博客首页|TW首页| 同事录|业界社区

屈伟

创业路上的程序猿

归档 - 09月 17th, 2009

疯狂的挂马者2:解读挂马技巧

上篇疯狂的挂马者1:解读网页木马的灰色产业链中提到,挂马者一般将木马放自己网站或者通过破解攻击将木马放有漏洞的网站上。将木马放自己网站上的模式无法持续,是一种杀鸡取卵的方法。原因如下:

1. 杀毒软件越来越智能。木马网页很快就会被杀毒软件发现,特别是瑞星这样有云安全的杀毒软件。网站的访问者肯定也会很快发现。他们肯定不愿意长期访问一个有木马的网站。所以忠实用户越来越少。

2. Google、百度等搜索引擎会屏蔽带木马的网站。直接砍断流量来源。其实大部分自己愿意放木马的网站都是没什么实质内容的垃圾站。主要靠搜索引擎带来流量。但Google会对有木马的网站在搜索结果上加一条明显的有病毒提示,而百度会直接人工屏蔽带有病毒的网站。

所以对挂马者来说,最好的方法是把木马放别人网站上,特别是流量高的网站。即能获得巨大收益,还能不承担什么责任(还没听说过有在别人网站上挂马而受到什么处罚的)。

要在他人网站上加一段代码,需要获得相应权限。常用的伎俩如下:

1. 获取服务器控制权限。 服务器权限都有了,改几个网页更不在话下了。一般是通过Windows的安全漏洞,获取服务器远程登录权限。对linux服务器一般是用穷举法尝试ssh密码。还有类似sqlserver权限提升之类的。

2. 破解网站管理后台密码。  一般的后台入口路径都是administration.php admin.asp admin_login.asp之类的,只需要先找到后台入口,然后用穷举法尝试各种密码,终究有一天能攻破。 观察techweb网站的apache日志,每天都能发现成千上万的以上述入口访问的记录。论坛后台每天也都能看到各种尝试的错误登录日志。

一旦得到了后台密码,就能以管理员身份通过修改模板或网站配置之类的方法挂马了。

3. 利用通用程序漏洞。如sql入侵,或XSS入侵,获取管理员密码。对asp而言还有无组件上传类的漏洞。

4. 利用开源程序的漏洞。如discuz最近连续出现重大漏洞,如自定义风格漏洞,导致大批discuz论坛(包括TechWeb)被挂马。

下篇预告:瑞星云安全网站联盟,站长防挂马的利器。

Tags: ,

星期四, 09月 17th, 2009 小站长 1条评论