任祎

高校網(wǎng)頁木馬病毒的防范思路和方法

任祎

網(wǎng)頁木馬病毒是一段基于JavaScript、VBScript、CSS等腳本的惡意代碼，通過用戶在客戶端的訪問實現(xiàn)隱秘運行，從而達到木馬傳播、破壞的目的。根據(jù)網(wǎng)頁木馬傳播特點，運行方式及表現(xiàn)形式，并結(jié)合實際經(jīng)驗分3個層面介紹了網(wǎng)頁木馬的特點和攻擊模式；給高校信息化工作造成的危害以及如何檢測，如何查殺和防范網(wǎng)頁木馬的威脅。對于高校網(wǎng)站提高安全防護水平和加強網(wǎng)頁木馬病毒的防范有較強的實用價值和借鑒意義。

網(wǎng)頁木馬；漏洞；木馬查殺；防范措施

0 引言

網(wǎng)站對于高校的信息化建設(shè)來說是很關(guān)鍵的一個環(huán)節(jié)，基本上每所高校都有自己相關(guān)的網(wǎng)站，包括學(xué)校的主站以及各個部門的子網(wǎng)站，還有一些相關(guān)性的服務(wù)類網(wǎng)站，是學(xué)校信息管理，對外交流的良好平臺和窗口。但是，由于與外界互聯(lián)，而且，目前互聯(lián)網(wǎng)上充斥著各種病毒威脅，所以，網(wǎng)站的安全性就受到了嚴重的挑戰(zhàn)。網(wǎng)頁木馬就是其中之一，它的危害性是巨大的。一旦被掛馬給高校造成的影響和損失也難以估量，尤其是部分網(wǎng)絡(luò)安全建設(shè)不全面的高校損失更大。討論的重點就是如何去解決和防范網(wǎng)站掛馬，從而保證高校網(wǎng)站的正常運行。

1 網(wǎng)頁木馬的特性以及對于高校造成的危害

1.1 網(wǎng)頁木馬特性

網(wǎng)頁木馬其實就是一段惡意的具有欺騙性和強攻擊性的代碼，通常被置入到HTML頁面中，中毒嚴重的網(wǎng)站下面幾乎所有頁面都被置入該惡意代碼，通過客戶端的訪問，從而給客戶端傳播非法廣告，惡意程序等，網(wǎng)頁木馬具有很強的隱秘性，當(dāng)用戶訪問該網(wǎng)站時，就會立刻受到騷擾或者攻擊。常見的情況有打開頁面立刻彈出各種非法頁面，如廣告，虛假網(wǎng)站鏈接，或者是自動在后臺下載木馬，自動執(zhí)行。目前的網(wǎng)頁木馬主要基于javascript腳本攻擊，還有vbscript腳本，css元素等攻擊方式，利用網(wǎng)站和瀏覽器漏洞隱秘的發(fā)起攻擊。受攻擊的網(wǎng)站幾乎包括所有類型如ASP、JSP、PHP等，危害強度和范圍都非常的大。

1.2 幾種常見的掛馬方式及攻擊行為描述

如表1所示：

表1 常見的掛馬方式及攻擊行為

?

從表1中所介紹的是高校網(wǎng)站中較常見的網(wǎng)頁木馬，當(dāng)然還有圖片木馬、PDF木馬，高級欺騙網(wǎng)頁、釣魚網(wǎng)頁、FLASH木馬等多種多樣的木馬。而且，絕大多數(shù)的木馬攻擊者常對攻擊腳本作各種混淆、加密，消除其原有的特征,以躲避特征掃描工具的檢測，如采用16進制編碼、Unicode編碼、escape 函數(shù)編碼和一些字符串處理函數(shù),甚至可以對一段腳本進行多次混淆所掛的威脅地址進行加密。不借助工具根本無法發(fā)現(xiàn)惡意地址。以框架掛馬為例：

〈iframe src=http://%77%77%77%2e%31%32%33%2e%63% 6f%6d/width=0 height=0〉〈/iframe〉

這句代碼就是一個加密網(wǎng)址，實際隱藏的鏈接地址是www.123.com。它會彈出一個高和寬均為0的木馬網(wǎng)站，肉眼根本無法看到。所以，作為一般的終端用戶根本無法去解決這類掛馬問題。

1.3 網(wǎng)頁木馬對高校產(chǎn)生的危害

根據(jù)網(wǎng)頁木馬攻擊特點可以得出，高校是網(wǎng)頁木馬爆發(fā)的高危險區(qū)，校園內(nèi)存在大量的用戶，由于各類原因，比如網(wǎng)絡(luò)安全較差、用戶上網(wǎng)行為不規(guī)范、服務(wù)器漏洞和網(wǎng)站漏洞多等等，都會給網(wǎng)站掛馬者提供便利條件，通過服務(wù)器網(wǎng)站拿權(quán)后，批量加入木馬網(wǎng)址或文件鏈接，從而達到大范圍擴散的效果。網(wǎng)頁木馬爆發(fā)對高校比較明顯的危害集中在2個方面：首先，對于正常的辦公、教學(xué)影響。當(dāng)木馬生成后，終端用戶在瀏覽網(wǎng)頁查詢資料時，就會自動連接木馬網(wǎng)址，對本機造成威脅，同時使用過程中，不斷彈出各類騷擾頁面、釣魚頁面、沒有防范木馬經(jīng)驗的用戶對這種騷擾一籌莫展，黑客拿權(quán)后會上傳大量的負面信息，篡改網(wǎng)站內(nèi)容甚至結(jié)構(gòu)，很多珍貴資料或者數(shù)據(jù)都會丟失，嚴重影響日常的教學(xué)科研和其它正常工作，造成不可預(yù)估的損失；其次，是對于高校每年的招生工作產(chǎn)生重大危害，學(xué)生或者家長訪問帶有木馬的網(wǎng)頁后，很有可能被虛假欺騙信息蒙蔽，另外，黑客甚至?xí)圃焯摷俚木W(wǎng)絡(luò)繳費頁面，騙取用戶的銀行卡號和密碼，從而使得用戶在經(jīng)濟上蒙受重大損失，學(xué)校的招生工作也無法正常進行。常見的網(wǎng)頁木馬攻擊方式如圖1所示：

圖1 通過感染大量用戶機，達到破壞或欺騙目的

2 網(wǎng)頁木馬的方范手段

2.1 嚴格檢查網(wǎng)站和服務(wù)器漏洞，停止不必要的組件運行

通過研究木馬特性和運行方式，我們需要做出針對性措施，以windows操作系統(tǒng)為例。木馬運行很大一部分是依靠操作系統(tǒng)、服務(wù)器和網(wǎng)站本身的漏洞，比如IIS域名解析漏洞、IE瀏覽器漏洞，還有一些高威脅系統(tǒng)組件，如FSO組件（FileSystemObject）、wscript.shell組件、stream組件等。以FSO組件為例，它是針對ASP的一個文件操作組件，可以對服務(wù)器進行讀取，修改、刪除、新建等操作，很多網(wǎng)站需要使用動態(tài)生成靜態(tài)頁技術(shù)，就要用到FSO組件，如果一旦被利用，網(wǎng)站就會被惡意掛馬。所以，為了提高網(wǎng)站的安全性，我們可以卸載該組件，卸載代碼如下：

regsvr32.exe /u %windir%system32scrrun.dll （在CMD中運行）

但是，卸載該類系統(tǒng)組件可能會對網(wǎng)站正常訪問或者操作系統(tǒng)造成一定程度上的影響，所以，我們也要根據(jù)實際情況進行卸載，避免造成不必要的麻煩。

IIS（Internet Information Services）是windows系統(tǒng)下的互聯(lián)網(wǎng)基本服務(wù)組件，也就是網(wǎng)站運行的服務(wù)器組件，該組件也是黑客重點攻擊對象，因此，架設(shè)網(wǎng)站服務(wù)器時，對于IIS要進行一定的安全設(shè)置，首先，應(yīng)該取消系統(tǒng)everyone用戶默認的的完全控制共享權(quán)限，并且修改系統(tǒng)管理員名稱和密碼，不要用默認的administrator名稱，密碼定期進行修改，提高系統(tǒng)安全性；其次，加強匿名用戶IUSR_Computername訪問權(quán)限的管理，設(shè)置文件夾和文件的訪問權(quán)限，對不同的組和用戶設(shè)置不同的權(quán)限，對非法用戶及時加以預(yù)防和制止，通過Web站點屬性頁實現(xiàn)對WWW目錄訪問權(quán)限的控制，尤其是寫入和執(zhí)行權(quán)限的控制，該目錄下的所有文件和子文件夾都將繼承這些安全機制。從而提高網(wǎng)站的安全；第三方面是加強TCP端口的管理，如80端口（WWW服務(wù)）、21端口（FTP服務(wù)）等，可以根據(jù)需要進行訪問端口的更換，當(dāng)然這樣就需要用戶訪問時輸入新指定的端口，造成了一定的訪問難度。

2.2 截斷木馬執(zhí)行路徑

通過資料研究和大量實例分析，我們發(fā)現(xiàn)很多的木馬是存放在系統(tǒng)的臨時文件夾中來執(zhí)行的，因此，我們可以利用這點來控制木馬的執(zhí)行。常見的臨時文件存放路徑如下：

C:Documents and SettingsAdministratorLocalSettingsTemp

C:Documents and SettingsAdministratorLocal SettingsTemp-orary Internet Files

當(dāng)黑客將木馬傳到用戶終端后，一般都存放在以上兩處，然后伺機運行，我們可以通過系統(tǒng)的組策略編輯器 gpedit.msc組件來進行安全設(shè)置。如圖2所示：

圖2 組策略編輯器的設(shè)置

首先，選擇wwindows設(shè)置中的安全設(shè)置，然后，選擇軟件限制策略，再選擇其它規(guī)則，用右鍵選擇新路徑規(guī)則，建立新的安全機制，將以上2個文件存放路徑加進去，并將安全級別設(shè)置成不允許即可有效防止黑客將木馬存入系統(tǒng)中。從而一定程度保證了訪問安全。

另外，很多黑客會利用注冊表添加自啟動項來達到運行木馬的目的，他們通過在注冊表目錄如：

HKEEY_LOCAL_MMACHINE/Soffttware/Microsofft/Windows/ CurrrentVersion/Ruun；

HKEEY_LOCAL_UUSER/Softwaree/Microsoft/Winndows/Current Verssion/Run

添加自啟動項來實現(xiàn)木馬運行。一般木馬擴展名都為.eexe，所以，要經(jīng)常的檢查注冊表，對于不認識或者不熟悉的.exe鍵值要及時的清理。最大程度上保持系統(tǒng)的安全性。

2.3網(wǎng)頁木馬查殺

對于已經(jīng)感染的服務(wù)器和網(wǎng)站，往往是網(wǎng)站下面全部網(wǎng)頁都被添加了惡意代碼，處理起來難度相當(dāng)大，這時我們就需要借助部分工具來進行修復(fù)處理，首先，第一步需要找到網(wǎng)頁中的惡意代碼，對于已經(jīng)加密的網(wǎng)址進行反向解密，如本文前面提到的假設(shè)木馬網(wǎng)址www.123.comm，它就是通過URLL加密把網(wǎng)址進行了轉(zhuǎn)換。掌握了木馬網(wǎng)址后，第二步就是將該網(wǎng)址設(shè)為非法網(wǎng)址，禁止訪問，目前，常用的瀏覽器軟件都具有黑白過濾功能，可以將該網(wǎng)址加入黑名單。第三步就是整站查殺，我們可以借助dreamweavver的整站代碼替換功能，將該惡意代碼設(shè)為關(guān)鍵字，然后替換為空。從而批量化的刪除網(wǎng)站所有帶毒頁面內(nèi)的惡意代碼，高效快速的恢復(fù)網(wǎng)站健康（部分頑固防殺病毒可考慮用原始備份包恢復(fù)網(wǎng)站）。網(wǎng)站恢復(fù)好后，再用漏洞檢測工具檢測網(wǎng)站和服務(wù)器的漏洞，比如360安全中心的網(wǎng)站漏洞掃描等，及時修復(fù)并全面查殺殘留病毒，防止再次感染。

終端用戶需要進行全盤的病毒查殺，查看進程管理器，停止掉非法進程，并刪除非法進程相關(guān)聯(lián)文件，清理注冊表殘留。檢查操作系統(tǒng)的運行狀況，清理系統(tǒng)緩存，并升級防火墻，提高IE安全級別。如果有必要，可以考慮重新安裝操作系統(tǒng)。操作系統(tǒng)盡量使用新的可靠版本，比如微軟已經(jīng)不再支持winxp的系統(tǒng)更新了，所以，可以考慮更換別的操作系統(tǒng)如win7，得不到官方支持的操作系統(tǒng)對于用戶來說是非常危險的。

2.4 常用的一些防范措施

對于大部分普通用戶而言，首先需要養(yǎng)成一個良好的上網(wǎng)習(xí)慣，不熟悉的、陌生的網(wǎng)站盡量不要去訪問，不打開來路不明的圖片和文件；安裝和更新殺毒軟件和防火墻，及時安裝系統(tǒng)補丁，及時清理系統(tǒng)緩存和垃圾；另外將IE安全級別調(diào)整為高，禁用AActiveX插件、Java腳本，做好以上這些措施能有效的防止網(wǎng)頁木馬的侵害。

對于網(wǎng)站服務(wù)器而言，主要做到以下幾點：

a、修復(fù)各類服務(wù)器漏洞和網(wǎng)站漏洞，嚴格管理動態(tài)網(wǎng)站的數(shù)據(jù)庫，防止注入；

b、關(guān)閉服務(wù)器危險端口，必要時調(diào)整網(wǎng)站服務(wù)端口；c、優(yōu)化IIS性能，通過權(quán)限管理提高安全性；

d、及時檢查網(wǎng)頁代碼，對于費代碼、冗余代碼和垃圾代碼進行清理；

e、及時做好數(shù)據(jù)備份，保證系統(tǒng)或網(wǎng)站崩潰的情況下的數(shù)據(jù)安全；

f、加強業(yè)務(wù)能力的學(xué)習(xí)，提高管理水平和應(yīng)對故障的處理能力。

做好以上幾點，能夠安全有效的保障網(wǎng)站的正常運行。

3 總結(jié)

網(wǎng)站安全涉及領(lǐng)域很多，限于篇幅本文僅介紹了部分內(nèi)容，其它類似SQL注入等攻擊不在本文討論范圍，本文著重介紹了常見網(wǎng)頁木馬攻擊手段和防范修復(fù)的方法措施，雖然能夠有效防范木馬的攻擊，但是我們還需要提高警惕，加強學(xué)習(xí)，熟悉操作系統(tǒng)和網(wǎng)站漏洞形成原因，鉆研防病毒知識，加強檢測和防護能力，全力保證網(wǎng)站和數(shù)據(jù)的安全，為高校信息化建設(shè)做出貢獻。

[1]慧琳,鄒維,韓心慧.網(wǎng)頁木馬機理與防御技術(shù)[[J].軟件學(xué)報,,2013,24(4):8433-858.

[2]安曉瑞.ASP網(wǎng)站中asp一句話木馬的安全性問題及防范措施的研究[JJ].首都師范大學(xué)學(xué)報(自然科學(xué)版), 20114,1:39-43.

[3]羅澤林,陳思亮.網(wǎng)頁木馬的攻擊與防范[J].電腦知識與技術(shù), 2014,10(5):932-934.

[4]楊明,王軼駿,薛質(zhì).高混淆網(wǎng)頁木馬的研究與檢測實現(xiàn)[J]..計算機工程與設(shè)計,2014,35(8):2633-2639.

[5]鄭云鵬.網(wǎng)頁木馬機理與防范對策[J].電子技術(shù)與軟件工程,2014(12):233-234.

[6]梁玲.網(wǎng)頁木馬植入與防范技術(shù)研究[J].太原師范學(xué)院學(xué)報(自然科學(xué)版),2010,9(1):69-73.

Ideas and Methods of University Webpage Trojan Virus Prevention

Ren yi
(Shaanxi Xueqian Normal University, Xi’an 710100, China)

Webpage Trojan virus is a malicious code based on scripts such as JavaScript, VBScript and CSS. It runs covertly by the client access of users so that it can achieve the purpose of Trojan virus spread and destruction. According to the characteristics of Webpage Trojan spread, operation mode and form of expression, this paper introduces the characteristics and attack pattern of Webpage Trojan, the harm to the university informationization and how to scan, destroy and protect against the Trojan virus combined with practical experience in three aspects. It has strong practical value and reference to the improvement of University website safety and Webpage Trojan virus prevention.

Webpage Trojan; Loophole; Trojan Avira; Preventive Measures

TB66

A

20015.01.28)

1007-757X(2015)04-0062-03

任祎（1978- ），男，陜西西安人，陜西學(xué)前師范學(xué)院網(wǎng)絡(luò)與信息中心，工程師，本科，研究方向：計算機網(wǎng)絡(luò)應(yīng)用及安全技術(shù)研究，西安，710100