說說網(wǎng)站中招被掛馬

申請免費試用、咨詢電話：400-8352-114

　　俗話說的好，常在河邊走，哪有不濕腳的。所以網(wǎng)站被掛馬中招很常見的，不過大多都針對一些知名的度的網(wǎng)站，當(dāng)然小網(wǎng)站也有可能中招的，一般來說新站掛馬的機率相對而言會小很多，當(dāng)然你一剛剛衡陽網(wǎng)站建設(shè)好的網(wǎng)站誰會去了。那么所謂網(wǎng)頁掛馬就是在網(wǎng)頁中插入惡意的Iframe或Script代碼抑或其它惡意代碼，來達到下載惡意病毒到客戶端或其它非正規(guī)競爭的行為。 互聯(lián)網(wǎng)上病毒的傳播最大的途徑就是通過網(wǎng)頁掛馬傳播，當(dāng)用戶瀏覽了帶有惡意下載病毒代碼的網(wǎng)頁的時候，病毒就不知不覺的下載到了你的電腦上。
　　一個傳統(tǒng)的掛馬流程

　　很明顯，如果一個網(wǎng)站的流量相當(dāng)大的時候，這個木馬的傳播范圍和速度是很難以想像的。不過隨著各類殺毒軟件已經(jīng)都加入了網(wǎng)頁掛馬檢查，就算網(wǎng)頁被掛馬，用戶端的殺毒軟件也會很及時的提醒并阻止木馬程序的下載。不過始終是先有病毒再有殺毒軟件，或許殺毒軟件能阻止和發(fā)現(xiàn)以往的舊病毒，但是如果最新型的病毒新到連它們的病毒庫中都還沒有的時候，那用戶也就只有等著遭殃了。所以作為網(wǎng)站的管理者，石頭認為應(yīng)該有一雙能及時識別和發(fā)現(xiàn)掛馬的眼睛，及時清除網(wǎng)頁的惡意代碼給用戶一個安全的瀏覽環(huán)境。
    大多時候，網(wǎng)頁被掛馬是可以一眼從網(wǎng)頁的源代碼中發(fā)現(xiàn)的。源代碼的頂部或底部往往出現(xiàn)類似以下結(jié)構(gòu)的代碼：

　　這種掛馬往往存在于網(wǎng)站的包含文件或模板文件中，因為只用一次插入就可以在所有調(diào)用這個文件的網(wǎng)頁中實現(xiàn)。這種掛馬的清除也會比較好做，直接找到這個代碼再刪除就可以了。但是聰明的入侵者不會就這樣掛了馬就閃，他會在你的網(wǎng)站中留下一個后門，方便下次再來。
　　留下后門的方式比較多，包括上傳shell（可以控制網(wǎng)站文件的小程序）、植入一句話木馬、服務(wù)器端做免殺灰鴿子等等。這樣做的最終目的就是達到隨時可以操縱你的網(wǎng)站，就算你清除了掛馬的代碼，入侵者又能想加就加上。所以如果你的網(wǎng)站最被掛馬了，石頭建議你對網(wǎng)站的所有文件都進行一次徹底的檢查，如果你不會可以找這方面的專業(yè)人士或者聯(lián)系你的服務(wù)商運行相關(guān)的查殺工具。
　　而也有另外一種入侵者，他們插入木馬的方式與一般掛馬會有所不同。他們知道插入比較有特征的代碼會很熟悉被清除，會很容易會用關(guān)鍵字找到。所以他們會對代碼和程序做一些小小的改動，讓你很難找到被掛的惡意代碼，這種隱藏掛馬的方式最讓人頭疼，因為它往往掛得很有嘗試，站長很難通過基本文件排查的方式來發(fā)現(xiàn)，除非你對所有的文件都打開檢查或者重裝程序，否則如果一套程序有幾百個文件，你就一個一個的去找吧。
　　這種掛馬的入侵者往往對這套程序的結(jié)構(gòu)相當(dāng)熟悉，他們會把代碼放在被調(diào)用的最深的一個文件里，比如：

　　可以看到，程序中復(fù)雜的包含文件已經(jīng)讓人看到頭疼，入侵者就會利用這個把木馬植入到調(diào)用得最深的那個文件里，并且在代碼上再動一些手腳，比如：


　　不過這種方式往往會利用在不直接輸出的文件里，利用于JS調(diào)用的ASP文件中會更有效果，不僅從源代碼中查不出來，就算查出來了，如果代碼分割得過細，找也夠你找的了。
　　所以石頭認為，在目前這個病毒肆虐的互聯(lián)網(wǎng)中，再安全的系統(tǒng)或程序也有可能被攻破，做為網(wǎng)站管理者，除了對網(wǎng)站的源代碼要相當(dāng)敏感以外，還要隨時關(guān)注程序的漏洞以及做好程序的安全備份，必要時恢復(fù)程序文件是最快的選擇。