网站挂马的整改措施.doc

网站挂马的整改措施篇一：网站被挂马的表现及解决办法人怕出名猪怕壮 网站有点名气 就会成为挂马的目标。此教程为初级教程 高手飘过。网站被挂马有何危害性?答：网页被挂马，在一定程度上可以说是网页被篡改，但是比较隐蔽。危害很大。对服务器端来说，一方面是系统资源，流量带宽资源的巨大损失，另一方面也成为了传播网页木马的“傀儡帮凶”，严重影响到网站的公众信誉度;对客户端来说，很多网页木马都是利益驱动，偷盗各类帐号密码，如电子银行帐户和密码、游戏帐号和密码、邮箱帐户和密码、qq/MSN 帐号和密码等;另外，使得客户端被安装恶意插件，强迫浏览黑客指定的网站;或者被利用攻击某个站点等。目前流行的“游戏信使”(盗用各类网游帐号密码)也都是依靠网页挂马攻击来实现的。在主动越来越困难的情况下，利用网页木马进行攻击已经成为目前最为流行的黑客攻击手段，所以应引起足够重视!网站被挂马的种类?目前流行的网站被黑，是在相应的asp,htm,js等文件中，插入以js调用方式的什么样子的网站比较容易被挂马?应该说各大中型网站均有被挂马的可能，事实也证明国内多个大型站点都曾被挂马，由于系统漏洞、网站实现代码缺陷(如SQL注入、论坛代码缺陷、跨站脚本 等)、或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等都有被挂马的可能;访问量越大的网站越有被挂马的可能，因为此类网站被黑客关注程 度较高;另外就是各类zhengFU网站、各大中型企业网站，由于专业性技术人员缺乏，网站大多由第三方公司外包开发，存在缺陷较多，也最容易被挂马。服务器被挂马，如何才能发现?答： (1)：专业检测工具 如木马清道夫(2)：google检测，网站制作完成后上传到服务器上，可以利用Google搜索你的网站、博客进行检测。如果有网站有木马则google会在搜索列表的下方提示该网站有不安全因素。(3)：杀毒软件检测，常用的杀毒软件也可以检测出来。(4)：人工检测，打开你的网站、博客，点击右键查看源文件，根据网页挂马的种类也可以查看是否中了木马。(5)：使用McAfee SiteAdvisor安全浏览网页的插件。服务器被挂马后 如何清除?删除现有的网页中的木马，主要有这样类似的代码:出现上面这些特征的代码，如果里面包含的网址不是自己网站的，那基本上就是中了木马了。我们比较常见的木马是iframe,对网站首页以及其它主要页面的源代码进行检查，用记事本打开这些页面后，以“iframe”为关键字进行搜索，找到后可以查看是否是挂马代码。不过碰上有经验的黑客，会编写一段代码将整句挂马代码进行加密，这样我们就很难找到网页中的挂马代码。这时可以将所有网页文件按修改时间进行排序，如果有个别网页被修改，我们可以很快地发现。本文转自: 错新网(/) 详细出处参考：篇二：网站漏洞整改报告网站漏洞整改报告按照国家中华人民共和国计算机信息系统安全保护条例、计算机信息网络国际联网安全保护管理办法、互联网安全保护技术措施规定等有关法律法规规定，全面落实互联网安全保护制度和安全保护技术措施，对网站、信息安全进行了严格漏洞安全检查工作。本次网站安全检查是完全站在攻击者角度，模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试，发现本校个别网站系统存在比较明显的可利用的安全漏洞，针对已存在漏洞的系统需要进行重点加固。本次检查结果和处理方案如下:篇三：网站挂马附录：网站安全常见问题挂马攻击挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码（通常是通过 IFrame、Script 引用来实现） ，当用户访问该网页时，嵌入的恶意代码利用浏览器本身的漏 洞、第三方 ActiveX 漏洞或者其它插件（如 Flash、PDF 插件等）漏洞，在用户不知情的情 况下下载并执行恶意木马。挂马方式目前挂马的主要方式是通过 IFrame 与 Script 嵌入网马 URL，比如下面的挂马代码： iframe src=/Img/ width=0 height=0/iframe 这里通过将 IFrame 的 width 与 height 设置为 0，使得嵌入的网马 URL 在网页上不可见。 script src=http:/%68%68%6A%32*%63%(来自:www.Hn1c.cOm 唯 才教 育网:网站挂马的整改措施)6E/script 这里 Script 里的 URL 是经过 URL encode 编码的。通过各种编码、混淆、客户端判断等方 式来隐藏、保护网马是攻击者挂马常用的手段。 除了这两种常见的挂马方式外，还有如下几种： 1、 利用 JavaScript 执行各种经过编码、混淆的攻击代码进行挂马。 2、 利用网页跳转、弹出新窗口等方式进行挂马。 3、 利用 Flash 等媒体封装的方式进行挂马。 4、 在 CSS（层叠样式表）里可以执行 JavaScript 的浏览器中进行挂马。挂马常见类型常见的几种类型如下： 1、 数据库挂马 1 / 13附录：网站安全常见问题攻击者利用 SQL 注入漏洞将挂马代码注入到数据库的某些字段中，如果网站页面使用 到这些字段的值，并且没做适当的过滤，就有可能导致用户访问该网站的页面时执行攻 击者注入的代码。 2、 文件挂马 攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。 3、 ARP 挂马 在与目标站点同一局域网的情况下，攻击者可以通过控制局域网中任意一台主机计算机 发起 ARP 欺骗，并将挂马代码注入到用户请求的响应页面上，从而达到隐蔽的挂马目 的。这样的攻击方式在客户端上也可能发生，比如用户所在的局域网有 ARP 病毒，那 么用户请求的所有网站都有可能被注入挂马代码。 4、 服务端配置文件挂马 比如 IIS 里的文件重定向、启用文档页脚、修改 IIS 映射等挂马。这类挂马比较隐蔽，也 是挂马常用的技巧。 5、 XSS 挂马 利用 XSS 跨站脚本漏洞，将挂马代码注入到客户端页面以达到挂马的目的。挂马危害网站被挂马不仅严重影响到了网站的公众信誉度， 还可能对访问该网站的用户计算机造成很 大的破坏。 一般情况下，攻击者挂马的目的只有一个：利益。如果用户访问被挂网站时，用户计算机就 有可能被植入病毒，这些病毒会偷盗各类账号密码，如网银账户、游戏账号、邮箱账号、2 / 13附录：网站安全常见问题QQ 及 MSN 账号等。 植入的病毒还可能破坏用户的本地数据， 从而给用户带来巨大的损失， 甚至让用户计算机沦为僵尸网络中的一员。网站被挂马的解决方案对于网站被挂马，建议如下： 1、 通过上面介绍的“挂马常见类型”迅速分析定位网站被挂马的原因。 a) 数据库挂马：及时恢复数据库或者利用嵌入的挂马代码，搜索数据库，定位到挂马 代码所在的字段值并清除。 b) c) 文件挂马：使用工具或者命令遍历网站所有文本文件，批量清除挂马代码。 ARP 挂马：查找出局域网中的 ARP 病毒源头，清除病毒，并将相应计算机进行安 全加固或重新安装系统。 d) 服务端配置文件挂马： 如果上述的方法找不到挂马代码时， 就应该查找网站服务端 配置文件是否存在异常，并恢复。 e) XSS 挂马：这类挂马使用不广泛，修补网站的 XSS 漏洞即可解决问题。2、 及时检测并修补网站本身以及网站所在服务端环境的各类漏洞，从而在根源上降低消除 网站被挂马的风险。3 / 13附录：网站安全常见问题SQL 注入攻击漏洞SQL 注入攻击（SQL Injection），简称注入攻击、SQL 注入，是发生在应用程序的数 据库层上的安全漏洞。在设计不良的程序当中，忽略了对输入字符串中夹带的 SQL 指令的 检查，那么这些夹带进去的指令就会被数据库误认为是正常的 SQL 指令而运行，从而使数 据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、 被植入后门程序等危害。SQL 注入实例某网站的登录页面如下：页面表单提交时，将用户名赋予变量 v_user，将密码赋予变量 v_pass。 假定该登录页面后台身份验证代码为： “select * from user where user_name=” + v_user + “ and password=” + v_pass + ”;” 如果输入：用户名：admin，密码：123456 则数据库执行的查询语句为： 4 / 13附录：网站安全常见问题select * from user where user_name=admin and password=123456; 一切均正常。但如果用户恶意输入使得： v_user=”admin” v_pass=”1 or 1=1” 此时认证 SQL 语句变成了： select * from user where user_name=admin and password=1 or 1=1; 等同于语句： select * from user where user_name=admin;从而达到了无需密码，同样可登入网站的目的。如果用户输入数据中包含其他 update、 delete、 select 等操作，则会导致数据库数据被 修改、删除、和敏感内容泄密。SQL 注入位置无论是内网环境还是外网环境（互联网） ，B/S 架构的 Web 应用（以下指网站）都直 接或