第一篇：2010年上半年教育網(wǎng)網(wǎng)站掛馬監(jiān)測(cè)報(bào)告

2010年上半年教育網(wǎng)網(wǎng)站掛馬監(jiān)測(cè)分析報(bào)告

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室，中國(guó)教育和科研網(wǎng)緊急響應(yīng)組，中國(guó)教育網(wǎng)體檢中心

2010年7月

網(wǎng)站掛馬近年來一直是國(guó)內(nèi)互聯(lián)網(wǎng)安全最嚴(yán)重的安全威脅之一，也對(duì)教育網(wǎng)網(wǎng)站構(gòu)成了 現(xiàn)實(shí)普遍的危害。隨著高考招生拉開帷幕，教育網(wǎng)網(wǎng)站，特別是高招網(wǎng)站，將成為廣大考生 和家長(zhǎng)頻繁瀏覽的熱門站點(diǎn)，也不可避免地成為惡意攻擊者的關(guān)注目標(biāo)。

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室(ercis.icst.pku.edu.cn)于去年完成了網(wǎng)站掛馬監(jiān)測(cè)平臺(tái) 系統(tǒng)的研發(fā)，通過與中國(guó)教育網(wǎng)體檢中心(頁面。

圖 14 224ay.htm網(wǎng)頁木馬攻擊分發(fā)頁面，包含反病毒軟件識(shí)別機(jī)制

通過對(duì)iie.swf和fff.swf Flash文件的手工分析，我們發(fā)現(xiàn)該Flash文件是通過ActionScript 中判斷Flash Player版本，并利用LoadMovie()函數(shù)進(jìn)一步裝載滲透攻擊頁面，但在我們固化

保全過程中，該頁面已失效。av.htm頁面內(nèi)容如圖 15，首先根據(jù)是否IE7，分別裝載6.htm 和7.htm，并進(jìn)一步輸出nod.htm、real.htm和rising.htm。

圖 15 av.htm網(wǎng)頁木馬攻擊二級(jí)分發(fā)頁面

6.htm頁面內(nèi)容如圖 16，在頁面中還通過SCRIPT外鏈引入了mp.js(頁面內(nèi)容如圖 17)，經(jīng)過分析可知6.htm是未經(jīng)混淆的“極風(fēng)”漏洞滲透攻擊代碼，而所引入mp.js中的內(nèi)容則 包含了一個(gè)用于對(duì)抗目前一些模擬分析環(huán)境（如開源的PHoneyC等）中應(yīng)用的ActiceX控件 模擬機(jī)制的小伎倆，試圖創(chuàng)建一個(gè)在系統(tǒng)中肯定不存在的“be”控件，而如果客戶端環(huán)境告 知能夠創(chuàng)建成功，則必然客戶端環(huán)境中采用了ActiveX控件模擬機(jī)制（目前實(shí)現(xiàn)一般是對(duì)所 有環(huán)境中不存在ActiveX控件都返回創(chuàng)建成功的模擬對(duì)象，然后試圖劫持獲取進(jìn)一步的方法 調(diào)用和/或動(dòng)態(tài)輸出頁面鏈接），而該段代碼在創(chuàng)建不成功時(shí)才輸出后面代碼所依賴的一些變 量定義，如此，實(shí)現(xiàn)了ActiveX控件模擬機(jī)制的環(huán)境則無法正確地動(dòng)態(tài)執(zhí)行代碼，從而對(duì)該 網(wǎng)馬實(shí)施有效檢測(cè)。

圖 16 6.htm頁面內(nèi)容，分析可知是未進(jìn)行混淆的“極風(fēng)”漏洞滲透攻擊代碼

圖 17 6.htm頁面中包含mp.js內(nèi)容，包含了對(duì)抗模擬插件機(jī)制

rising.htm頁面及之后裝載的ofnt.htm，以及ofnt.htm頁面中包含的SCRIPT外鏈oopk.jpg 及uug.jpg的頁面內(nèi)容構(gòu)成了對(duì)Office Web組件OWC10.SpreadSheet中內(nèi)存破壞安全漏洞(MS09-043)的滲透攻擊代碼，代碼采用了SetTimeout()函數(shù)延遲輸出鏈接、將Script文件偽

裝JPEG圖片文件、通過復(fù)雜字符串計(jì)算組裝Shellcode和ActiveX控件名稱等技術(shù)手段，以 提升分析的難度。

圖 18 rising.htm頁面內(nèi)容，嘗試創(chuàng)建OWC10.Spreadsheet控件，并裝載ofnt.htm頁面

圖 19 ofnt.htm頁面內(nèi)容，包含oopk.jpg和uug.jpg兩段外鏈腳本

圖 20 oopk.jpg頁面中的Script代碼，定義Shellcode等變量

圖 21 uug.jpg頁面中的Script代碼，定義一些關(guān)鍵變量，并進(jìn)行了混淆處理

該場(chǎng)景中還包括了針對(duì)聯(lián)眾GLIEDown.IEDown.1控件緩沖區(qū)溢出漏洞（BID: 29118,29446）的滲透攻擊頁面(nod.htm及l(fā)z.htm)，以及針對(duì)Real Player軟件IERPCtl.IERPCtl.1控件中緩沖

區(qū)溢出漏洞(CVE-2007-5601)的滲透攻擊頁面(real.htm及myra.htm)。

通過上述兩個(gè)今年上半年在教育網(wǎng)網(wǎng)站上流行的網(wǎng)頁木馬攻擊場(chǎng)景案例分析，我們可以 總結(jié)出目前網(wǎng)頁木馬攻擊者已引入大量的技術(shù)手段和伎倆在和研究團(tuán)隊(duì)、產(chǎn)業(yè)界及政府相關(guān) 監(jiān)管部門進(jìn)行對(duì)抗，以躲避檢測(cè)，并提升分析追蹤的難度。對(duì)網(wǎng)頁木馬的監(jiān)測(cè)與分析技術(shù)發(fā) 展、平臺(tái)建設(shè)和相應(yīng)的應(yīng)急響應(yīng)處置流程還需要持續(xù)地改進(jìn)和完善，才能夠有效地應(yīng)對(duì)和處 置網(wǎng)頁木馬這種流行的安全威脅形態(tài)。

5.總結(jié)

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室、中國(guó)教育和科研網(wǎng)緊急響應(yīng)組(CCERT)、中國(guó)教育網(wǎng) 體檢中心合作開展對(duì)教育網(wǎng)中的網(wǎng)站掛馬情況進(jìn)行全網(wǎng)檢測(cè)和態(tài)勢(shì)分析，并為中國(guó)教育網(wǎng)體 檢中心(004km.cn)。通過2010年上半年教育網(wǎng)掛馬監(jiān)測(cè)數(shù)據(jù)結(jié)果分析，共檢出來自425 個(gè)頂級(jí)域名的1,347個(gè)網(wǎng)站被掛馬，上半年網(wǎng)站掛馬率達(dá)到3.88%，這說明教育網(wǎng)網(wǎng)站的安 全狀況仍不容樂觀。希望高校網(wǎng)絡(luò)安全管理部門和人員能夠充分重視，對(duì)相關(guān)網(wǎng)站進(jìn)行全面 檢測(cè)和安全加固，積極預(yù)防，盡量避免網(wǎng)站掛馬等安全事件的發(fā)生。

第二篇：黑客演示網(wǎng)站掛馬攻擊案例

通過本案例可以學(xué)到：(1)了解網(wǎng)站掛馬

(2)在網(wǎng)站首頁利用IE漏洞掛馬

網(wǎng)站掛馬攻擊主要是指入侵者在入侵成功后修改了網(wǎng)站的某一些或者全部的網(wǎng)頁文件，如果網(wǎng)站存在SQL注入漏洞，則比較容易取得一定的權(quán)限。如果在服務(wù)器上對(duì)網(wǎng)站目錄等做了較嚴(yán)格的權(quán)限限制，也是比較容易取得Webshell權(quán)限，具有Webshell權(quán)限可以對(duì)網(wǎng)頁文件進(jìn)行修改，而掛馬就是在網(wǎng)頁中加入一些代碼。這些代碼往往是利用瀏覽器或者應(yīng)用程序的漏洞，瀏覽者在訪問這些網(wǎng)頁時(shí)，往往會(huì)在不知不覺中去下載一些木馬程序來執(zhí)行。網(wǎng)站掛馬的原理就是設(shè)置框架網(wǎng)頁的寬度和高度為0，將一些惡意網(wǎng)頁隱藏起來，用戶訪問網(wǎng)站時(shí)不容易覺察。目前在網(wǎng)絡(luò)上有很多網(wǎng)頁木馬生成器，簡(jiǎn)稱“網(wǎng)馬生成器”，本案例以“Ms-0733網(wǎng)馬生成器”為例，來講解如何進(jìn)行網(wǎng)站掛馬攻擊。

步驟一 配置網(wǎng)頁木馬。在使用“Ms-0733網(wǎng)馬生成器”配置前需要準(zhǔn)備好一款已經(jīng)配置好的木馬服務(wù)端，然后直接運(yùn)行“Ms-0733網(wǎng)馬生成器”在網(wǎng)馬地址中輸入“http://127.0.0.0/test.exe”，如圖1所示，然后單擊“生成木馬”即可生成一網(wǎng)頁文件HACKLL.HTM。

圖1配置Ms-0733網(wǎng)馬生成器

步驟二 修改網(wǎng)站網(wǎng)頁文件。在網(wǎng)站首頁文件index.asp中加入已經(jīng)配置好的網(wǎng)頁木馬htm文件，一般通過在頁面中加入“ ”來實(shí)現(xiàn)，如圖2所示。

圖2加入木馬代碼到正常網(wǎng)頁

網(wǎng)頁木馬利用的是IE瀏覽器存在的漏洞，其網(wǎng)頁木馬最本質(zhì)的東西有兩個(gè)一個(gè)是腳本，另外一個(gè)是真正的木馬服務(wù)端，利用腳本來直接執(zhí)行木馬服務(wù)端或者通過下載者來下載木馬服務(wù)端然后再執(zhí)行。其網(wǎng)頁木馬文件中多是一些JavaScript代碼，如圖3所示。

圖3網(wǎng)頁木馬源代碼

測(cè)試網(wǎng)頁木馬是否能夠正常執(zhí)行。在未安裝微軟的MS0733補(bǔ)丁程序的虛擬機(jī)中打開瀏覽器，并在其中輸入網(wǎng)頁木馬的地址，一會(huì)兒后，在控制端就看見肉雞上線了。大量傳播網(wǎng)頁木馬。網(wǎng)頁木馬測(cè)試成功以后，就可以將其配置好的網(wǎng)頁木馬放入一些提供Web服務(wù)的肉雞上，只要訪問者的系統(tǒng)未安裝其網(wǎng)頁木馬利用的漏洞，如果系統(tǒng)未安裝任何對(duì)網(wǎng)頁木馬進(jìn)行防御的軟件，則計(jì)算機(jī)感染網(wǎng)頁木馬的幾率非常大。J技巧

直接在網(wǎng)站進(jìn)行“掛馬”攻擊，被攻擊的對(duì)象只能是存在安全漏洞的計(jì)算機(jī)，且攻擊時(shí)間不宜太長(zhǎng)，否則極易被殺毒軟件查殺。小結(jié)

本案例講解了如何來進(jìn)行網(wǎng)站掛馬攻擊，網(wǎng)站掛馬攻擊相對(duì)簡(jiǎn)單，先配置好一個(gè)木馬服務(wù)端，然后直接配置網(wǎng)馬生成器，配置完畢后將木馬服務(wù)端和網(wǎng)頁木馬文件一起上傳到服務(wù)器上，通過將網(wǎng)頁木馬文件加入到正常的網(wǎng)頁文件中，當(dāng)用戶訪問這些被修改的網(wǎng)頁時(shí)，系統(tǒng)就會(huì)自動(dòng)下載木馬程序并執(zhí)行，從而達(dá)到攻擊的目的。不過目前一些主動(dòng)防御軟件能夠檢網(wǎng)頁木馬，因此在進(jìn)行網(wǎng)站掛馬攻擊時(shí)，需要對(duì)網(wǎng)頁木馬進(jìn)行加密以及防查殺處理。

第三篇：惠州政府網(wǎng)掛馬分析報(bào)告

惠州政府網(wǎng)掛馬分析報(bào)告

超級(jí)巡警安全中心檢測(cè)到官方網(wǎng)站中國(guó)惠山網(wǎng)被掛馬，黑客利用CVE-2011-0609的漏洞（根據(jù)分析，發(fā)現(xiàn)還有另一個(gè)網(wǎng)馬地址，可是地址已經(jīng)失效），對(duì)瀏覽網(wǎng)頁的用戶進(jìn)行攻擊。一旦攻擊成功，黑客將獲得該用戶系統(tǒng)的完全控制權(quán)。

二、掛馬分析

[root] hxxp://

[iframe] hxxp://（已失效）

[iframe] hxxp://（CVE-2011-0609）

[exe] hxxp://x5978.3322.org/xz/1.exe

三．漏洞描述

這個(gè)漏洞存在于以下平臺(tái)版本：Windows、Mac、Linux和Solaris平臺(tái)最新Adobe Flash Player 10.2.152.33版本以及更早版本,Chrome谷歌瀏覽版Flash Player10.2.154.18以及更早版本；Android版Flash Player 10.1.106.16及更早版本；Windows和Mac平臺(tái)包含authplayl.dll組件的Adobe Reader/Acrobat X（10.0.1）及更早版本。

下圖為被掛馬也網(wǎng)馬頁地址（圖一）及解密后的內(nèi)容（圖二）： 圖一 圖二

四、病毒分析

病毒相關(guān)分析： 病毒標(biāo)簽：

病毒名稱：Trojan-GameThief.Win32.Magania.efrt

病毒別名：

病毒類型： 盜號(hào)木馬

危害級(jí)別：4

感染平臺(tái)：Windows

病毒大?。?23,952 bytes

SHA1 : 8c6234b6bbdd7db541d7f81ca259d7ca67a7dbda

加殼類型：偽裝UPX殼

開發(fā)工具： Delph

病毒行為：

1)釋放病毒副本：

釋放31009125n31.dll到%Temp%下；(n31前的數(shù)字為隨機(jī)數(shù)字)

釋放30680437n31.dll 到%Temp%下并設(shè)置系統(tǒng),隱藏屬性；(n31前的數(shù)字為隨機(jī)數(shù)字)

釋放ctfmon.exe 到%SystemRoot%下；

2)遍歷以下進(jìn)程，并結(jié)束他們來進(jìn)行自我隱藏：

360rp.exe,360sd.exe,360tray.exe,avp.exe,ravmond.exe

3)遍歷以下QQ西游的主進(jìn)程，以便游戲重啟時(shí)截獲用戶賬號(hào)密碼：

QQ西游.exe,qy.exe,qqlogin.exe

4）安裝全局消息鉤子，截獲鍵盤消息

ctfmon.exe HOOK WM_GETMESSAGE

5)進(jìn)行網(wǎng)絡(luò)通信，將獲取到得賬號(hào)發(fā)送出去。

6）刪除自身。

五．事件總結(jié)：

分析發(fā)現(xiàn)，這次對(duì)中國(guó)惠山的攻擊與往常其他擁有大量用戶的網(wǎng)站掛馬情況類似，在某個(gè)廣告頁面被ARP攻擊。通過分析病毒行為發(fā)現(xiàn)這個(gè)是個(gè)專門針對(duì)QQ西游游戲的盜號(hào)木馬，即便有密保用戶也會(huì)中招。針對(duì)近期出現(xiàn)大量攻擊政府網(wǎng)站掛馬的行為，希望大家及時(shí)更新殺毒軟件病毒庫，并及時(shí)安裝軟件補(bǔ)丁包防范于未然。

目前暢游精靈已經(jīng)可以完美攔截該網(wǎng)馬的攻擊，超級(jí)巡警云查殺可以有效識(shí)別該木馬。超級(jí)巡警安全中心提醒用戶安裝暢游精靈和超級(jí)巡警對(duì)木馬進(jìn)行有效的攔截。對(duì)于已經(jīng)中毒的用戶，巡警安全中心建議您立刻使用超級(jí)巡警云查殺進(jìn)行有效的木馬查殺，以此保證自己的系統(tǒng)的安全。

第四篇：網(wǎng)站輿情監(jiān)測(cè)

關(guān)于建立網(wǎng)絡(luò)安全領(lǐng)域監(jiān)測(cè)預(yù)警和應(yīng)急機(jī)制的通知

各科室：

為加強(qiáng)網(wǎng)絡(luò)安全領(lǐng)域監(jiān)測(cè)，進(jìn)一步提升網(wǎng)絡(luò)安全預(yù)警和管控處置能力，結(jié)合單位實(shí)際，建立網(wǎng)絡(luò)安全領(lǐng)域監(jiān)測(cè)預(yù)警和工作協(xié)調(diào)機(jī)制。

一、組織領(lǐng)導(dǎo)

市公管辦網(wǎng)絡(luò)安全領(lǐng)域監(jiān)測(cè)預(yù)警和應(yīng)急工作協(xié)調(diào)機(jī)制，由市公管辦領(lǐng)導(dǎo)班子成員統(tǒng)一領(lǐng)導(dǎo)下，綜合科統(tǒng)籌協(xié)調(diào)落實(shí)，各科室共同配合開展工作。

二、工作重點(diǎn)

一是組織開展對(duì)單位網(wǎng)絡(luò)安全信息內(nèi)容的檢查。重點(diǎn)加強(qiáng)對(duì)中心網(wǎng)站、微博、微信等環(huán)節(jié)的涉穩(wěn)問題發(fā)現(xiàn)、研判、記錄和處置，從落實(shí)網(wǎng)站主體責(zé)任、內(nèi)容審核管理制度、技術(shù)管控手段建設(shè)、應(yīng)急處置工作機(jī)制等方面加強(qiáng)檢查。

二是組織開展網(wǎng)絡(luò)安全穩(wěn)定風(fēng)險(xiǎn)隱患專項(xiàng)治理。以全面實(shí)施《網(wǎng)絡(luò)安全法》為契機(jī)，深入開展網(wǎng)絡(luò)安全隱患排查、打擊網(wǎng)絡(luò)謠言、網(wǎng)絡(luò)侵犯?jìng)€(gè)人信息等系列專項(xiàng)活動(dòng)。加強(qiáng)網(wǎng)絡(luò)生態(tài)綜合治理，維護(hù)好網(wǎng)絡(luò)安全穩(wěn)定。

三是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)和網(wǎng)絡(luò)安全檢查。重點(diǎn)檢查各科室信息審核、信息發(fā)布、安全管理等，摸清關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)狀況，構(gòu)建一體化防御體系，防止網(wǎng)絡(luò)安全事件發(fā)生。四是強(qiáng)化網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)。建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)體系，充分發(fā)揮信息通報(bào)作用，完善通報(bào)機(jī)制和平臺(tái)建設(shè)，加強(qiáng)社會(huì)資源整合。

五是嚴(yán)格貫徹落實(shí)網(wǎng)絡(luò)意識(shí)形態(tài)工作主體責(zé)任。按照“一崗雙責(zé)”要求，實(shí)行層層負(fù)責(zé)制，按照《關(guān)于規(guī)范黨員干部網(wǎng)絡(luò)行為意見》有關(guān)要求，切實(shí)加強(qiáng)對(duì)黨員干部網(wǎng)絡(luò)行為的教育、引導(dǎo)和管理。

六是健全重大網(wǎng)絡(luò)敏感案事件處置的協(xié)同聯(lián)動(dòng)機(jī)制。遇涉公共資源交易敏感突發(fā)輿情，啟動(dòng)網(wǎng)絡(luò)輿情應(yīng)急聯(lián)動(dòng)工作機(jī)制，及時(shí)與市網(wǎng)信辦、協(xié)調(diào)溝通，制定輿論引導(dǎo)預(yù)案，及時(shí)有效地引導(dǎo)好涉及本單位網(wǎng)絡(luò)輿情。

二〇一七年九月十日

第五篇：DEDE網(wǎng)站安全設(shè)置織夢(mèng)防掛馬教程

DEDE網(wǎng)站安全設(shè)置織夢(mèng)防掛馬教程

織夢(mèng)dedecms，功能非常強(qiáng)大，但很多用戶并不能完全應(yīng)用到dede的所有功能。這樣的話，你就會(huì)長(zhǎng)期對(duì)某項(xiàng)的相關(guān)文件不聞不問，從而給Hack有可乘之機(jī)。下面27源碼網(wǎng)（http://004km.cn）就來為大家解讀下織夢(mèng)dedecms中你容易忽略的幾個(gè)危險(xiǎn)而又無關(guān)的文件。

這套簡(jiǎn)單的教程中為客戶講解了一系列針對(duì)DEDE網(wǎng)站的安全設(shè)置 只要你按照以下三點(diǎn)操作

可避免99% 網(wǎng)站被掛馬的情況

一 精簡(jiǎn)設(shè)置篇：

不需要的功能統(tǒng)統(tǒng)刪除。比如不需要會(huì)員就將member文件夾刪除。刪除多余組件是避免被hack注射的最佳辦法。將每個(gè)目錄添加空的index.html，防止目錄被訪問。

織夢(mèng)可刪除目錄列表：member會(huì)員功能 special專題功能 install安裝程序(必刪)company企業(yè)模塊 plusguestbook留言板 以及其他模塊一般用不上的都可以不安裝或刪除。二 密碼設(shè)置篇

管理員密碼一定要長(zhǎng)，而且字母與數(shù)字混合，盡量不要用admin，初次安裝完成后將admin刪除，新建個(gè)管理員名字不要太簡(jiǎn)單?？棄?mèng)系統(tǒng)數(shù)據(jù)庫存儲(chǔ)的密碼是MD5的，一般HACK就算通過注入拿到了MD5的密碼，如果你的密碼夠嚴(yán)謹(jǐn)，對(duì)方也逆轉(zhuǎn)不過來。也是無奈。但現(xiàn)在的MD5破解網(wǎng)站太過先進(jìn)，4T的硬盤全是MD5密碼，即便你的密碼很復(fù)雜有時(shí)候都能被蒙上。我之前的站點(diǎn)就是這么被黑的。所以一定密碼夠復(fù)雜。三 dede可刪除文件列表： DEDE管理目錄下的

file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 這些文件是后臺(tái)文件管理器(這倆個(gè)功能最多余，也最影響安全，許多HACK都是通過它來掛馬的。它簡(jiǎn)直就是小型掛馬器，上傳編輯木馬忒方便了。一般用不上統(tǒng)統(tǒng)刪除)。

不需要SQL命令運(yùn)行器的將dede/sys_sql_query.php 文件刪除。避免HACK利用。

不需要tag功能請(qǐng)將根目錄下的tag.php刪除。不需要頂客請(qǐng)將根目錄下的digg.php與diggindex.php刪除！

做到以上三點(diǎn) 保證您的網(wǎng)站安全可靠！