為什么要網(wǎng)站掛馬
為什么要網(wǎng)站掛馬
如今電腦病毒的種類越來越多了,那么你們知道網(wǎng)站為什么掛馬嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于網(wǎng)站掛馬的相關(guān)資料,供你參考。
什么叫網(wǎng)站掛馬?
網(wǎng)站掛馬指的是把一個(gè)木馬程序上傳到一個(gè)網(wǎng)站里面然后用木馬生成器生一個(gè)網(wǎng)馬,再上到空間里面!再加代碼使得木馬在打開網(wǎng)頁時(shí)運(yùn)行!作為網(wǎng)站掛馬的散布者,其目的是將木馬下載到用戶本地,并進(jìn)一步執(zhí)行,當(dāng)木馬獲得執(zhí)行之后,就意味著會(huì)有更多的木馬被下載,進(jìn)一步被執(zhí)行,進(jìn)入一個(gè)惡性的循環(huán),從而使用戶的電腦遭到攻擊和控制。為達(dá)到目的首先要將木馬下載到本地。
1.將木馬偽裝為頁面元素。木馬則會(huì)被瀏覽器自動(dòng)下載到本地。2.利用腳本運(yùn)行的漏洞下載木馬3.利用腳本運(yùn)行的漏洞釋放隱含在網(wǎng)頁腳本中的木馬4.將木馬偽裝為缺失的組件,或和缺失的組件捆綁在一起(例如:flash播放插件)。這樣既達(dá)到了下載的目的,下載的組件又會(huì)被瀏覽器自動(dòng)執(zhí)行。5.通過腳本運(yùn)行調(diào)用某些com組件,利用其漏洞下載木馬。6.在渲染頁面內(nèi)容的過程中利用格式溢出釋放木馬(例如:ani格式溢出漏洞)7.在渲染頁面內(nèi)容的過程中利用格式溢出下載木馬(例如:flash9.0.115的播放漏洞)
網(wǎng)站掛馬背景
通過對近期網(wǎng)內(nèi)檢測到的623個(gè)被掛馬網(wǎng)站所使用的Web服務(wù)程序類型以及編寫網(wǎng)頁所使用的腳本語言類型進(jìn)行的統(tǒng)計(jì)分析:
圖 腳本語言及服務(wù)程序類型分布統(tǒng)計(jì)
從圖中可以看出,被掛馬網(wǎng)站使用最為廣泛的是IIS服務(wù),其次是Apche服務(wù)。容易被掛馬的多數(shù)是ASP編寫的網(wǎng)頁,而直接使用HTML的靜態(tài)頁面則相對安全。是什么導(dǎo)致了IIS+ASP的服務(wù)組合容易被掛馬?這需要從造成網(wǎng)站被掛馬的原因說起。
網(wǎng)站掛馬的產(chǎn)生原因
1. 網(wǎng)站服務(wù)器的系統(tǒng)或應(yīng)用程序存在安全漏洞導(dǎo)致網(wǎng)頁被掛馬
所有的系統(tǒng)和應(yīng)用軟件都可能存在漏洞,各廠商會(huì)針對自己的產(chǎn)品定期發(fā)布安全公告和補(bǔ)丁程序,如果管理員疏于管理,不及時(shí)的安裝補(bǔ)丁,就可能導(dǎo)致漏洞被攻擊者利用從而篡改網(wǎng)頁進(jìn)行掛馬。Windows系統(tǒng)和Linux系統(tǒng)一樣都會(huì)存在漏洞,但是由于Windows系統(tǒng)的普及率及版本的通用性使得攻擊者更熱衷于去開發(fā)Windows底下的攻擊程序,這就導(dǎo)致運(yùn)行在Windows下的IIS+ASP的搭配更易受到攻擊。
當(dāng)然這并不表示Linux系統(tǒng)就不會(huì)被攻擊(數(shù)據(jù)顯示Apache+PHP一樣也會(huì)被掛馬),只是相對于Windows來說它被攻擊的幾率會(huì)小一些。另外除了操作系統(tǒng)外,所有向外提供網(wǎng)絡(luò)服務(wù)的程序(如IIS、Apache、SQLserver、MySQL等)都需要打補(bǔ)丁。
2. 網(wǎng)頁代碼編寫有問題導(dǎo)致網(wǎng)頁被掛馬
網(wǎng)頁代碼編寫的問題主要體現(xiàn)在兩個(gè)方面,一是有數(shù)據(jù)庫操作的代碼對用戶提交的參數(shù)沒有嚴(yán)格進(jìn)行限制,導(dǎo)致用戶可以利用特定的輸入?yún)?shù)對數(shù)據(jù)庫進(jìn)行讀寫操作,從而得以向數(shù)據(jù)中插入掛馬鏈接,這也就是我們常說的SQL注入攻擊(這類攻擊是目前造成網(wǎng)站掛馬的首要原因)。
代碼編寫存在的另一種問題是網(wǎng)站頁面代碼本身實(shí)現(xiàn)了上傳附件的功能,但是在實(shí)現(xiàn)過程中對用戶所上傳附件的文件類型限制不嚴(yán),導(dǎo)致攻擊者可以上傳木馬文件控制服務(wù)器進(jìn)而對網(wǎng)頁進(jìn)行掛馬(常見于開源的論壇搭建代碼)。
3. 服務(wù)器感染病毒導(dǎo)致網(wǎng)頁被掛馬
一些病毒感染系統(tǒng)后會(huì)在系統(tǒng)上所有的網(wǎng)頁文件中加入掛馬鏈接,如果感染病毒的是Web服務(wù)器或者是用于網(wǎng)頁開發(fā)的系統(tǒng),那么網(wǎng)站的網(wǎng)頁中就可能被插入掛馬鏈接。還有一些病毒則會(huì)通過ARP欺騙來劫持整個(gè)局域網(wǎng)內(nèi)80端口的鏈接,并修改網(wǎng)絡(luò)數(shù)據(jù)包,插入掛馬鏈接。
如果Web服務(wù)器所在的局域網(wǎng)內(nèi)有其他機(jī)器感染這類病毒就可能導(dǎo)致外部用戶訪問到的頁面存在掛馬鏈接。由于Linux系統(tǒng)的下的病毒數(shù)量遠(yuǎn)少于Windows,這也是造成IIS+ASP比其他搭配更容易遭受掛馬攻擊的原因之一。
看過文章“網(wǎng)站掛馬"的人還看了: