王新柳

網(wǎng)頁掛馬就是攻擊者在正常的頁面中插入一段代碼，當瀏覽者打開該網(wǎng)頁時，這段代碼就會被執(zhí)行，同時下載并運行所調(diào)用的木馬服務(wù)器端程序，進而控制瀏覽者的主機，以便對用戶實施各種攻擊。

黑客；網(wǎng)頁掛馬；檢測方法；預(yù)防對策

1.網(wǎng)頁掛馬的概念

網(wǎng)頁掛馬又稱之為網(wǎng)頁隱藏式惡意連結(jié)。網(wǎng)頁掛馬與釣魚網(wǎng)站（Phishing）不同之處，釣魚網(wǎng)站通常是設(shè)置一個以假亂真的網(wǎng)站，來欺騙網(wǎng)絡(luò)瀏覽者上當；網(wǎng)頁掛馬則是攻擊一個正常的網(wǎng)站，利用網(wǎng)路瀏覽者對于正常網(wǎng)站的信任感，讓使用者在不知不覺中被植入木馬程式，或者是駭客自行設(shè)立一個網(wǎng)站或虛設(shè)部落格，以各種方式吸引民眾瀏覽，再送出惡意程式。

2.網(wǎng)頁掛馬的危害

如果一臺正常的網(wǎng)絡(luò)服務(wù)器被惡意用戶入侵，其網(wǎng)頁被掛馬，在一定程度上可以說是網(wǎng)頁被篡改，其危害是巨大的，對于服務(wù)器而言，其一方面是帶寬與系統(tǒng)資源的占用巨大，另一方面直接導致該服務(wù)器成為木馬傳播之源，而對于受害網(wǎng)民來說，個人資料信息的安全將成為公眾目標，其電子銀行帳戶和密碼、游戲帳號和密碼、郵箱帳戶和密碼、QQ/MSN帳號和密碼等都不再安全。

3.網(wǎng)頁掛馬的方式

網(wǎng)頁掛馬中所使用的木馬隱蔽性都很高。黑客為躲避殺毒軟件對所掛木馬的查殺，常使用2種方法對所掛木馬進行特殊處理：加殼處理，即對源文件經(jīng)過特殊的算法進行壓縮、變形，經(jīng)過這道工序后木馬程序就會逃過大部分殺毒軟件的查殺；修改特征碼，即黑客對木馬中特征碼部分的代碼進行修改，將其加密或使用匯編指令將其跳轉(zhuǎn)，致使殺毒軟件無法找到病毒特征碼，從而不能將其判定為病毒。

常見的掛馬方式如下：將木馬偽裝為頁面元素，木馬則會被瀏覽器自動下載到本地；利用腳本運行的漏洞下載木馬；利用腳本運行的漏洞釋放隱含在網(wǎng)頁腳本中的木馬；將木馬偽裝為缺失的組件，或和缺失的組件捆綁在一起（例如：flash播放插件）這樣既達到了下載的目的，下載的組件又會被瀏覽器自動執(zhí)行；通過腳本運行調(diào)用某些com組件，利用其漏洞下載木馬；在渲染頁面內(nèi)容的過程中，利用格式溢出放木馬；在渲染頁面內(nèi)容的過程中，利用格式溢出下載木馬。

木馬的執(zhí)行方法。木馬在完成下載之后，執(zhí)行的方式有：利用頁面元素渲染過程中的格式溢出執(zhí)行shellcode進一步下載的木馬；利用腳本運行的漏洞執(zhí)行木馬；偽裝成缺失組件的安裝包被瀏覽器自動執(zhí)行；通過腳本調(diào)用com組件利用其漏洞執(zhí)行木馬；利用頁面元素渲染過程中的格式溢出直接執(zhí)行木馬；利用com組件與外部其他程序通訊，通過其他程序啟動木馬。

為了躲開殺毒軟件的查殺，一些網(wǎng)馬還會進行以下操作：修改系統(tǒng)時間，使殺毒軟件失效；摘除殺毒軟件的HOOK掛鉤，使殺毒軟件檢測失效；修改殺毒軟件病毒庫，使之檢測不到惡意代碼；通過溢出漏洞不直接執(zhí)行惡意代碼，而是執(zhí)行一段調(diào)用腳本，以躲避殺毒軟件對父進程的檢測。

4.網(wǎng)頁掛馬的防御及預(yù)防

網(wǎng)頁木馬的檢測及防御。網(wǎng)頁的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上傳漏洞、暴庫漏洞和程序漏洞等等，網(wǎng)站管理員要利用入侵檢測等安全工具定期對自己的網(wǎng)站進行安全性檢測，及時對安全設(shè)置錯誤或代碼進行修證與改寫。

網(wǎng)頁掛馬的檢測。檢測偽裝文件格式。通過對文件格式精確的識別，判斷頁面元素是否為偽裝的惡意代碼。檢查頁面元素來源是否為長期散布網(wǎng)頁掛馬的站點。

檢測特定函數(shù)調(diào)用堆棧實現(xiàn)。

區(qū)分用戶下載文件，瀏覽器自動下載文件。

檢測已知緩沖區(qū)漏洞。

檢測進程創(chuàng)建調(diào)用堆棧、調(diào)用參數(shù)是否和瀏覽器常規(guī)一致，以檢測未知漏洞造成的文件執(zhí)行。對文件執(zhí)行進行監(jiān)控，檢測文件執(zhí)行參數(shù)等特征。對部分目錄寫文件操作進行監(jiān)控。

檢測系統(tǒng)時鐘修改。檢測對系統(tǒng)DLL內(nèi)存鏡像修改（導入、導出表、函數(shù)體內(nèi)容）。檢查PE文件和CAB包裹的數(shù)字簽名。特定文件格式檢測，檢測已知的格式溢出。通過對以上幾項的加權(quán)處理，可以實現(xiàn)有效對已知和未知網(wǎng)頁掛馬的檢測。

客戶端檢測防御方式。特征匹配。將網(wǎng)頁掛馬的腳本按腳本病毒處理進行檢測。但由于網(wǎng)頁腳本變形方式、加密方式比起傳統(tǒng)的PE格式病毒更為多樣，檢測起來也更加困難。主動防御，禁止瀏覽器安裝危險小插件。當瀏覽器要做出某些動作時，會做出提示，例如：下載了某插件的安裝包，會提示是否運行，比如瀏覽器創(chuàng)建一個暴風影音播放器時，提示是否允許運行。在多數(shù)情況下用戶都會點擊是，網(wǎng)頁木馬會因此得到執(zhí)行。檢查父進程是否為瀏覽器。許多木馬很容易躲過這種方法，并且會對很多插件造成誤報。及時補漏。網(wǎng)頁木馬的運行原理是利用IE瀏覽器的漏洞，因此用戶要開啟系統(tǒng)“自動更新”功能，或者使用360安全衛(wèi)士或其他專業(yè)檢測工具對系統(tǒng)及應(yīng)用軟件進行實時漏洞掃描，及時打上最新漏洞補丁，并定期檢查各種應(yīng)用軟件的更新，以杜絕木馬利用應(yīng)用軟件的漏洞進行傳播。

網(wǎng)站防御方法。合理設(shè)置服務(wù)器，反注冊，卸載危險組件。對網(wǎng)站首頁及其他主要頁面的源代碼進行檢查，用記事本打開這些頁面，檢查是否有掛馬代碼。建議用戶通過ftp來上傳、維護網(wǎng)頁，盡量不安裝asp的上傳程序。對asp上傳程序的調(diào)用一定要進行身份認證，并只允許信任的人使用上傳程序。這其中包括各種新聞發(fā)布、商城及論壇程序，只要可以上傳文件的asp都要進行身份認證！asp程序管理員的用戶名和密碼要有一定復雜性，不能過于簡單，要注意定期更換。到正規(guī)網(wǎng)站下載asp程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進行修改，數(shù)據(jù)庫文件名稱應(yīng)具有一定的復雜性。要盡量保持程序為最新版本。不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。為防止程序有未知漏洞，可以在維護后刪除后臺管理程序的登陸頁面，下次維護時再通過ftp上傳即可。要時常備份數(shù)據(jù)庫等重要文件。日常要多維護，并注意空間中是否有來歷不明的asp文件。一旦發(fā)現(xiàn)被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。重新上傳文件前，所有asp程序用戶名和密碼都要重置，并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑。定期利用網(wǎng)站掛馬檢測軟件進行檢測。

網(wǎng)站掛馬恢復措施。整站被掛馬，最快速的恢復方法是：除開數(shù)據(jù)庫、上傳目錄之外，替換掉其他所有文件；仔細檢查網(wǎng)站上傳目錄存放的文件，很多木馬偽裝成圖片保存在上傳目錄，你直接把上傳文件夾下載到本地，用縮略圖的形式，查看是不是圖片，如果不顯示，則一律刪除；數(shù)據(jù)庫里面存在木馬，則把數(shù)據(jù)庫的木馬代碼清除！可以采用查找替換；如果網(wǎng)站源文件沒有，則需要FTP下載網(wǎng)站文件，然后再DW里面，用替換清除的方式一個個清除，注意網(wǎng)站的木馬數(shù)，如果被掛了很多不同的，必須多多檢查！

5.避免網(wǎng)頁掛馬的安全措施

加強教育和宣傳，提高公眾網(wǎng)絡(luò)的安全意識。信息安全意識是指人們在上網(wǎng)的過程中，對信息安全重要性的認識水平，發(fā)現(xiàn)影響網(wǎng)絡(luò)安全行為的敏銳性，維護網(wǎng)絡(luò)安全的主動性。采用多重網(wǎng)絡(luò)技術(shù)，保證網(wǎng)絡(luò)信息安全。目前，常用的網(wǎng)絡(luò)安全技術(shù)，主要包括：防火墻，物理隔離，VPN（虛擬專用網(wǎng)）。

運用密碼技術(shù)，強化通信安全。應(yīng)圍繞數(shù)字證書應(yīng)用，為電子政府信息網(wǎng)絡(luò)中各種業(yè)務(wù)應(yīng)用提供信息的真實性、完整性、機密性和不可否認性保證。在業(yè)務(wù)系統(tǒng)中建立有效的信任管理機制、授權(quán)控制機制和嚴密的責任機制。

加強技術(shù)管理，努力做到使用安全。在內(nèi)部嚴格控制企業(yè)內(nèi)部人員對網(wǎng)絡(luò)共享資源的隨意使用。在內(nèi)網(wǎng)中，除有特殊需要不要輕易開放共享目錄，對有經(jīng)常交換信息要求的用戶，在共享時應(yīng)該加密，即只有通過密碼的認證才允許訪問數(shù)據(jù)。

健全法律，嚴格執(zhí)法。目前我國在網(wǎng)絡(luò)信息法律法規(guī)方面還有很多缺失，不能有效地保護公眾的合法權(quán)益，給一些犯罪分子帶來了可乘之機。我國立法部門應(yīng)加快立法進程，使網(wǎng)絡(luò)安全管理走上法制化軌道。