>> MORE站长心得
>> MOREasp程序技术
>> MOREphp程序技术

360曝光神秘“一句话木马” 提醒站长严查后门

----时间:2013-3-6 11:31:33----

上网时,我们经常会发现在一些网站页面不起眼的地方,会出现一小串“神秘代码”,很多人认为是程序员的疏忽,但殊不知这是黑客“到此一游”的痕迹。对此,360网站安全检测通过对大量网站页面源码的分析发现,黑客用这种“一句话木马”踩点的行为随处可见,一旦黑客确认网站可攻击,则能通过植入后门等方  式,查看和窃取服务器中的任意文件,危害网站安全。  

图1:网站页面上的神秘代码实为黑客到此一游
图1:网站页面上的神秘代码实为黑客到此一游  
 
360网站安全检测数据显示,2012年存在“一句话木马”的网站共12866个,其中政府类785个、教育类663个,合计比例超过10%,应该引起相关部门特别关注。而其余89%存在“一句话木马”的网站涉及电商、社交、视频等各行各业,其威胁十分广泛。  
   
图2:2012全年监控到的此类“一句话木马”网站分布
图2:2012全年监控到的此类“一句话木马”网站分布  
 
360网站安全工程师表示,这种“一句话木马”通常被黑客用于试探性攻击,一般添加的位置是前端页面,所以监控到的此类“一句话木马”不会被执行,但不排除黑客在踩点后实施攻击的可能。如果“一句话木马”被植入的文件可被服务器执行,那么就相当于一个后门。  

图3:360监控到约80种“一句话木马”代码 
图3:360监控到约80种“一句话木马”代码  
  
  
目前,360网站安全工程师经过分析整理出的“一句话木马”代码(图3)共计80余种,而且这些“一句话木马”可能出现在网站页面的任何位置,尤其是一 
些隐蔽的位置。而一旦黑客将“一句话木马”植入服务器根目录,那么就可以借助这一后门,窃取服务器中用户信息、网站源代码等机密 文件,这对于很多企业来说 
是致命的。  

图4:黑客可能将“一句话木马”植入服务器根目录 
图4:黑客可能将“一句话木马”植入服务器根目录 

  
图5:借此后门读取服务器文件
图5:借此后门读取服务器文件
    
鉴于“一句话木马”的潜在威胁,360网站安全工程师建议站长和网站管理员首先修复网站页面源代码,同时强烈建议存在“一句话木马”的站点第一时间排查其 
他木马后门,同时使用360网站安全检测平台对网站进行体检,并使用360网站卫士,保护网站免遭各类网络攻击。  

结合多年经验,浅谈一句话木马防制
一句话木马就是在可执行的网页里加入<%eval(request("#")%>
这是执行传递的参数,通过传递特殊的参数,可以达到上传木马,执行程序等操作,所以危害非常大。
预防这种代码,设置成不给文件写入权限,像一般的.asp文件,都不需要修改,所以关闭对这些文件的写入权限,这样可以防止页面被修改。而有一些必须写入的文件夹,比如图片上传文件夹,则设置成不让执行asp程序,这样就可以很好的防止网站被植入一句话木马。

© 2005-2013 0576w版权所有 浙ICP备05040753号-1 浙公网安备 33108102000220号 站长心得 | HTML基础 | Css交流 | 程序备忘录 | Js脚本 | asp程序 | php程序 | 服务器教程 | 回到顶部