【IT专家网独家】网页挂马是攻击者惯用的入侵手段,其影响极其恶劣。不仅让站点管理者蒙羞,而且殃及池鱼使站点的浏览者遭殃。不管是站点维护者还是个人用户,掌握、了解一定的网页挂马及其防御技术是非常必要的。
1、关于网页挂马
网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机。
2、获取Webshell
攻击者要进行网页挂马,必须要获取对站点文件的修改权限,而获取该站点Webshell是最普遍的做法。
其实可供攻击者实施的攻击手段比较多,比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞都可被利用。下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。
1).网站入侵分析
eWEBEditor是一个在线的HTML编辑器,很多网站都集成这个编辑器,以方便发布信息。低版本的eWEBEditor在线HTML编辑器,存在者上传漏洞,黑客利用这点得到WEBSHELL(网页管理权限)后,修改了网站,进行了挂马操作。
其原理是:eWEBEditor的默认管理员页面没有更改,而且默认的用户名和密码都没有更改。攻击者登陆eWEBEditor后,添加一种新的样式类型,然后设置上传文件的类型,加入asp文件类型,就可以上传一个网页木马了。(图1)
2).判断分析网页漏洞
(1).攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似"ewebeditor.asp?id="语句,只要类似的语句存在,就能判断网站确实使用了WEB编辑器。
(2).eWEBEditor编辑器可能被黑客利用的安全漏洞:
a.管理员未对数据库的路径和名称进行修改,导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。
b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆。或者是默认密码。直接进入编辑器的后台。
c.该WEB编辑器上传程序存在安全漏洞。
分析报告指出:网站的admin路径下发现cer.asp网页木马,经分析为老兵的网页木马。(加密后依旧能通过特征码分辨,推荐网站管理员使用雷客ASP站长安全助手,经常检测网站是否被非法修改。)
