網頁掛馬的分析與對策

王新柳

網頁掛馬就是攻擊者在正常的頁面中插入一段代碼，當瀏覽者打開該網頁時，這段代碼就會被執行，同時下載并運行所調用的木馬服務器端程序，進而控制瀏覽者的主機，以便對用戶實施各種攻擊。

黑客；網頁掛馬；檢測方法；預防對策

1.網頁掛馬的概念

網頁掛馬又稱之為網頁隱藏式惡意連結。網頁掛馬與釣魚網站（Phishing）不同之處，釣魚網站通常是設置一個以假亂真的網站，來欺騙網絡瀏覽者上當；網頁掛馬則是攻擊一個正常的網站，利用網路瀏覽者對于正常網站的信任感，讓使用者在不知不覺中被植入木馬程式，或者是駭客自行設立一個網站或虛設部落格，以各種方式吸引民眾瀏覽，再送出惡意程式。

2.網頁掛馬的危害

如果一臺正常的網絡服務器被惡意用戶入侵，其網頁被掛馬，在一定程度上可以說是網頁被篡改，其危害是巨大的，對于服務器而言，其一方面是帶寬與系統資源的占用巨大，另一方面直接導致該服務器成為木馬傳播之源，而對于受害網民來說，個人資料信息的安全將成為公眾目標，其電子銀行帳戶和密碼、游戲帳號和密碼、郵箱帳戶和密碼、QQ/MSN帳號和密碼等都不再安全。

3.網頁掛馬的方式

網頁掛馬中所使用的木馬隱蔽性都很高。黑客為躲避殺毒軟件對所掛木馬的查殺，常使用2種方法對所掛木馬進行特殊處理：加殼處理，即對源文件經過特殊的算法進行壓縮、變形，經過這道工序后木馬程序就會逃過大部分殺毒軟件的查殺；修改特征碼，即黑客對木馬中特征碼部分的代碼進行修改，將其加密或使用匯編指令將其跳轉，致使殺毒軟件無法找到病毒特征碼，從而不能將其判定為病毒。

常見的掛馬方式如下：將木馬偽裝為頁面元素，木馬則會被瀏覽器自動下載到本地；利用腳本運行的漏洞下載木馬；利用腳本運行的漏洞釋放隱含在網頁腳本中的木馬；將木馬偽裝為缺失的組件，或和缺失的組件捆綁在一起（例如：flash播放插件）這樣既達到了下載的目的，下載的組件又會被瀏覽器自動執行；通過腳本運行調用某些com組件，利用其漏洞下載木馬；在渲染頁面內容的過程中，利用格式溢出放木馬；在渲染頁面內容的過程中，利用格式溢出下載木馬。

木馬的執行方法。木馬在完成下載之后，執行的方式有：利用頁面元素渲染過程中的格式溢出執行shellcode進一步下載的木馬；利用腳本運行的漏洞執行木馬；偽裝成缺失組件的安裝包被瀏覽器自動執行；通過腳本調用com組件利用其漏洞執行木馬；利用頁面元素渲染過程中的格式溢出直接執行木馬；利用com組件與外部其他程序通訊，通過其他程序啟動木馬。

為了躲開殺毒軟件的查殺，一些網馬還會進行以下操作：修改系統時間，使殺毒軟件失效；摘除殺毒軟件的HOOK掛鉤，使殺毒軟件檢測失效；修改殺毒軟件病毒庫，使之檢測不到惡意代碼；通過溢出漏洞不直接執行惡意代碼，而是執行一段調用腳本，以躲避殺毒軟件對父進程的檢測。

4.網頁掛馬的防御及預防

網頁木馬的檢測及防御。網頁的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上傳漏洞、暴庫漏洞和程序漏洞等等，網站管理員要利用入侵檢測等安全工具定期對自己的網站進行安全性檢測，及時對安全設置錯誤或代碼進行修證與改寫。

網頁掛馬的檢測。檢測偽裝文件格式。通過對文件格式精確的識別，判斷頁面元素是否為偽裝的惡意代碼。檢查頁面元素來源是否為長期散布網頁掛馬的站點。

檢測特定函數調用堆棧實現。

區分用戶下載文件，瀏覽器自動下載文件。

檢測已知緩沖區漏洞。

檢測進程創建調用堆棧、調用參數是否和瀏覽器常規一致，以檢測未知漏洞造成的文件執行。對文件執行進行監控，檢測文件執行參數等特征。對部分目錄寫文件操作進行監控。

檢測系統時鐘修改。檢測對系統DLL內存鏡像修改（導入、導出表、函數體內容）。檢查PE文件和CAB包裹的數字簽名。特定文件格式檢測，檢測已知的格式溢出。通過對以上幾項的加權處理，可以實現有效對已知和未知網頁掛馬的檢測。

客戶端檢測防御方式。特征匹配。將網頁掛馬的腳本按腳本病毒處理進行檢測。但由于網頁腳本變形方式、加密方式比起傳統的PE格式病毒更為多樣，檢測起來也更加困難。主動防御，禁止瀏覽器安裝危險小插件。當瀏覽器要做出某些動作時，會做出提示，例如：下載了某插件的安裝包，會提示是否運行，比如瀏覽器創建一個暴風影音播放器時，提示是否允許運行。在多數情況下用戶都會點擊是，網頁木馬會因此得到執行。檢查父進程是否為瀏覽器。許多木馬很容易躲過這種方法，并且會對很多插件造成誤報。及時補漏。網頁木馬的運行原理是利用IE瀏覽器的漏洞，因此用戶要開啟系統“自動更新”功能，或者使用360安全衛士或其他專業檢測工具對系統及應用軟件進行實時漏洞掃描，及時打上最新漏洞補丁，并定期檢查各種應用軟件的更新，以杜絕木馬利用應用軟件的漏洞進行傳播。

網站防御方法。合理設置服務器，反注冊，卸載危險組件。對網站首頁及其他主要頁面的源代碼進行檢查，用記事本打開這些頁面，檢查是否有掛馬代碼。建議用戶通過ftp來上傳、維護網頁，盡量不安裝asp的上傳程序。對asp上傳程序的調用一定要進行身份認證，并只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程序，只要可以上傳文件的asp都要進行身份認證！asp程序管理員的用戶名和密碼要有一定復雜性，不能過于簡單，要注意定期更換。到正規網站下載asp程序，下載后要對其數據庫名稱和存放路徑進行修改，數據庫文件名稱應具有一定的復雜性。要盡量保持程序為最新版本。不要在網頁上加注后臺管理程序登陸頁面的鏈接。為防止程序有未知漏洞，可以在維護后刪除后臺管理程序的登陸頁面，下次維護時再通過ftp上傳即可。要時常備份數據庫等重要文件。日常要多維護，并注意空間中是否有來歷不明的asp文件。一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。重新上傳文件前，所有asp程序用戶名和密碼都要重置，并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。定期利用網站掛馬檢測軟件進行檢測。

網站掛馬恢復措施。整站被掛馬，最快速的恢復方法是：除開數據庫、上傳目錄之外，替換掉其他所有文件；仔細檢查網站上傳目錄存放的文件，很多木馬偽裝成圖片保存在上傳目錄，你直接把上傳文件夾下載到本地，用縮略圖的形式，查看是不是圖片，如果不顯示，則一律刪除；數據庫里面存在木馬，則把數據庫的木馬代碼清除！可以采用查找替換；如果網站源文件沒有，則需要FTP下載網站文件，然后再DW里面，用替換清除的方式一個個清除，注意網站的木馬數，如果被掛了很多不同的，必須多多檢查！

5.避免網頁掛馬的安全措施

加強教育和宣傳，提高公眾網絡的安全意識。信息安全意識是指人們在上網的過程中，對信息安全重要性的認識水平，發現影響網絡安全行為的敏銳性，維護網絡安全的主動性。采用多重網絡技術，保證網絡信息安全。目前，常用的網絡安全技術，主要包括：防火墻，物理隔離，VPN（虛擬專用網）。

運用密碼技術，強化通信安全。應圍繞數字證書應用，為電子政府信息網絡中各種業務應用提供信息的真實性、完整性、機密性和不可否認性保證。在業務系統中建立有效的信任管理機制、授權控制機制和嚴密的責任機制。

加強技術管理，努力做到使用安全。在內部嚴格控制企業內部人員對網絡共享資源的隨意使用。在內網中，除有特殊需要不要輕易開放共享目錄，對有經常交換信息要求的用戶，在共享時應該加密，即只有通過密碼的認證才允許訪問數據。

健全法律，嚴格執法。目前我國在網絡信息法律法規方面還有很多缺失，不能有效地保護公眾的合法權益，給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程，使網絡安全管理走上法制化軌道。