王新柳

網(wǎng)頁掛馬就是攻擊者在正常的頁面中插入一段代碼，當(dāng)瀏覽者打開該網(wǎng)頁時(shí)，這段代碼就會(huì)被執(zhí)行，同時(shí)下載并運(yùn)行所調(diào)用的木馬服務(wù)器端程序，進(jìn)而控制瀏覽者的主機(jī)，以便對用戶實(shí)施各種攻擊。

黑客；網(wǎng)頁掛馬；檢測方法；預(yù)防對策

1.網(wǎng)頁掛馬的概念

網(wǎng)頁掛馬又稱之為網(wǎng)頁隱藏式惡意連結(jié)。網(wǎng)頁掛馬與釣魚網(wǎng)站（Phishing）不同之處，釣魚網(wǎng)站通常是設(shè)置一個(gè)以假亂真的網(wǎng)站，來欺騙網(wǎng)絡(luò)瀏覽者上當(dāng)；網(wǎng)頁掛馬則是攻擊一個(gè)正常的網(wǎng)站，利用網(wǎng)路瀏覽者對于正常網(wǎng)站的信任感，讓使用者在不知不覺中被植入木馬程式，或者是駭客自行設(shè)立一個(gè)網(wǎng)站或虛設(shè)部落格，以各種方式吸引民眾瀏覽，再送出惡意程式。

2.網(wǎng)頁掛馬的危害

如果一臺(tái)正常的網(wǎng)絡(luò)服務(wù)器被惡意用戶入侵，其網(wǎng)頁被掛馬，在一定程度上可以說是網(wǎng)頁被篡改，其危害是巨大的，對于服務(wù)器而言，其一方面是帶寬與系統(tǒng)資源的占用巨大，另一方面直接導(dǎo)致該服務(wù)器成為木馬傳播之源，而對于受害網(wǎng)民來說，個(gè)人資料信息的安全將成為公眾目標(biāo)，其電子銀行帳戶和密碼、游戲帳號和密碼、郵箱帳戶和密碼、QQ/MSN帳號和密碼等都不再安全。

3.網(wǎng)頁掛馬的方式

網(wǎng)頁掛馬中所使用的木馬隱蔽性都很高。黑客為躲避殺毒軟件對所掛木馬的查殺，常使用2種方法對所掛木馬進(jìn)行特殊處理：加殼處理，即對源文件經(jīng)過特殊的算法進(jìn)行壓縮、變形，經(jīng)過這道工序后木馬程序就會(huì)逃過大部分殺毒軟件的查殺；修改特征碼，即黑客對木馬中特征碼部分的代碼進(jìn)行修改，將其加密或使用匯編指令將其跳轉(zhuǎn)，致使殺毒軟件無法找到病毒特征碼，從而不能將其判定為病毒。

常見的掛馬方式如下：將木馬偽裝為頁面元素，木馬則會(huì)被瀏覽器自動(dòng)下載到本地；利用腳本運(yùn)行的漏洞下載木馬；利用腳本運(yùn)行的漏洞釋放隱含在網(wǎng)頁腳本中的木馬；將木馬偽裝為缺失的組件，或和缺失的組件捆綁在一起（例如：flash播放插件）這樣既達(dá)到了下載的目的，下載的組件又會(huì)被瀏覽器自動(dòng)執(zhí)行；通過腳本運(yùn)行調(diào)用某些com組件，利用其漏洞下載木馬；在渲染頁面內(nèi)容的過程中，利用格式溢出放木馬；在渲染頁面內(nèi)容的過程中，利用格式溢出下載木馬。

木馬的執(zhí)行方法。木馬在完成下載之后，執(zhí)行的方式有：利用頁面元素渲染過程中的格式溢出執(zhí)行shellcode進(jìn)一步下載的木馬；利用腳本運(yùn)行的漏洞執(zhí)行木馬；偽裝成缺失組件的安裝包被瀏覽器自動(dòng)執(zhí)行；通過腳本調(diào)用com組件利用其漏洞執(zhí)行木馬；利用頁面元素渲染過程中的格式溢出直接執(zhí)行木馬；利用com組件與外部其他程序通訊，通過其他程序啟動(dòng)木馬。

為了躲開殺毒軟件的查殺，一些網(wǎng)馬還會(huì)進(jìn)行以下操作：修改系統(tǒng)時(shí)間，使殺毒軟件失效；摘除殺毒軟件的HOOK掛鉤，使殺毒軟件檢測失效；修改殺毒軟件病毒庫，使之檢測不到惡意代碼；通過溢出漏洞不直接執(zhí)行惡意代碼，而是執(zhí)行一段調(diào)用腳本，以躲避殺毒軟件對父進(jìn)程的檢測。

4.網(wǎng)頁掛馬的防御及預(yù)防

網(wǎng)頁木馬的檢測及防御。網(wǎng)頁的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上傳漏洞、暴庫漏洞和程序漏洞等等，網(wǎng)站管理員要利用入侵檢測等安全工具定期對自己的網(wǎng)站進(jìn)行安全性檢測，及時(shí)對安全設(shè)置錯(cuò)誤或代碼進(jìn)行修證與改寫。

網(wǎng)頁掛馬的檢測。檢測偽裝文件格式。通過對文件格式精確的識(shí)別，判斷頁面元素是否為偽裝的惡意代碼。檢查頁面元素來源是否為長期散布網(wǎng)頁掛馬的站點(diǎn)。

檢測特定函數(shù)調(diào)用堆棧實(shí)現(xiàn)。

區(qū)分用戶下載文件，瀏覽器自動(dòng)下載文件。

檢測已知緩沖區(qū)漏洞。

檢測進(jìn)程創(chuàng)建調(diào)用堆棧、調(diào)用參數(shù)是否和瀏覽器常規(guī)一致，以檢測未知漏洞造成的文件執(zhí)行。對文件執(zhí)行進(jìn)行監(jiān)控，檢測文件執(zhí)行參數(shù)等特征。對部分目錄寫文件操作進(jìn)行監(jiān)控。

檢測系統(tǒng)時(shí)鐘修改。檢測對系統(tǒng)DLL內(nèi)存鏡像修改（導(dǎo)入、導(dǎo)出表、函數(shù)體內(nèi)容）。檢查PE文件和CAB包裹的數(shù)字簽名。特定文件格式檢測，檢測已知的格式溢出。通過對以上幾項(xiàng)的加權(quán)處理，可以實(shí)現(xiàn)有效對已知和未知網(wǎng)頁掛馬的檢測。

客戶端檢測防御方式。特征匹配。將網(wǎng)頁掛馬的腳本按腳本病毒處理進(jìn)行檢測。但由于網(wǎng)頁腳本變形方式、加密方式比起傳統(tǒng)的PE格式病毒更為多樣，檢測起來也更加困難。主動(dòng)防御，禁止瀏覽器安裝危險(xiǎn)小插件。當(dāng)瀏覽器要做出某些動(dòng)作時(shí)，會(huì)做出提示，例如：下載了某插件的安裝包，會(huì)提示是否運(yùn)行，比如瀏覽器創(chuàng)建一個(gè)暴風(fēng)影音播放器時(shí)，提示是否允許運(yùn)行。在多數(shù)情況下用戶都會(huì)點(diǎn)擊是，網(wǎng)頁木馬會(huì)因此得到執(zhí)行。檢查父進(jìn)程是否為瀏覽器。許多木馬很容易躲過這種方法，并且會(huì)對很多插件造成誤報(bào)。及時(shí)補(bǔ)漏。網(wǎng)頁木馬的運(yùn)行原理是利用IE瀏覽器的漏洞，因此用戶要開啟系統(tǒng)“自動(dòng)更新”功能，或者使用360安全衛(wèi)士或其他專業(yè)檢測工具對系統(tǒng)及應(yīng)用軟件進(jìn)行實(shí)時(shí)漏洞掃描，及時(shí)打上最新漏洞補(bǔ)丁，并定期檢查各種應(yīng)用軟件的更新，以杜絕木馬利用應(yīng)用軟件的漏洞進(jìn)行傳播。

網(wǎng)站防御方法。合理設(shè)置服務(wù)器，反注冊，卸載危險(xiǎn)組件。對網(wǎng)站首頁及其他主要頁面的源代碼進(jìn)行檢查，用記事本打開這些頁面，檢查是否有掛馬代碼。建議用戶通過ftp來上傳、維護(hù)網(wǎng)頁，盡量不安裝asp的上傳程序。對asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證，并只允許信任的人使用上傳程序。這其中包括各種新聞發(fā)布、商城及論壇程序，只要可以上傳文件的asp都要進(jìn)行身份認(rèn)證！asp程序管理員的用戶名和密碼要有一定復(fù)雜性，不能過于簡單，要注意定期更換。到正規(guī)網(wǎng)站下載asp程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改，數(shù)據(jù)庫文件名稱應(yīng)具有一定的復(fù)雜性。要盡量保持程序?yàn)樽钚掳姹?。不要在網(wǎng)頁上加注后臺(tái)管理程序登陸頁面的鏈接。為防止程序有未知漏洞，可以在維護(hù)后刪除后臺(tái)管理程序的登陸頁面，下次維護(hù)時(shí)再通過ftp上傳即可。要時(shí)常備份數(shù)據(jù)庫等重要文件。日常要多維護(hù)，并注意空間中是否有來歷不明的asp文件。一旦發(fā)現(xiàn)被入侵，除非自己能識(shí)別出所有木馬文件，否則要?jiǎng)h除所有文件。重新上傳文件前，所有asp程序用戶名和密碼都要重置，并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺(tái)管理程序的路徑。定期利用網(wǎng)站掛馬檢測軟件進(jìn)行檢測。

網(wǎng)站掛馬恢復(fù)措施。整站被掛馬，最快速的恢復(fù)方法是：除開數(shù)據(jù)庫、上傳目錄之外，替換掉其他所有文件；仔細(xì)檢查網(wǎng)站上傳目錄存放的文件，很多木馬偽裝成圖片保存在上傳目錄，你直接把上傳文件夾下載到本地，用縮略圖的形式，查看是不是圖片，如果不顯示，則一律刪除；數(shù)據(jù)庫里面存在木馬，則把數(shù)據(jù)庫的木馬代碼清除！可以采用查找替換；如果網(wǎng)站源文件沒有，則需要FTP下載網(wǎng)站文件，然后再DW里面，用替換清除的方式一個(gè)個(gè)清除，注意網(wǎng)站的木馬數(shù)，如果被掛了很多不同的，必須多多檢查！

5.避免網(wǎng)頁掛馬的安全措施

加強(qiáng)教育和宣傳，提高公眾網(wǎng)絡(luò)的安全意識(shí)。信息安全意識(shí)是指人們在上網(wǎng)的過程中，對信息安全重要性的認(rèn)識(shí)水平，發(fā)現(xiàn)影響網(wǎng)絡(luò)安全行為的敏銳性，維護(hù)網(wǎng)絡(luò)安全的主動(dòng)性。采用多重網(wǎng)絡(luò)技術(shù)，保證網(wǎng)絡(luò)信息安全。目前，常用的網(wǎng)絡(luò)安全技術(shù)，主要包括：防火墻，物理隔離，VPN（虛擬專用網(wǎng)）。

運(yùn)用密碼技術(shù)，強(qiáng)化通信安全。應(yīng)圍繞數(shù)字證書應(yīng)用，為電子政府信息網(wǎng)絡(luò)中各種業(yè)務(wù)應(yīng)用提供信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性保證。在業(yè)務(wù)系統(tǒng)中建立有效的信任管理機(jī)制、授權(quán)控制機(jī)制和嚴(yán)密的責(zé)任機(jī)制。

加強(qiáng)技術(shù)管理，努力做到使用安全。在內(nèi)部嚴(yán)格控制企業(yè)內(nèi)部人員對網(wǎng)絡(luò)共享資源的隨意使用。在內(nèi)網(wǎng)中，除有特殊需要不要輕易開放共享目錄，對有經(jīng)常交換信息要求的用戶，在共享時(shí)應(yīng)該加密，即只有通過密碼的認(rèn)證才允許訪問數(shù)據(jù)。

健全法律，嚴(yán)格執(zhí)法。目前我國在網(wǎng)絡(luò)信息法律法規(guī)方面還有很多缺失，不能有效地保護(hù)公眾的合法權(quán)益，給一些犯罪分子帶來了可乘之機(jī)。我國立法部門應(yīng)加快立法進(jìn)程，使網(wǎng)絡(luò)安全管理走上法制化軌道。