教您如何删除WEB服务器木马程序

许多朋友都遇到过这样的现象：打开一个网站，不显示结果页面，防病毒软件开始报警，提示检测到木马病毒。有经验的朋友会知道这是网页病毒，但是您打开的网站显然是常规网站。没有常规网站会在您的网页上感染该病毒，对吗？那么是什么导致了这种现象呢？最可能的原因之一是该网站已被挂断。目前，我们似乎经常听到“吊马”这个词，那么什么是吊马呢？挂木马是指黑客入侵某些网站后，将自己的网页Trojan马嵌入到被黑客入侵的网站首页中，并利用被入侵网站的流量来传播自己的网页Trojan马来实现自己的别有用心的目标。例如，许多游戏网站链接到马匹，黑客的目的是窃取浏览网站的玩家的游戏帐户，而那些大型网站链接到马匹以收集大量的肉鸡。网站的停权不仅会使您的网站失去信誉并失去大量客户，而且会使我们的普通用户陷入黑客设定的陷阱，成为黑客的雏鸡。让我们了解当今最流行的黑客方法。木马的核心：木马从“马木马”一词可以看出，它与木马无关。的确，挂马的目的是传播木马，而挂马只是一种手段。用来挂马的木马大致可以分为两类：一类是用于远程控制目的。黑客使用这种木马进行挂马攻击。目的是获得大量的肉鸡并拒绝某些网站。服务攻击或其他目的（实施拒绝服务攻击的大多数木偶计算机都是马术攻击的受害者）。

另一种类型是键盘记录木马。我们通常称其为黑客木马。其目的不言而喻。它们都针对我们的游戏帐户或银行帐户。目前，大多数用来挂马的木马都属于后者。无木马的技巧作为用来挂载马匹的木马，它的隐蔽性必须很高，以便用户可以在不知不觉中运行该木马，并且还可以让该马的页面存活更长的时间。黑客使用许多技巧来避免木马被反病毒软件检测和杀死。常用的方法有：打包处理：我们引入了shell的概念，以防止其他人修改已编译的程序文件并压缩程序量。在打包过程之后，该木马可能会逃脱防病毒软件的检测。这就是为什么我们安装防病毒软件并仍然感染旧病毒的原因。尽管当前的防病毒软件支持对程序进行解压缩然后再检查并杀死它，但仅限于一些更流行的打包程序，例如aspack，UPX等，当您遇到不受欢迎的打包程序处理的某些木马时，我无能为力。因此，打包仍然是黑客最常用的反杀技巧。打包程序不受欢迎修改签名：防病毒软件根据病毒签名确定程序是否为病毒。当防病毒软件检测到该程序时，如果在程序中找到病毒签名，它将判断该程序为病毒。黑客当然也了解此原因，因此他们将修改木马中指定为签名代码的部分代码，对其进行加密或使用汇编指令对其进行跳转，以使防病毒软件无法在其中找到病毒签名代码。木马，所以自然不会被判断为病毒。

尽管这两种方法都可以逃避对杀毒软件的检测和查杀，但是我们仍然有阻止木马运行的方法。具体方法将在预防部分中讨论。那么，木马如何在网站上“挂起”？这里我们以“灰鸽子”木马为例，来说明黑客吊马的过程。用于演示的“灰鸽子”木马已经过处理，以防止被杀死，并且防病毒软件无法检测到它。潜在攻击者：Web木马程序为什么打开网页后立即运行木马程序，木马程序如何在网站上“挂起”？这涉及“网络木马”的概念。网页木马是木马和网页的组合，打开网页时将运行木马。网页木马的原始原理是使用IE浏览器的ActiveX控件。运行网页木马后，将弹出一个控件下载提示，并且仅在单击“确认”后才会运行木马。这种网页木马在当时一般对网络安全的认识普遍较低的情况下仍具有少许使用价值，但其缺点显而易见，即会有ActiveX控件下载提示。当然，现在很少有人单击莫名其妙的ActiveX控件下载确认窗口。在这种情况下，新的Web木马诞生了。这种网页木马通常利用IE浏览器的漏洞，并且在运行时不会显示丝毫暗示，因此非常隐蔽。可以说，正是IE浏览器中层出不穷的漏洞导致了当前网页木马猖ramp的网络。例如，最近的IE浏览器漏洞MS06-014可用于创建绝对隐藏的Web木马。

让我们看看使用MS06-014制作Web木马的过程。网络木马必须具有木马程序。在这里，我们使用上面提到的“灰鸽子”木马。然后，我们必须下载MS06-014网页Trojan。然后是一个网站空间。三个准备就绪后，就可以开始测试了。生成网页Trojan horse首先将Trojan horse程序上载到网页空间。运行“ MS06-014木马”，填写已上传到“木马地址”中空格的木马URL，然后选中下面的“隐藏源代码”选项。该选项的功能是，当网页木马运行时，它将自动清除网页的源文件，即使用户可疑，也无法找到跟踪。当然，清空的是用户打开的源文件，但是网页Trojan不会受到影响。单击“生成Nethorse”按钮，在程序的同一目录中生成一个名为muma.htm的网页木马。配置网络木马继续配置网络木马，在“要加密的网页”中浏览生成的网络木马。 Web木马在运行时将使用IE的漏洞。必须有可被防病毒软件检测到的利用代码。因此，如果您想秘密运行Web Trojans，则仅对Trojans进行加密是不够的。您需要加密Web木马。 “ MS06-014木马”的“加密方法”为网页提供了四种加密方法，即：空字符加密，转义字符加密，转义加密和拆分签名。在这里，我们使用“转义字符加密”加密方法，选择“转义字符加密”选项，然后单击“加密”按钮以生成防病毒Web木马。

将加密的Web木马上载到Web空间。找到有缺陷的网站，然后编写网页木马。网页木马准备就绪后，我们正在等待查找恶意软件的目标网站。这时，黑客将到处搜索以查找具有脚本缺陷的网站程序，然后利用该网站程序中的漏洞入侵该网站并获取该网站的Webshel​​l。目前，我们可以编辑网站首页的内容，并插入吊码。代码是：src =“ / muma.htm”; frameborder =“ 0”>，在src参数之后是网页木马的地址。当我们打开该网站的主页时，将弹出网页木马页面。我们看不到此页面，因为我们在代码中将弹出窗口的窗口长度和宽度设置为0。这时，木马已被悄悄下载到计算机并运行。我们可以看到该网站的首页是正常的，杀毒软件没有响应，但是木马一直在运行。可以看出，木马是高度隐蔽的，危害十分严重。成功运行木马以根除网站“吊马”癌症“马吊”攻击已成为目前最流行的攻击方法。面对大量的“挂马”网站，我们应该如何捍卫？作为网站管理员，我们如何知道我们的网站已被挂断？网站管理员防护：如果您是网站管理员，则可以检查网站首页和网站其他主页的源代码。使用记事本打开这些页面后，以“>”作为关键字进行搜索，然后可以检查它是否为吊码。

但是，当遇到有经验的黑客时，他们将编写一段代码来加密恶意软件调试代码的整个句子，因此我们很难在网页上找到破获代码。此时，所有网页文件都可以按修改时间排序。如果某些网页被修改，我们可以快速找到。当然，最好的方法是设置网站的权限。对于以动态语言编写的网站，通常无需更改网页文件，并且所有数据都存储在中。因此，我们只能为所在的文件夹设置写权限，并为整个网站文件夹设置只读权限，这样即使该网站存在漏洞，黑客也不想通过脚本漏洞入侵该网站，更不用说在首页上挂马了。 。普通用户防御：普通用户自然关心的是如何防止“挂马”攻击。由于防病毒软件已成为网络木马程序的“盲目”，因此我们无法感知该网站是否为“吊马”。在这种情况下，我们不应该受别人摆布吗？我们已经知道Web木马的工作原理利用了IE浏览器的漏洞，因此，只要我们及时更新系统补丁，Web Trojan就会失效。打开系统“自动更新”的方法是：右键单击“我的电脑”，选择“属性”，切换到“自动更新”选项卡，然后选择“自动（推荐）”。此外，我们还可以使用具有补丁更新功能的软件，例如“ 360 Security Guard”。运行“ 360 Security Guard”后，单击“修复”→修复系统漏洞，可以查看系统的补丁程序状态，并检查未安装的补丁程序。

使用“ 360 Security Guard”更新补丁。防病毒软件已在网页木马前面失去了功能，这并不意味着我们只是在使用它。我们可以使用一个称为“系统安全监视器”的软件（以下称为SSM），在它的监视下，没有木马病毒可以逃脱其视线。安装完成后，它将自动最小化到系统任务栏并开始监视系统。 SSM的监视功能非常强大，系统内部的某些操作也将受到监视和提醒。让我们看看SSM对这种加密的网页木马的有效性。用木马打开网页。 SSM立即弹出一个拦截警告框。从警告窗口的内容中，我们可以看到iexplore.exe进程试图启动该程序，这意味着IE浏览器想要运行可执行程序。 IE浏览器会提示您下载可执行程序，而不是直接运行它们。这显示了其中的技巧。这时，我们可以单击“拒绝”按钮以阻止运行Web Trojan。 SSM的监视原理与防病毒软件的监视原理不同。它的最大特点是可以监视所有Web木马。由于它的使用比一般的安全软件复杂，因此建议中级和高级用户使用。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-339034-1.html