摘要：由于信息社會的高速發(fā)展，計算機(jī)網(wǎng)絡(luò)的廣發(fā)應(yīng)用隨之基于計算機(jī)網(wǎng)絡(luò)的犯罪行為快速激增。本文以分析常用木馬嵌入方法，以便有效地保證網(wǎng)站服務(wù)器及用戶信息安全，保障網(wǎng)絡(luò)使用者的權(quán)益。

關(guān)鍵詞：服務(wù)器；木馬；信息安全

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 (2012) 10-0248-01

木馬具有隱藏性的、自發(fā)性的可被用來進(jìn)行惡意行為的程序，多不會直接對電腦產(chǎn)生危害，而是以控制為主。木馬具有極強(qiáng)的危害性，它常常以侵害網(wǎng)絡(luò)用戶信息為主要目的，犯罪份子再獲取某些核心信息后，極有可能實(shí)施具體的犯罪行為，例如：信息詐騙、網(wǎng)絡(luò)信息盜竊或販賣、網(wǎng)絡(luò)金融盜取、信用卡詐騙等。木馬要能有效得工作，首先必須通過某些方式進(jìn)入需攻擊的計算機(jī)系統(tǒng)中，由于網(wǎng)絡(luò)具有普遍性而且大多數(shù)網(wǎng)站管理者計算機(jī)網(wǎng)絡(luò)安全缺失，所以將木馬通過一定的方式嵌入某些網(wǎng)站是犯罪份子的最佳選擇。

一、通過webshell非法嵌入網(wǎng)站

Webshell在很多小型網(wǎng)站中廣泛應(yīng)用，它具有管理方便，維護(hù)簡潔的特點(diǎn)。但使用webshell管理網(wǎng)站它必須獲得網(wǎng)站的較高權(quán)限以便可以完成在線編輯網(wǎng)頁腳本、上傳下載文件、操作數(shù)據(jù)庫、執(zhí)行任意程序命令等功能。由于webshell權(quán)限較高，而且它通信使用的80端口一般不會被防火墻所攔截，所以常常被入侵者所利用。

webshell的嵌入方法：最簡單最直接的嵌入木馬的方式是采用框架式，它具有位置不固定，語句簡單操作方便的特點(diǎn)例如：iframe src=http：//www.baidu/aa.htm width=0 height=0/iframe，其中www.baidu/aa.htm則是木馬的具體位置，它可用通過網(wǎng)站的框架檢查便可查出隱藏性較差。使用js文件嵌入，某系網(wǎng)站常常會調(diào)用js文件例如：，入侵者會通過網(wǎng)站的js文件的調(diào)用他們自己的js木馬文件像：，要將其寫入webshell大多案例中依舊是iframe框架，但中不得寫入html，則采用document.write(\"\")以達(dá)到嵌入其網(wǎng)站的目的，這里主要是使用了之中，不考慮其中的文件形式，只檢查其語法，只要其中的語法沒有問題能被javascript識別均被執(zhí)行。此類問題解決方法禁用webshell或是將webshell的權(quán)限降低，這類問題大多存在于小微型網(wǎng)站

二、數(shù)據(jù)庫嵌入方法

數(shù)據(jù)庫在現(xiàn)代網(wǎng)站中應(yīng)用非常廣泛，攻擊者一般根據(jù)網(wǎng)站的數(shù)據(jù)庫調(diào)用界面用于分析例：新聞，論壇，公告，等等，一般是標(biāo)題如它的調(diào)用鏈接為news.asp?id=1，大體能判斷此是從數(shù)據(jù)庫中調(diào)用的，假設(shè)存在vote.asp?id=123并且Db_owner權(quán)限而且檢測mssql數(shù)據(jù)庫和web服務(wù)器不在同一個機(jī)器上，常用的嵌入方式更改數(shù)據(jù)庫內(nèi)容，如果將數(shù)據(jù)庫調(diào)用界面改成”，那這樣的話，首頁就會執(zhí)行這段代碼了，則找到嵌入點(diǎn)，就得找表名，如此新聞的表名為news，字段為title，id，等等，根據(jù)猜測，id=1時，暴出的字段title的值就為“新聞”，可嘗試提交vote.asp?id=123；update news set title=''新聞''where id=1；--，更改數(shù)據(jù)庫成功，木馬則嵌入成果。當(dāng)然數(shù)據(jù)嵌入式的方法很多這知不是是個很簡單的例子以做說明。

解決方法：

（1）防get方式要加對Request.QueryString長度的判斷。例如：If Len(Request.QueryString)>60 then Response.End()。

（2）防Post方式要加對來源地址的判斷，防止外部提交，如果攻擊是get方式，可防止再次變種攻擊。

（3）清空客戶端Cookies代碼，發(fā)現(xiàn)凡是訪問過被注入網(wǎng)站的客戶端的Cookies信息被篡改，javascript代碼被加入其中，用Cookies的網(wǎng)站被嵌入非法代碼可能性極高，最好也加上Cookies防注入。

（4）對上傳文件做出限制。這點(diǎn)一般是不可能的，大多數(shù)網(wǎng)站的基本功能，建議采用文件session驗(yàn)證并對上傳后的文件內(nèi)容進(jìn)行驗(yàn)證。

三、管理網(wǎng)站服務(wù)意見和建議

在現(xiàn)社會中，網(wǎng)絡(luò)已是一個完整的產(chǎn)業(yè)鏈條，它包含合法的和灰色的產(chǎn)業(yè)鏈。在黑客知識大面積的普及之下，網(wǎng)站的安全問題變得尤為緊迫。當(dāng)然維護(hù)網(wǎng)絡(luò)環(huán)境保護(hù)網(wǎng)絡(luò)人的權(quán)益，這個方面可能需要國家層面上來解決，單作為攻擊主要要受害方中小網(wǎng)站站主，建議最好能做到以下幾點(diǎn)：

（1）建議一套完善的病毒木馬防護(hù)體系，至少要有一套軟件防護(hù)手段。

（2）控制網(wǎng)站服務(wù)的權(quán)限，動態(tài)更新其密碼，減少后臺程序。

（3）對服務(wù)器功能控制單一，最好服務(wù)器不用于訪問其它計算機(jī)系統(tǒng)。

（4）減少安裝asp或jsp上傳組件，如有需要限制其上傳的內(nèi)容并審查后方可加載。

（5）在大多數(shù)網(wǎng)站中均有附件上傳，在該目錄中不得執(zhí)行asp或jsp等程序，以免執(zhí)行外部鏈接木馬程序。

（6）后臺登陸需強(qiáng)化管理最好使用限定固定幾個ip進(jìn)行訪問。

（7）對文件目錄中文件需經(jīng)常檢查，如發(fā)現(xiàn)異常及時解決。

四、結(jié)束語

高速發(fā)展的信息社會中，網(wǎng)絡(luò)的各種犯罪現(xiàn)象層出不窮，網(wǎng)站嵌入木馬是最常見的犯罪行為。它趨利性非常的強(qiáng)，對網(wǎng)絡(luò)的危害也比較的大，了解怎么嵌入木馬的方式，以找到合適的處理方式。保護(hù)網(wǎng)站的安全不能只靠技術(shù)層面上的工作，保護(hù)往往是被動，要依靠國家立法結(jié)構(gòu)制定嚴(yán)厲的法律體系，更需要網(wǎng)絡(luò)人的自律行為。