您当前的位置: 首页 > 健康

1简单挂马

2018-10-30 12:00:32

1、 简单挂马

首页被挂马,登录站后,杀毒软件报警,检查后,发现首页p检查,底部出现,清理掉后,页面即正常,这种挂马主要以直接修改首页文件为主,容易发现和清理。

2、 页后门挂马

登录站任何页面都出现杀毒报警,按之前的方法查看p,并且去掉了iframe语句。但却发现问题依然存在,于是查看其他文件页木马。

3、 数据库挂马

访问首页病毒报警,全盘查找,没有发现首页和其他文件被篡改,如果对比所有文件的md5,发现文件没有任何篡改的迹象,也就是说文件还是那些文件,为啥会出现挂马页面呢?可以考虑检查数据库中表单是否被挂马,页木马并没有挂在文件里,而是挂在数据库内容里。原理是首页调用活动的时候,从数据库里读出表单内容,形成页,因此读取的地方被插入了挂马语句,通过日志分析可以看到类似sql注入漏洞的log:

'

and 1=1

and 1=2--

可能初会有一些探测语句。发现挂马的动作:

update news set ziduan=' where id=8

从此判断应该是p存在注入问题,因此加入对变量类型判断和关键字过滤等工作,再将数据库中的挂马字段进行修改。可用云锁轻松拦截这些语句。

4、 文件调用挂马

应查看被调用的其他页面,常见的p等被包含的文件,有可能被插入后门,为啥修改这一个文件就能这么大威力呢?因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查,例如数据库日志寻找一下是否有类似执行master..xp_cmdshell的记录,攻击者可能利用该扩展功能执行了系统命令来修改了文件,建议修改数据库口令,把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽,只允许本机访问。用云锁的防火墙功能进行拦截,并且可以扫描出被挂马的文件。

5、 arp挂马

用户反映访问站的时候,杀毒软件提示病毒,但是登录服务器自己访问或本地ip,却没有发现被挂马,但是所有用户通过域名去访问,就会有提示,可以通过服务器上进行抓包分析,检查是否能发现大量arp包,这种arp包通常是将服务器的mac地址转向另一个ip,利用arp协议进行挂马,这种情况的花需要在交换机上进行mac和ip地址绑定,在交换机上进行配置以后。

6、 域名劫持挂马

直接在服务器通过ip访问就正常,用户通过域名访问就是提示有病毒,此时ping 自己站域名的时候,如果显示的ip和真实的不一样,需要赶紧查看域名解析是否被修改,登录域名管理后台,修改为正常的,并且修改管理密码。

7、 后台程序挂马

更新页的后台程序,一般会使用一些熟悉的路径,例如:

这种后台程序的链接虽然不公开给用户,但是经常容易被猜到,那么这种情况下,后台的用户名密码可以利用暴力破解的工具来穷举,理论上说破解只是时间问题,攻击者登录后台以后,就可以很方便的直接修改内容进行挂马,往往修改后台地址路径是个很费劲的工作,因为修改路径以后还需要考虑调整其他相关的程序,路径都要改成一致,可以利用云锁的重定向功能完成。

页被植入恶意后门或者暗链、挂马,虽然看起来直接影响的是站访问者,但实际上站也会产生损失,例如搜索引擎的排名由于反复的中毒、关机重装导致迅速滑落位置,甚至有时候直接被提醒含有恶意代码,客户久而久之也会慢慢流逝,所以需要尽早利用云锁来解决这些问题。

李子苗
油温机
清补凉
推荐阅读
图文聚焦