網(wǎng)頁(yè)木馬入侵方式與防范措施研究

范義山

【摘 要】網(wǎng)頁(yè)木馬對(duì)網(wǎng)站的安全構(gòu)成嚴(yán)重威脅，然而網(wǎng)頁(yè)木馬又具有較高的隱蔽性。因此識(shí)別網(wǎng)頁(yè)木馬并了解其入侵方式，及時(shí)堵塞網(wǎng)站安全漏洞，是我們網(wǎng)站管理員必須要掌握的。詳細(xì)介紹了網(wǎng)頁(yè)木馬的形式，入侵原理、經(jīng)常利用的漏洞并給出了防范措施。

【關(guān)鍵詞】網(wǎng)頁(yè)木馬；入侵；漏洞；防范

1 網(wǎng)頁(yè)木馬概述

網(wǎng)頁(yè)木馬是基于B/S結(jié)構(gòu)的網(wǎng)頁(yè)腳本，通常由asp、php、jsp、 javascript等腳本語(yǔ)言編寫(xiě)，以網(wǎng)頁(yè)文件形式或偽裝成圖片等其他文件形式存在的一種命令執(zhí)行環(huán)境，也可以稱(chēng)為一種網(wǎng)頁(yè)后門(mén)。它和其它網(wǎng)頁(yè)程序并沒(méi)有本質(zhì)區(qū)別，和其它網(wǎng)頁(yè)程序的區(qū)別僅僅在于網(wǎng)頁(yè)木馬是入侵者上傳到目標(biāo)空間，并幫助入侵者控制目標(biāo)空間的網(wǎng)頁(yè)程序。

網(wǎng)頁(yè)木馬按文件大小和功能劃分為“小馬”和“大馬”，小馬的文件比較小，甚至只需要一句話(huà)，功能也比較簡(jiǎn)單，但是很關(guān)鍵，雖然只有很簡(jiǎn)單的一句或幾句話(huà)，但是可以通過(guò)它把功能強(qiáng)大，體積較大的“大馬”文件上傳到服務(wù)器，從而控制網(wǎng)站，甚至控制服務(wù)器。如常用的asp小馬只有<%execute request（“value”）%>、<%eval request（“value”）%>等一句話(huà)，其中value是值，入侵者自己定義。入侵者知道小馬的URL和自己定義的value，就可以通過(guò)它把“大馬”文件上傳到服務(wù)器，進(jìn)而控制網(wǎng)站或服務(wù)器。

網(wǎng)頁(yè)木馬隱蔽性非常好。它們或嵌套在正常網(wǎng)頁(yè)中運(yùn)行，或偽裝成圖片或壓縮文件等，有的雖然是單獨(dú)的一個(gè)網(wǎng)頁(yè)腳本，但看起來(lái)和正常的網(wǎng)頁(yè)程序沒(méi)有區(qū)別，不容易被發(fā)現(xiàn)。網(wǎng)頁(yè)木馬入侵時(shí)和正常的網(wǎng)頁(yè)一樣是通過(guò)80端口傳遞數(shù)據(jù)，因此不會(huì)被防火墻攔截。同時(shí)，使用網(wǎng)頁(yè)木馬一般不會(huì)在系統(tǒng)日志中留下記錄，只會(huì)在網(wǎng)站的web目志中留下一些數(shù)據(jù)提交記錄，很難發(fā)現(xiàn)入侵痕跡。

2 網(wǎng)頁(yè)木馬入侵步驟

網(wǎng)頁(yè)木馬入侵的一般步驟為：

（1）掃目錄。黑客入侵網(wǎng)站，一般第一件事就是掃目錄，如果掃到網(wǎng)站有上傳點(diǎn)，直接上傳木馬，很多asp網(wǎng)站的上傳點(diǎn)很容易猜到。

（2）通過(guò)漏洞向網(wǎng)站寫(xiě)入“小馬”。

（3）“小馬”代碼被網(wǎng)站執(zhí)行。

（4）通過(guò)木馬客戶(hù)端連接“小馬”。

（5）上傳“大馬”進(jìn)一步控制網(wǎng)站。

（6）配合“大馬”進(jìn)行提權(quán)。

（7）完全控制服務(wù)器。

3 網(wǎng)頁(yè)木馬上傳常用漏洞

3.1 上傳漏洞

因過(guò)濾上傳文件不嚴(yán)或其它漏洞，導(dǎo)致黑客可以直接上傳Web Shell到網(wǎng)站可寫(xiě)目錄中，從而拿到網(wǎng)站的管理員控制權(quán)限。譬如老版本的fckeditor編輯器的上傳組件存在公開(kāi)的漏洞，可以上傳任意格式的文件，只要短短幾分鐘，一個(gè)小馬就可以上傳到服務(wù)器。

3.2 SQL注入漏洞

由于程序沒(méi)有過(guò)濾用戶(hù)的輸入，攻擊者通過(guò)向服務(wù)器提交惡意的SQL查詢(xún)語(yǔ)句，應(yīng)用程序接收后錯(cuò)誤的將攻擊者的輸入作為原始SQL查詢(xún)語(yǔ)句的一部分執(zhí)行，導(dǎo)致改變了程序原始的SQL查詢(xún)邏輯，額外的執(zhí)行了攻擊者構(gòu)造的SQL查詢(xún)語(yǔ)句。SQL注入漏洞可以用來(lái)從數(shù)據(jù)庫(kù)獲取敏感信息，或者利用數(shù)據(jù)庫(kù)的特性執(zhí)行添加用戶(hù)，導(dǎo)出文件等一系列惡意操作，甚至有可能獲取數(shù)據(jù)庫(kù)乃至系統(tǒng)最高權(quán)限。

3.3 添加上傳文件類(lèi)型漏洞

有些網(wǎng)站后臺(tái)允許添加上傳類(lèi)型，由此很容易被黑客利用，譬如ewebeditor在線(xiàn)編輯器。eWebEditor提供了后臺(tái)登錄，如果沒(méi)有更改其默認(rèn)登錄用戶(hù)名及密碼，那么就可通過(guò)掃描器掃描其登錄后臺(tái)，添加上傳文件類(lèi)型，利用其上傳功能將包含一句話(huà)木馬的文件或者ASP木馬上傳到網(wǎng)站，然后運(yùn)行其進(jìn)行入侵攻擊。

3.4 后臺(tái)數(shù)據(jù)庫(kù)備份及恢復(fù)功能漏洞

主要是利用后臺(tái)對(duì)access數(shù)據(jù)庫(kù)的“備份數(shù)據(jù)庫(kù)”或“恢復(fù)數(shù)據(jù)庫(kù)”功能，“備份的數(shù)據(jù)庫(kù)路徑”等變量沒(méi)有過(guò)濾導(dǎo)致可以把任意文件后綴改為asp，從而得到 Web Shell。

3.5 IIS解析漏洞

在網(wǎng)站下建立名字為 *.asp、*.asa 的文件夾，其目錄內(nèi)的任何擴(kuò)展名的文件都被IIS當(dāng)作asp文件來(lái)解析并執(zhí)行。例如創(chuàng)建目錄vidun.asp，那么/vidun.asp/1.jpg將被當(dāng)作asp文件來(lái)執(zhí)行。

網(wǎng)站上傳圖片的時(shí)候，將網(wǎng)頁(yè)木馬文件的名字改成“*.asp；.jpg”，也同樣會(huì)被IIS當(dāng)作asp文件來(lái)解析并執(zhí)行。例如上傳一個(gè)圖片文件，名字叫“vidun.asp；.jpg”的木馬文件，該文件可以被當(dāng)作asp文件解析并執(zhí)行。

4 網(wǎng)頁(yè)木馬的防范

4.1 查找并堵塞網(wǎng)站漏洞

一切入侵活動(dòng)皆依賴(lài)漏洞，如果網(wǎng)站不存在漏洞，那么就不會(huì)被寫(xiě)入木馬。堵塞漏洞關(guān)鍵的是要知道黑客常用的入侵方式和經(jīng)常利用的漏洞，筆者在前文已經(jīng)做了介紹，網(wǎng)站管理者應(yīng)針對(duì)這些漏洞進(jìn)行測(cè)試，對(duì)于網(wǎng)站存在的漏洞，通過(guò)編程使其完善。

使用工具可以較快的發(fā)現(xiàn)網(wǎng)站的漏洞，然后進(jìn)行修補(bǔ)。利用御劍后臺(tái)掃描、wwwscan等網(wǎng)站漏洞掃描工具，可以檢查網(wǎng)站是否存在上傳點(diǎn)，后臺(tái)目錄是否獨(dú)特，是否能被黑客發(fā)現(xiàn)；利用IBM Rational AppScan、啊D、明小子、網(wǎng)站安全狗等工具可以檢查網(wǎng)站是否存在SQL注入點(diǎn)。

根據(jù)網(wǎng)站服務(wù)器上面查找到的木馬和網(wǎng)站日志，反推木馬上傳方式，查找網(wǎng)站安全漏洞，并進(jìn)行測(cè)試、修補(bǔ)和完善。

4.2 合理設(shè)置訪問(wèn)權(quán)限

網(wǎng)站的訪問(wèn)權(quán)限應(yīng)該做嚴(yán)格的限制。不需要寫(xiě)操作的文件或文件夾設(shè)置為只讀，需要寫(xiě)操作的文件或文件夾賦予讀寫(xiě)權(quán)限，但不允許執(zhí)行權(quán)限。

4.3 限制開(kāi)放功能函數(shù)和組件

網(wǎng)站應(yīng)該盡量少開(kāi)放甚至不開(kāi)放功能函數(shù)，如php的popen（）、exec（）、passthru（）、system（）；而對(duì)于asp的網(wǎng)站，應(yīng)限制Wscript.shell組件的使用。

4.4 過(guò)濾數(shù)據(jù)

網(wǎng)站系統(tǒng)對(duì)用戶(hù)提交的所有數(shù)據(jù)應(yīng)該進(jìn)行某些特殊符號(hào)的轉(zhuǎn)義，如單引號(hào)、反斜杠、尖括號(hào)等；對(duì)于網(wǎng)站留言和注冊(cè)功能，應(yīng)對(duì)用戶(hù)提交的數(shù)據(jù)進(jìn)行過(guò)濾，替換一些危險(xiǎn)的代碼。

4.5 提高安全意識(shí)

不使用默認(rèn)的數(shù)據(jù)庫(kù)路徑和默認(rèn)的管理員密碼；設(shè)置盡量獨(dú)特的后臺(tái)目錄結(jié)構(gòu)；涉及用戶(hù)名與口令的代碼最好封裝在服務(wù)器端；涉及到與數(shù)據(jù)庫(kù)連接的用戶(hù)名與口令給予最小的權(quán)限；需要經(jīng)過(guò)驗(yàn)證的頁(yè)面，跟蹤上一個(gè)頁(yè)面的文件名，只有從上一頁(yè)面轉(zhuǎn)進(jìn)來(lái)的會(huì)話(huà)才能讀取這個(gè)頁(yè)面；檢查html在線(xiàn)編輯器及其它具有上傳功能的軟件模塊是否存在上傳漏洞；為網(wǎng)站配置可靠的防注入程序，在數(shù)據(jù)庫(kù)中限制字符的類(lèi)型和長(zhǎng)度。

4.6 數(shù)據(jù)庫(kù)的安全設(shè)置

嚴(yán)格設(shè)置數(shù)據(jù)庫(kù)的寫(xiě)入操作；隱藏網(wǎng)站的數(shù)據(jù)庫(kù)，不讓攻擊者知道數(shù)據(jù)庫(kù)文件的鏈接地址；在數(shù)據(jù)庫(kù)連接文件中加入（下轉(zhuǎn)第227頁(yè)）（上接第79頁(yè)）容錯(cuò)代碼等，防止暴庫(kù)；數(shù)據(jù)庫(kù)進(jìn)行防下載處理。

4.7 日常多維護(hù)

定期備份網(wǎng)站源碼及數(shù)據(jù)庫(kù)文件，當(dāng)發(fā)現(xiàn)被入侵，及時(shí)修復(fù)網(wǎng)站源碼內(nèi)容。

定期全面檢查網(wǎng)站文件，根據(jù)文件夾及其文件屬性（名稱(chēng)、大小、文件類(lèi)型、修改時(shí)間等）判斷哪些文件及文件夾最近被修改過(guò)。通過(guò)比較修改時(shí)間來(lái)檢查是否有非法用戶(hù)上傳文件。

啟用并審核Web站點(diǎn)日志記錄，查看是否有非法上傳文件、SQL 注入等，及時(shí)發(fā)現(xiàn)和排除可疑文件。

使用D盾_web查殺軟件，可以較快的在海量的源文件代碼中查找隱藏在正常文件里的后門(mén)，極大的減少追查網(wǎng)頁(yè)木馬的工作量。

利用Macromedia Dreamweaver和操作系統(tǒng)自帶的搜索功能，對(duì)木馬的關(guān)鍵字搜索，比如<%eval request（ ）%>等，也可以發(fā)現(xiàn)部分網(wǎng)頁(yè)木馬。

【參考文獻(xiàn)】

[1]安曉瑞.ASP網(wǎng)站中asp一句話(huà)木馬的安全性問(wèn)題及防范措施的研究[J].首都師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2014.

[2]羅澤林，陳思亮，張貴洲，謝喬，莊小妹.網(wǎng)頁(yè)木馬的攻擊與防范[J].電腦知識(shí)與技術(shù)，2014.

[3]博客園 IIS解析漏洞[OL]. http：//www.cnblogs.com/xiaoyuyu/archive/2013/02/01/2889535.html

[責(zé)任編輯：鄧麗麗]