS服务器和代理服务器读取。数据整合程序由5个模块组成:

pdb file数据文件写入模块以指定的格式将挂马网站记录写入文件;

pdb hash哈希表模块用于检索并去除重复项;

pdb text模块读取文本格式存储的数据;

pdb mysql模块连接并读取MySQL数据库中的数据, 使用libmysqlclient库;

pdb phishtank模块处理PhishTank格式的数据, 使用libxml2库以解析XML数据。