中国领先的IT技术网站
51CTO旗下网站
详细解析JS木马的原理及防范方法
木马的种类有很多。其中IFRAME挂马比较早，相应的预防措施也比较多，其中用CSS配合JS脚本进行预防是主流方式。可这种预防方式也存在安全隐患，JS脚本也可以被用来挂马，令人防不胜防。我们下面要介绍反击JS挂马的方法。
作者：网路游侠来源：游侠安全网| 09:45
木马一直是黑客的拿手技量。善于用木马的黑客，可以在原来的入侵基础之上达到更大的目的。如今，虽然木马的种类有很多。但其中IFRAME挂马比较早，相应的预防措施也比较多，其中用CSS配合JS脚本进行预防是主流方式。可这种预防方式也存在安全隐患，JS脚本也可以被用来挂马，令人防不胜防。我们下面要介绍反击JS挂马的方法。
JS挂马溯源
当IFRAME逐渐被黑客滥用的时候，有经验的安全工程师也开始研究相应的对策，一段时间内各种阻止IFRAME挂马的方法不断涌现，其中通用性较高的就是利用CSS配合JS脚本防御IFRAME挂马。
而黑客也发现，很多网站都会让网页调用JS脚本来实现广告等诸多特效，如果将木马挂在JS脚本中，所有调用该JS脚本的网页都等同于被挂上了木马，对于需要肉鸡群的黑客而言是一劳永逸，因此JS脚本挂马逐渐开始被黑客应用。
小百科：JS脚本是JavaScript脚本语言的简称，它是一种面向对象的脚本语言，目前广泛用于动态网页的编程。需要提示大家的是，JavaScript和Java除了语法上有一些相似之处，以及都能够当作网页的编程语言以外，两者是完全不相干的。而JavaScript与Jscript也不同，Jscript是微软为了迎战JavaScript推出的脚本语言。
虽然JavaScript作为给非程序人员的脚本语言向大众推广，但是JavaScript是一门具有丰富特性的语言，它有着和其他编程语言一样的复杂性。实际上，你必须对JS有扎实的理解才能用它来编写比较复杂的程序，作为一名安全工程师，掌握JS脚本在工作中会有很大的帮助。
挂马原理一点通
JS脚本挂马对于黑客而言，可以说优点多得数不过来，首先JS脚本在挂马时可以直接将JS代码写在网页中，也可以通过注入网页，让网站远程调取异地JS脚本。此外，JS挂马插入Web页面的方法有几十种，绝对够菜鸟们眼花缭乱，无从辨别木马在何处。
IFRAME挂马相对于安全工程师而言，如同一个穿着鲜红颜色外衣的劫匪，招摇而扎眼，很容易被发现。但是利用JS挂马就意味着这个劫匪拥有了一张可以随时变换的面孔，而且它还能够随时更换衣服。这样的劫匪在安全工程师搜查时，很容易蒙混过关，导致木马久杀不绝。
JS挂马攻防实录
攻现最多见的JS挂马方法有两种，一种是直接将JavaScript脚本代码写在网页中，当访问者在浏览网页时，恶意的挂马脚本就会通过用户的浏览器悄悄地打开网马窗口，隐藏地运行。
另外一种JS挂马方式是，黑客先将挂马脚本代码，存为.js的脚本文件，并上传到自己指定的网址。这时黑客只需要在受害者的网站中写入。
防第一种JS挂马方式，不方便，用得非常少，而第二种JS挂马方式才是当前主流的，所以我们主要针对它进行防御。方法就是阻止Src请求的异地外域的JS脚本，代码如下：
iframe{mdy1:expression(this.src=&about:blank&,this.outerHTML=&);}
script{mzm2:expression((this.src.toLowerCase().indexOf(&http&)==0)?document.write(&木马被成功隔离!&):&);}
不过这种方法的缺点就是网站的访问者将不能看到被挂了JS木马的相关网页。
所以我们为安全工程师提供了一段可以中止JS脚本运行的CSS代码，这段代码会让异地外域的JS文件在使用document.write()时，被document.close()强制关闭。这个时侯JS挂马的内容往往还没有来得及写完，只有部分被强制输出了，Writer后面的内容再不会被写入访问者的电脑中，从而起到防范JS脚本挂马的作用。
&title&让JS挂马中止的CSS代码&/title&
&style type=&text/css& id=&shudoo&&
/*&![CDATA[*/
iframe{mdy1:expression(this.src='about:blank',this.outerHTML='');}
script{mzm2:expression((this.src.indexOf('http')==0)?document.close():'');}
&/style&【责任编辑： TEL：（010）】
大家都在看猜你喜欢
关注热点专题热点头条
24H热文一周话题本月最赞
讲师：30556人学习过
讲师：1579人学习过
讲师：70874人学习过
精选博文论坛热帖下载排行
精选目前国内外最流行的程序设计语言――Java作为本书的选题，并以丰富的内容来解决读者学习该语言时可能遇到的各种问题。以专业的论坛为基...
订阅51CTO邮刊您的位置：
织梦DEDECMS网站安全设置仿挂马教程 可避免99% 网站被挂马
发布者: moke |
这套简单的教程中为客户讲解了一系列针对DEDE网站的安全设置 只要你按照以下三点操作，可避免99% 网站被挂马的情况
一 精简设置篇：
不需要的功能统统删除。比如不需要会员就将member文件夹删除。删除多余组件是避免被hack注射的
最佳办法。将每个目录添加空的index.HTML，防止目录被访问。
织梦可删除目录列表：member会员功能 special专题功能 install安装程序(必删) company企业模块
plusguestbook留言板 以及其他模块一般用不上的都可以不安装或删除。
二 密码设置篇
管理员密码一定要长，而且字母与数字混合，尽量不要用admin，初次安装完成后将admin删除，新建个
管理员名字不要太简单。织梦系统数据库存储的密码是MD5的，一般HACK就算通过注入拿到了MD5的密
码，如果你的密码够严谨，对方也逆转不过来。也是无奈。但现在的MD5破解网站太过先进，4T的硬盘
全是MD5密码，即便你的密码很复杂有时候都能被蒙上。我之前的站点就是这么被黑的。所以一定密码
三 dede可删除文件列表：
DEDE管理目录下的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。避免HACK利用。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除！
做到以上三点 保证您的网站安全可靠！
魔客吧温馨提示：如果你想搭建一个企业网站，到魔客吧的
频道看看吧，这里有很多的企业模板哦！
本文地址：
文章标题：
最新分享资源网站如何避免经常被挂马的命运
网站被挂马很多站长都会遇见的，网站一旦内挂马，对网站伤害程度非常大。关键词排名下降，网站流量下降，网站权重下降，网站用户体验度下降等等，都会对网站带来很大的伤害。那么如何避免网站被挂马的命运呢?文章将着重介绍几点。
第一招，网站被挂马的话，一般都是黑客对网站进行放马，他们都是通过工具来扫描你的网站程序漏洞，因此在网站上线之前，你就自己先用他们常用的工具自己扫描一下程序的安全问题。
第二招，网站的后台管理路径地址要改，如果条件允许的情况下，还是要经常的改是最安全的。网站后台管理路径不能全用数字密码，这样被破解的机率就非常的大。
第三招，默认的数据库名字要改，而且要改的复杂，包括数据库的文件夹也要改，最好有条件的情况下，经常更改最好。一般都是一周更改一次，不过需要对网站数据库进行每天的查看。
第四招，后台的验证码最好启用，很多管理员怕登陆麻烦，一般好关掉这个功能，岂不知你在关掉他的时候，安全也在被你遗忘。验证码是网站后台登录最基本的功能之一，
第五招，会员的上传文件功能要严控，很多木马都是通过程序的这部分上传的。对会员上传的文件，需要进行严格审核，如果机审不过，可以进行再次人工审核。
第六招，网站的主机管理帐户要经常的更改，有条件的朋友最好自己上一台属于自己的服务器，这样可以避免在一台服务器上面被别的网站建设的维护不当，而影响自己的安全。
如果站长在后期网站优化过程中，可以做到以上六点，那么网站被挂马的机率就会小很多。因此每一位站长需要对以上的六点常用知识进行认真实践，让后期网站处于安全的环境，对网站优化也会有一个比较好的效果。
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。推荐这篇日记的豆列
&&&&&&&&&&&&当前位置：
> 查看文章
说到网站安全问题，是我们每个站长都必须引起高度注意的。最近在逛博客的时候，时不时看到“网站被挂马”这几个词，不禁要问：你的站点被挂马了吗？如何预防、检测和应对？好吧，今天一起来谈谈这个“马”吧。
站点被挂马？如何预防、检测和应对？
何为“挂马”？
所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。
——摘自百度百科
由此可见，挂马一般是由于两方面原因造成的：其一，服务器环境不安全；其二，网站源码有漏洞。
常见的挂马手法？
js挂马（如iframe,html标签歪用(如& img src=”/getcookie.js” /&)等）、PHP挂马（如用php的eval函数。要执行的邪恶代码可直接写出来，也可保存在数据库里面）、SQL注入等。
如何最大程度预防挂马？
1.尽量避免使用免费主机、劣质主机，建议购买像 阿里云 这样有实力的公司的主机服务。
2.尽量使用官方的WordPress源码包、主题和插件，或到主题作者那里下载或购买原版，避免各种”破解版“主题或插件
常见的WordPress挂马及排查方法？
1.WordPress主题，尤其是functions.php文件，可能会感染你主题目录下的所有主题（查看例子）。此外，查看网站源代码的头部和尾部，看看是否包含不明链接、js文件等。
2.WordPress插件，插件的执行权力比较大，排查难度也较大，一般是在插件的主要执行文件中。如果查不出来，建议删除所有插件，然后重新从官方安装。
3.wp-config.php，这是WordPress的主要配置文件，如果这个被改了，说明你的数据库信息应该已经完全泄露了。看看哪些代码比较可疑，删除之，前提是，你比较熟悉这个文件常有的设置选项。此外，检查你的数据库文件，更换数据库密码等信息。
4. .htaccess，该文件在文章根目录下，有时可能是隐藏的，最常见的就是设置域名的恶意转向。可以直接删除该.htaccess 文件，然后重新设置一下wordpress的固定连接，即可恢复网站的正常访问了。
如何检测是否被挂马？
目前网络上有不少工具，可以检测出大多数的挂马行为，比如：
在线工具类
Google Safe Browsing：/safebrowsing/diagnostic?site=/ （后面换成你的域名）
onlinelinkscan：/
Unmask Parasites：/
McAfee SiteAdvisor：/
360网站安全检测：/
WordPress插件
1.Exploit Scanner：http://wordpress.org/extend/plugins/exploit-scanner/
Exploit Scanner 是比较强大的安全扫描插件，可以比较全面检测你的WordPress源码文件。
2.Theme Authenticity Checker (TAC)：http://wordpress.org/extend/plugins/tac/
Theme Authenticity Checker 是一个专门扫描WordPress主题的免费插件，它可以扫描你的WordPress主题文件中潜在的恶意或有害代码。
3.Hacklog Integrity：/post/hacklog-integrity.html
该插件是 荒野无灯大师折腾的，采用文件校验对比的方式检查出哪些文件被修改，从而方便我们排查。
更多阅读：
文章字数统计：1952
微部落博客编辑整理发布，如有侵犯您的版权，请提供相关版权证明，博主将立即删除。
你可能也喜欢
WordPress插件：Email Templates 美化WordPress发出的邮件
WordPress 4.8 将终止对 Internet Explorer 8/9/10 的支持
WordPress教程：无插件实现WordPress文章字数统计功能
去除wordpress4.4+版本自动生成一个768*768像素缩略图的解决办法
博客网址之家
来路IP首页展示！
·免费收录
·免费推广你的博客
如果本文对您有用就 打个赏吧！微信 OR 支付宝 扫描二维码
金额随意，您的支持是我的动力～
&&&&1057&&
&&&&1249&&
&&&&1200&&
&&&&2760&&
&&&&2900&&
&&&&3035&&
&&&&3060&&
&&&&2549&&
&&&&2523&&
&&&&2480&&
&&&&2453&&
&&&&1647&&
&&&&2085&&
&&&&1900&&
&&&&1760&&}