仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳
大家看到這個標題一定會很有感覺吧,是否有些疑惑呢?首先我來解釋下標題的意思。
第一個「網馬」指的是網頁木馬,就是駭客口中所謂的webshell。 那什麼又是webshell呢?其實wenshell說穿了就是駭客入侵一個網站之後在這個網站目錄裡留下的後門,不過這個後門是一個網頁,webshell功能很強大,可以列出網站的所有目錄,可以任意更改新建甚至刪除網站上的檔。 往往網站被掛馬就是通過這種後門實現的,當然webshell還有其他更多強大的功能,比如掃描埠、連接資料庫、甚至通過此後門拿到伺服器最高許可權等等。 而標題上第二個「網馬」的意思是網住木馬,就是揪出網頁木馬的意思。
相信很多站長都有被掛馬的經歷吧,那是讓人不齒的行為,更為所有站長所痛恨。 被掛馬確實是件令人頭疼的事情。 首頁被掛馬也就算了,最讓人難以忍受的就是所有的網頁都被掛馬。 難道要我們挨個去查找麼。 愚公移山的那種笨勁兒咱可不能有。 接下來我就給大家講講如何通過網馬(webshell)來揪出網站的後門木馬。
曾經年少輕狂的我為追求駭客做出過巨大的努力,雖一事無成卻也多少學了點東西。 首先聲明下,本人從未掛過馬。 切入正題吧。 其實很簡單,很多後門網馬都有這麼一個功能,就是批量清馬和查找網馬,本來駭客開發出這種木馬是為了清除其他駭客留下的木馬進而能夠獨佔這個網站。 而到我們站長手裡就變成了清除所有網馬的利器。
我就拿我的一個asp的網站做實驗。 首先我在根目錄上傳了兩個網馬,一個是大馬(功能強大)一個小馬(僅有上傳功能),暫且命名為dama.asp和xiaoma.asp。 這就是類比一個駭客入侵你的網站後留下的後門。 看我如何網住這兩個木馬。
我將一個網馬(webshell,命名為520.asp)上傳到網站上,並進入這個網頁木馬,如下所示
看到上面的功能沒?有個查找檔-木馬,點進去
直接點擊 開始掃描,稍等片刻就會列出結果如下
檔相對路徑 特徵碼 描述 創建/修改時間 D:\www\15946\520.ASP
結果出來了,不過似乎腳本被加密了,這樣的一看就知道是木馬,因為我們做網站這些動態網頁我們根本不可能去加密,駭客加密它是為了防止被殺毒軟體殺掉以起到免殺的目的。 那是dama.asp和我自己上傳的查網馬的木馬520.asp。 除此之外xiaoma.asp的描述是「使用了FSO的CreateTextFile| OpenTextFile讀寫檔」,這是小馬的特徵。
網頁木馬就是通過FSO的CreateTextFile| OpenTextFile來創建打開網站上的檔的。 當然不排除我們自己的網頁也會有此功能,這就需要我們進去具體查看,當然還有捷徑。 大家看看不是列出了很多檔吧,那些東西怎麼判斷呢?看後面的創建修改時間,其他的檔都是4月19號的而其中三個是4月21號的,新建的,這就很容易判定是網馬,其他的那些檔都是一些系統性的檔,不可能是新日期。
駭客還有一種手段就是往現有的網頁中插入一句話木馬,這個判斷起來一樣道理,就是一句話木馬有執行功能一定會有execute函數,但是我們的網站後臺檔也會有此功能,怎麼區別呢?還是看時間,但是要是伺服器許可權設置的差勁到家了, 可以被駭客利用起來運行EXE檔進行修改創建時間,這種情況我就不說了。 因為要是那樣的話,你可以馬上轉移伺服器,暫停此時的風險投資了。
還有批量清馬的問題,很多網頁被掛馬了,只要找出網馬代碼,然後點擊 批量清馬在要清的馬後面的框框裡填上找到的網頁木馬代碼,點擊開始執行,即可。 如下所示
一般駭客在頁面掛馬都是通過調用iframe框架將寬和高還有邊框之類的設置為0,即隱藏來達到掛馬目的的。 用這一招就可以讓網馬煙消雲散了。
好了,這篇文章到此結束。 如有疑問,可以向我詢問。 QQ:22622467。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
