CONSULTING QIAN1
咨询千一
选择下列产品马上在线沟通
微信扫码咨询
咨询电话:0833-2134912
你可能遇到了下面的问题
关闭右侧工具栏

研习记录

windows服务器挂马分析与处理之一:挂马篡改分析
  • 作者:CHEN
  • 来源:2019/3/28记
服务器近期遭遇挂马严重,平时忙于工作每次都是删除木马,开启防篡改保护,没有从根本上解决问题。本次决定安排时间专门学习WEB渗透,针对ASP、PHP企业网站安全防护作一些研究。

一、网页篡改常见形式
1、js跳转
黑产分子一般通过将正常网站首页置入跳转脚本,当网站打开时,跳转到非法网站。这些非法网站向他们支付费用。有时还可以看到黑产分子放置的统计代码。
通常,这些js跳转代码会藏在jquery脚本末尾,这样不容易被发现,而且每个引用了jquery的页面都能跳转。
其次,脚本会判断用户是否为初次访问,记录cookie。只有初次访问才跳转到非法网站。这么做好处是客户第二次访问时正常内容,以为是自己电脑出了问题,所以不会通知维护人员。更精明的是,黑客可以先不跳转,等经常访问网站的维护人员和网站所属企业职员记录下cookie,这样这类人员访问时将不会发现异常。
黑客(黑产分子)最关心的是经常访问网站的维护人员和网站所属企业员工。要让他们不发现网页被破坏,才能让跳转代码不被清理,使其他访客能长期被带到非法网站从而赢利。

2、搜索引擎篡改
此类篡改一般将网站的SEO相关标签,即title、keyword、description篡改为非法网站的信息,如某某在线娱乐城。为了不被发现,他们只把篡改内容给搜索引擎看,而向用户返回正常页面。下图是一个典型的篡改页面:

被篡改的网站首页
 
可以看到,<title>标签内容被篡改为&#;的形式,此为html实体编码,即&#unicode编号;,这样可以防止挂马检测软件发现。又不影响搜索引擎蜘蛛爬取。当然,要向用户返回正常页面还得使用document.title=’’来将标题改成正常内容。
此类篡改对维护人员来说相当麻烦,主要是搜索引擎会阻止访问网站和搜索结果变成非法信息。
https://timgsa.baidu.com/timg?image&quality=80&size=b9999_10000&sec=1553613552853&di=ed5bd9d77f50f4d18056e8c7484ea8b3&imgtype=0& data-cke-saved-src=http%3A%2F%2Fimg2.ph.126.net%2F7sx3BBZ5K5prefgRYH0vVQ%3D%3D%2F3145482864841618982.png src=http%3A%2F%2Fimg2.ph.126.net%2F7sx3BBZ5K5prefgRYH0vVQ%3D%3D%2F3145482864841618982.png
篡改后的网站在百度收录中的展示
https://timgsa.baidu.com/timg?image&quality=80&size=b9999_10000&sec=1553613446070&di=c74feb8d3503cd3a943c89673668eab9&imgtype=0& data-cke-saved-src=http%3A%2F%2F5b0988e595225.cdn.sohucs.com%2Fimages%2F20180806%2F33288188349d4d71b1a23c079e475556.png src=http%3A%2F%2F5b0988e595225.cdn.sohucs.com%2Fimages%2F20180806%2F33288188349d4d71b1a23c079e475556.png
点进去过后的提示
 
另外,如果在微信中打开同样会屏蔽访问。这个屏蔽是针对主域名,而不是二级域名。所以一点a.qian1.top被挂马,*.qian1.top都会被屏蔽,非常严重。
微信屏蔽挂马域名

这样几乎宣告域名报废。如果是备案域名,那就损失大了。不过可以百度和微信都可以通过申请解封来恢复访问,但如果经常被封就会越来越难解封了。

3、黑链和隐藏页面
这一类现在用的比较少了。可能是效果不好不能直接给非法网站带去访问。黑链一般在网站首页的最下面。隐藏页面会在网站各个有写入权限的地方创建,有时创建的文件甚至达几个G。这些页面最终会导致网站百度收录结果全是非法信息,从而影响正常收录。我们可以用site:命令来检查一下自己的网站页面快照是否正常。

网站黑链被收录

知道这些攻击形式后,我们需要了解黑客如何实施这些非法攻击的。通常,这些攻击都是使用工具的,如中国菜刀。这样攻击简单、还可以方便的管理受害网站。
https://timgsa.baidu.com/timg?image&quality=80&size=b9999_10000&sec=1553614603057&di=b74bbcc762930220b11c884ba1929af0&imgtype=0& data-cke-saved-src=http%3A%2F%2Fwww.664b.com%2Fdata%2Fattachment%2Fforum%2F201903%2F17%2F054612fd0fafompv8bbsmm.png src=http%3A%2F%2Fwww.664b.com%2Fdata%2Fattachment%2Fforum%2F201903%2F17%2F054612fd0fafompv8bbsmm.png
中国菜刀(china chopper)管理界面

只要马还在或者网站上传漏洞未修复,随时都能管理受害网站,一键执行跳转注入、SEO篡改等操作,这远比清理这些注入篡改快捷,所以维护人员可真是可怜。维护费用也可能远不及攻击报酬。

挂马、篡改分析与处理见下一篇。