黑客攻擊可以說(shuō)是造成互聯(lián)網(wǎng)安全的重要來(lái)源之一。如何應(yīng)對(duì)黑客攻擊，也成為信息安全領(lǐng)域的重要技術(shù)課題。中培偉業(yè)為此將在2017年推出《黑客攻防與網(wǎng)絡(luò)信息安全技術(shù)培訓(xùn)》培訓(xùn)課程，該課程培訓(xùn)專家王老師在這里介紹了掛馬攻擊及其防御方法。

王老師指出，掛馬攻擊是指攻擊者在已經(jīng)獲得控制權(quán)的網(wǎng)站的網(wǎng)頁(yè)中嵌入惡意代碼(通常是通過(guò)IFrame、Script引用來(lái)實(shí)現(xiàn))，當(dāng)用戶訪問(wèn)該網(wǎng)頁(yè)時(shí)，嵌入的惡意代碼利用瀏覽器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞，在用戶不知情的情況下下載并執(zhí)行惡意木馬。

方式

1. 目前掛馬的主要方式是通過(guò)IFrame與Script嵌入網(wǎng)馬URL，

這里Script里的URL是經(jīng)過(guò)URL encode編碼的。通過(guò)各種編碼、混淆、客戶端判斷等方式來(lái)隱藏、保護(hù)網(wǎng)馬是攻擊者掛馬常用的手段。除了這兩種常見(jiàn)的掛馬方式外，王老師還介紹一下幾種掛馬攻擊的方式

1、 利用JavaScript執(zhí)行各種經(jīng)過(guò)編碼、混淆的攻擊代碼進(jìn)行掛馬。

2、 利用網(wǎng)頁(yè)跳轉(zhuǎn)、彈出新窗口等方式進(jìn)行掛馬。

3、 利用Flash等媒體封裝的方式進(jìn)行掛馬。

CSS(層疊樣式表)里可以執(zhí)行JavaScript的瀏覽器中進(jìn)行掛馬。

類型

1、 數(shù)據(jù)庫(kù)掛馬

攻擊者利用SQL注入漏洞將掛馬代碼注入到數(shù)據(jù)庫(kù)的某些字段中，如果網(wǎng)站頁(yè)面使用到這些字段的值，并且沒(méi)做適當(dāng)?shù)倪^(guò)濾，就有可能導(dǎo)致用戶訪問(wèn)該網(wǎng)站的頁(yè)面時(shí)執(zhí)行攻擊者注入的代碼。

2、 文件掛馬

攻擊者直接將掛馬代碼批量寫(xiě)入服務(wù)端文件里以達(dá)到整站掛馬的目的。

3、 ARP掛馬

在與目標(biāo)站點(diǎn)同一局域網(wǎng)的情況下，攻擊者可以通過(guò)控制局域網(wǎng)中任意一臺(tái)主機(jī)計(jì)算機(jī)發(fā)起ARP欺騙，并將掛馬代碼注入到用戶請(qǐng)求的響應(yīng)頁(yè)面上，從而達(dá)到隱蔽的掛馬目的。這樣的攻擊方式在客戶端上也可能發(fā)生，比如用戶所在的局域網(wǎng)有ARP病毒，那么用戶請(qǐng)求的所有網(wǎng)站都有可能被注入掛馬代碼。

4、 服務(wù)端配置文件掛馬

比如IIS里的文件重定向、啟用文檔頁(yè)腳、修改IIS映射等掛馬。這類掛馬比較隱蔽，也是掛馬常用的技巧。

5、 XSS掛馬

利用XSS跨站腳本漏洞，將掛馬代碼注入到客戶端頁(yè)面以達(dá)到掛馬的目的。0x04 危害

網(wǎng)站被掛馬不僅嚴(yán)重影響到了網(wǎng)站的公眾信譽(yù)度，還可能對(duì)訪問(wèn)該網(wǎng)站的用戶計(jì)算機(jī)造成很大的破壞。一般情況下，攻擊者掛馬的目的只有一個(gè)：利益。如果用戶訪問(wèn)被掛網(wǎng)站時(shí)，用戶計(jì)算機(jī)就有可能被植入病毒，這些病毒會(huì)偷盜各類賬號(hào)密碼，如網(wǎng)銀賬戶、游戲賬號(hào)、郵箱賬號(hào)、QQ及MSN賬號(hào)等。植入的病毒還可能破壞用戶的本地?cái)?shù)據(jù)，從而給用戶帶來(lái)巨大的損失，甚至讓用戶計(jì)算機(jī)淪為僵尸網(wǎng)絡(luò)中的一員。

修復(fù)思路

1、 通過(guò)上面介紹的“掛馬常見(jiàn)類型”迅速分析定位網(wǎng)站被掛馬的原因。

a) 數(shù)據(jù)庫(kù)掛馬：及時(shí)恢復(fù)數(shù)據(jù)庫(kù)或者利用嵌入的掛馬代碼，搜索數(shù)據(jù)庫(kù)，定位到掛馬代碼所在的字段值并清除。

b) 文件掛馬：使用工具或者命令遍歷網(wǎng)站所有文本文件，批量清除掛馬代碼。

c) ARP掛馬：查找出局域網(wǎng)中的ARP病毒源頭，清除病毒，并將相應(yīng)計(jì)算機(jī)進(jìn)行安全加固或重新安裝系統(tǒng)。

d) 服務(wù)端配置文件掛馬：如果上述的方法找不到掛馬代碼時(shí)，就應(yīng)該查找網(wǎng)站服務(wù)端配置文件是否存在異常，并恢復(fù)。

e) XSS掛馬：這類掛馬使用不廣泛，修補(bǔ)網(wǎng)站的XSS漏洞即可解決問(wèn)題。

及時(shí)檢測(cè)并修補(bǔ)網(wǎng)站本身以及網(wǎng)站所在服務(wù)端環(huán)境的各類漏洞，從而在根源上降低消除網(wǎng)站被掛馬的風(fēng)險(xiǎn)。