互联网服务
服务器托管/租用
-中科院机房
-国内虚拟主机
-美国虚拟主机
网站开发
-自助建站
-电子商务
-定制开发
-手机客户端
域名注册
网站安全
-挂马检测
-防篡改监控
-脆弱性检测
-网站响应探测
-域名劫持检测
-挂马清除
-漏洞修补
-代码审计
数据库安全
-数据库安全扫描
-数据库安全扫描软件
邮箱租用
 
您现在的位置:首页 > 互联网服务 > 网站安全 >
挂马检测

 

网站被挂马,会严重伤害您的忠实用户!
网站被挂马,搜索引擎和安全公司会将其列入黑名单!
网站被挂马,管理员并不能立即知晓,等木马借助站点肆意传播时,灾难已经发生!
中科诺斯安全中心面向所有个人网站、商业网站、政府网站,提供实时挂马监测服务。
如果发现网站被挂马我们第一时间通过 email 通知您。

 

----------------------------------------------------------------------------------------------------

挂马知识:

挂马攻击是指攻击者在获取网站控制权(非法获取控制权的手段包括SQL注入,XSS攻击等)之后,通过篡改网站的网页内容,在页面中嵌入恶意代码 (通常是通过IFrame、Script引用来实现),当用户访问该网页时, 嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞, 在用户不知情的情况下下载并执行恶意木马。

挂马方式

目前挂马的主要方式是通过IFrame与Script嵌入网马URL,比如下面的挂马代码:

这里通过将IFrame的width与height设置为0,使得嵌入的网马URL在网页上不可见。

这里Script里的URL是经过URL encode编码的。 通过各种编码、混淆、客户端判断等方式来隐藏、保护网马是攻击者挂马常用的手段。

除了这两种常见的挂马方式外,还有如下几种:

  1. 利用JavaScript执行各种经过编码、混淆的攻击代码进行挂马。
  2. 利用网页跳转、弹出新窗口等方式进行挂马。
  3. 利用Flash等媒体封装的方式进行挂马。
  4. 在CSS(层叠样式表)里可以执行JavaScript的浏览器中进行挂马。

挂马常见类型

常见的几种类型如下:

  1. 数据库挂马:攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中, 如果网站页面使用到这些字段的值,并且没做适当的过滤,就有可能导致用户访问该网站的页面时执行攻击者注入的代码。
  2. 文件挂马:攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。
  3. arp挂马:在与目标站点同一局域网的情况下, 攻击者可以通过控制局域网中任意一台主机计算机发起ARP欺骗,并将挂马代码注入到用户请求的响应页面上,从而达到隐蔽的挂马目的。 这样的攻击方式在客户端上也可能发生,比如用户所在的局域网有ARP病毒,那么用户请求的所有网站都有可能被注入挂马代码。
  4. 服务端配置文件挂马:比如IIS里的文件重定向、启用文档页脚、修改IIS映射等挂马。这类挂马比较隐蔽,也是挂马常用的技巧。
  5. XSS挂马:利用XSS跨站脚本漏洞,将挂马代码注入到客户端页面以达到挂马的目的。

挂马危害

网站被挂马不仅严重影响到了网站的公众信誉度,还可能对访问该网站的用户计算机造成很大的破坏。

一般情况下,攻击者挂马的目的只有一个:利益。 如果用户访问被挂网站时,用户计算机就有可能被植入病毒,这些病毒会偷盗各类账号密码,如网银账户、游戏账号、邮箱账号、QQ及MSN账号等。 植入的病毒还可能破坏用户的本地数据,从而给用户带来巨大的损失,甚至让用户计算机沦为僵尸网络中的一员。

网站被挂马的解决方案

对于网站被挂马,建议如下:

  1. 通过上面介绍的“挂马常见类型”迅速分析定位网站被挂马的原因。
    a) 数据库挂马:及时恢复数据库或者利用嵌入的挂马代码,搜索数据库,定位到挂马代码所在的字段值并清除。
    b) 文件挂马:使用工具或者命令遍历网站所有文本文件,批量清除挂马代码。
    c) ARP挂马:查找出局域网中的ARP病毒源头,清除病毒,并将相应计算机进行安全加固或重新安装系统。
    d) 服务端配置文件挂马:如果上述的方法找不到挂马代码时,就应该查找网站服务端配置文件是否存在异常,并恢复。
    e) XSS挂马:这类挂马使用不广泛,修补网站的XSS漏洞即可解决问题。
  2. 及时检测并修补网站本身以及网站所在服务端环境的各类漏洞,从而在根源上降低消除网站被挂马的风险。
推荐新闻
·CNNIC发布《第29次..
·CNNIC正式发布“中..
·CNNIC赵巍当选新一..
·第三届中国国家网格..
·CNNIC被评为2010年..
立刻联系我们

  服务热线:
  400-0660-652
激光产品联系:
18911000751

 
 电子邮件:
  销售:sales@sino-north.com
技术支持:
jsb@sino-north.com
售后服务:info@sino-north.com

  打印本页面