高校網頁木馬病毒的防范思路和方法

任祎

高校網頁木馬病毒的防范思路和方法

任祎

網頁木馬病毒是一段基于JavaScript、VBScript、CSS等腳本的惡意代碼，通過用戶在客戶端的訪問實現(xiàn)隱秘運行，從而達到木馬傳播、破壞的目的。根據(jù)網頁木馬傳播特點，運行方式及表現(xiàn)形式，并結合實際經驗分3個層面介紹了網頁木馬的特點和攻擊模式；給高校信息化工作造成的危害以及如何檢測，如何查殺和防范網頁木馬的威脅。對于高校網站提高安全防護水平和加強網頁木馬病毒的防范有較強的實用價值和借鑒意義。

網頁木馬；漏洞；木馬查殺；防范措施

0 引言

網站對于高校的信息化建設來說是很關鍵的一個環(huán)節(jié)，基本上每所高校都有自己相關的網站，包括學校的主站以及各個部門的子網站，還有一些相關性的服務類網站，是學校信息管理，對外交流的良好平臺和窗口。但是，由于與外界互聯(lián)，而且，目前互聯(lián)網上充斥著各種病毒威脅，所以，網站的安全性就受到了嚴重的挑戰(zhàn)。網頁木馬就是其中之一，它的危害性是巨大的。一旦被掛馬給高校造成的影響和損失也難以估量，尤其是部分網絡安全建設不全面的高校損失更大。討論的重點就是如何去解決和防范網站掛馬，從而保證高校網站的正常運行。

1 網頁木馬的特性以及對于高校造成的危害

1.1 網頁木馬特性

網頁木馬其實就是一段惡意的具有欺騙性和強攻擊性的代碼，通常被置入到HTML頁面中，中毒嚴重的網站下面幾乎所有頁面都被置入該惡意代碼，通過客戶端的訪問，從而給客戶端傳播非法廣告，惡意程序等，網頁木馬具有很強的隱秘性，當用戶訪問該網站時，就會立刻受到騷擾或者攻擊。常見的情況有打開頁面立刻彈出各種非法頁面，如廣告，虛假網站鏈接，或者是自動在后臺下載木馬，自動執(zhí)行。目前的網頁木馬主要基于javascript腳本攻擊，還有vbscript腳本，css元素等攻擊方式，利用網站和瀏覽器漏洞隱秘的發(fā)起攻擊。受攻擊的網站幾乎包括所有類型如ASP、JSP、PHP等，危害強度和范圍都非常的大。

1.2 幾種常見的掛馬方式及攻擊行為描述

如表1所示：

表1 常見的掛馬方式及攻擊行為

?

從表1中所介紹的是高校網站中較常見的網頁木馬，當然還有圖片木馬、PDF木馬，高級欺騙網頁、釣魚網頁、FLASH木馬等多種多樣的木馬。而且，絕大多數(shù)的木馬攻擊者常對攻擊腳本作各種混淆、加密，消除其原有的特征,以躲避特征掃描工具的檢測，如采用16進制編碼、Unicode編碼、escape 函數(shù)編碼和一些字符串處理函數(shù),甚至可以對一段腳本進行多次混淆所掛的威脅地址進行加密。不借助工具根本無法發(fā)現(xiàn)惡意地址。以框架掛馬為例：

〈iframe src=http://%77%77%77%2e%31%32%33%2e%63% 6f%6d/width=0 height=0〉〈/iframe〉

這句代碼就是一個加密網址，實際隱藏的鏈接地址是www.123.com。它會彈出一個高和寬均為0的木馬網站，肉眼根本無法看到。所以，作為一般的終端用戶根本無法去解決這類掛馬問題。

1.3 網頁木馬對高校產生的危害

根據(jù)網頁木馬攻擊特點可以得出，高校是網頁木馬爆發(fā)的高危險區(qū)，校園內存在大量的用戶，由于各類原因，比如網絡安全較差、用戶上網行為不規(guī)范、服務器漏洞和網站漏洞多等等，都會給網站掛馬者提供便利條件，通過服務器網站拿權后，批量加入木馬網址或文件鏈接，從而達到大范圍擴散的效果。網頁木馬爆發(fā)對高校比較明顯的危害集中在2個方面：首先，對于正常的辦公、教學影響。當木馬生成后，終端用戶在瀏覽網頁查詢資料時，就會自動連接木馬網址，對本機造成威脅，同時使用過程中，不斷彈出各類騷擾頁面、釣魚頁面、沒有防范木馬經驗的用戶對這種騷擾一籌莫展，黑客拿權后會上傳大量的負面信息，篡改網站內容甚至結構，很多珍貴資料或者數(shù)據(jù)都會丟失，嚴重影響日常的教學科研和其它正常工作，造成不可預估的損失；其次，是對于高校每年的招生工作產生重大危害，學生或者家長訪問帶有木馬的網頁后，很有可能被虛假欺騙信息蒙蔽，另外，黑客甚至會制造虛假的網絡繳費頁面，騙取用戶的銀行卡號和密碼，從而使得用戶在經濟上蒙受重大損失，學校的招生工作也無法正常進行。常見的網頁木馬攻擊方式如圖1所示：

圖1 通過感染大量用戶機，達到破壞或欺騙目的

2 網頁木馬的方范手段

2.1 嚴格檢查網站和服務器漏洞，停止不必要的組件運行

通過研究木馬特性和運行方式，我們需要做出針對性措施，以windows操作系統(tǒng)為例。木馬運行很大一部分是依靠操作系統(tǒng)、服務器和網站本身的漏洞，比如IIS域名解析漏洞、IE瀏覽器漏洞，還有一些高威脅系統(tǒng)組件，如FSO組件（FileSystemObject）、wscript.shell組件、stream組件等。以FSO組件為例，它是針對ASP的一個文件操作組件，可以對服務器進行讀取，修改、刪除、新建等操作，很多網站需要使用動態(tài)生成靜態(tài)頁技術，就要用到FSO組件，如果一旦被利用，網站就會被惡意掛馬。所以，為了提高網站的安全性，我們可以卸載該組件，卸載代碼如下：

regsvr32.exe /u %windir%system32scrrun.dll （在CMD中運行）

但是，卸載該類系統(tǒng)組件可能會對網站正常訪問或者操作系統(tǒng)造成一定程度上的影響，所以，我們也要根據(jù)實際情況進行卸載，避免造成不必要的麻煩。

IIS（Internet Information Services）是windows系統(tǒng)下的互聯(lián)網基本服務組件，也就是網站運行的服務器組件，該組件也是黑客重點攻擊對象，因此，架設網站服務器時，對于IIS要進行一定的安全設置，首先，應該取消系統(tǒng)everyone用戶默認的的完全控制共享權限，并且修改系統(tǒng)管理員名稱和密碼，不要用默認的administrator名稱，密碼定期進行修改，提高系統(tǒng)安全性；其次，加強匿名用戶IUSR_Computername訪問權限的管理，設置文件夾和文件的訪問權限，對不同的組和用戶設置不同的權限，對非法用戶及時加以預防和制止，通過Web站點屬性頁實現(xiàn)對WWW目錄訪問權限的控制，尤其是寫入和執(zhí)行權限的控制，該目錄下的所有文件和子文件夾都將繼承這些安全機制。從而提高網站的安全；第三方面是加強TCP端口的管理，如80端口（WWW服務）、21端口（FTP服務）等，可以根據(jù)需要進行訪問端口的更換，當然這樣就需要用戶訪問時輸入新指定的端口，造成了一定的訪問難度。

2.2 截斷木馬執(zhí)行路徑

通過資料研究和大量實例分析，我們發(fā)現(xiàn)很多的木馬是存放在系統(tǒng)的臨時文件夾中來執(zhí)行的，因此，我們可以利用這點來控制木馬的執(zhí)行。常見的臨時文件存放路徑如下：

C:Documents and SettingsAdministratorLocalSettingsTemp

C:Documents and SettingsAdministratorLocal SettingsTemp-orary Internet Files

當黑客將木馬傳到用戶終端后，一般都存放在以上兩處，然后伺機運行，我們可以通過系統(tǒng)的組策略編輯器 gpedit.msc組件來進行安全設置。如圖2所示：

圖2 組策略編輯器的設置

首先，選擇wwindows設置中的安全設置，然后，選擇軟件限制策略，再選擇其它規(guī)則，用右鍵選擇新路徑規(guī)則，建立新的安全機制，將以上2個文件存放路徑加進去，并將安全級別設置成不允許即可有效防止黑客將木馬存入系統(tǒng)中。從而一定程度保證了訪問安全。

另外，很多黑客會利用注冊表添加自啟動項來達到運行木馬的目的，他們通過在注冊表目錄如：

HKEEY_LOCAL_MMACHINE/Soffttware/Microsofft/Windows/ CurrrentVersion/Ruun；

HKEEY_LOCAL_UUSER/Softwaree/Microsoft/Winndows/Current Verssion/Run

添加自啟動項來實現(xiàn)木馬運行。一般木馬擴展名都為.eexe，所以，要經常的檢查注冊表，對于不認識或者不熟悉的.exe鍵值要及時的清理。最大程度上保持系統(tǒng)的安全性。

2.3網頁木馬查殺

對于已經感染的服務器和網站，往往是網站下面全部網頁都被添加了惡意代碼，處理起來難度相當大，這時我們就需要借助部分工具來進行修復處理，首先，第一步需要找到網頁中的惡意代碼，對于已經加密的網址進行反向解密，如本文前面提到的假設木馬網址www.123.comm，它就是通過URLL加密把網址進行了轉換。掌握了木馬網址后，第二步就是將該網址設為非法網址，禁止訪問，目前，常用的瀏覽器軟件都具有黑白過濾功能，可以將該網址加入黑名單。第三步就是整站查殺，我們可以借助dreamweavver的整站代碼替換功能，將該惡意代碼設為關鍵字，然后替換為空。從而批量化的刪除網站所有帶毒頁面內的惡意代碼，高效快速的恢復網站健康（部分頑固防殺病毒可考慮用原始備份包恢復網站）。網站恢復好后，再用漏洞檢測工具檢測網站和服務器的漏洞，比如360安全中心的網站漏洞掃描等，及時修復并全面查殺殘留病毒，防止再次感染。

終端用戶需要進行全盤的病毒查殺，查看進程管理器，停止掉非法進程，并刪除非法進程相關聯(lián)文件，清理注冊表殘留。檢查操作系統(tǒng)的運行狀況，清理系統(tǒng)緩存，并升級防火墻，提高IE安全級別。如果有必要，可以考慮重新安裝操作系統(tǒng)。操作系統(tǒng)盡量使用新的可靠版本，比如微軟已經不再支持winxp的系統(tǒng)更新了，所以，可以考慮更換別的操作系統(tǒng)如win7，得不到官方支持的操作系統(tǒng)對于用戶來說是非常危險的。

2.4 常用的一些防范措施

對于大部分普通用戶而言，首先需要養(yǎng)成一個良好的上網習慣，不熟悉的、陌生的網站盡量不要去訪問，不打開來路不明的圖片和文件；安裝和更新殺毒軟件和防火墻，及時安裝系統(tǒng)補丁，及時清理系統(tǒng)緩存和垃圾；另外將IE安全級別調整為高，禁用AActiveX插件、Java腳本，做好以上這些措施能有效的防止網頁木馬的侵害。

對于網站服務器而言，主要做到以下幾點：

a、修復各類服務器漏洞和網站漏洞，嚴格管理動態(tài)網站的數(shù)據(jù)庫，防止注入；

b、關閉服務器危險端口，必要時調整網站服務端口；c、優(yōu)化IIS性能，通過權限管理提高安全性；

d、及時檢查網頁代碼，對于費代碼、冗余代碼和垃圾代碼進行清理；

e、及時做好數(shù)據(jù)備份，保證系統(tǒng)或網站崩潰的情況下的數(shù)據(jù)安全；

f、加強業(yè)務能力的學習，提高管理水平和應對故障的處理能力。

做好以上幾點，能夠安全有效的保障網站的正常運行。

3 總結

網站安全涉及領域很多，限于篇幅本文僅介紹了部分內容，其它類似SQL注入等攻擊不在本文討論范圍，本文著重介紹了常見網頁木馬攻擊手段和防范修復的方法措施，雖然能夠有效防范木馬的攻擊，但是我們還需要提高警惕，加強學習，熟悉操作系統(tǒng)和網站漏洞形成原因，鉆研防病毒知識，加強檢測和防護能力，全力保證網站和數(shù)據(jù)的安全，為高校信息化建設做出貢獻。

[1]慧琳,鄒維,韓心慧.網頁木馬機理與防御技術[[J].軟件學報,,2013,24(4):8433-858.

[2]安曉瑞.ASP網站中asp一句話木馬的安全性問題及防范措施的研究[JJ].首都師范大學學報(自然科學版), 20114,1:39-43.

[3]羅澤林,陳思亮.網頁木馬的攻擊與防范[J].電腦知識與技術, 2014,10(5):932-934.

[4]楊明,王軼駿,薛質.高混淆網頁木馬的研究與檢測實現(xiàn)[J]..計算機工程與設計,2014,35(8):2633-2639.

[5]鄭云鵬.網頁木馬機理與防范對策[J].電子技術與軟件工程,2014(12):233-234.

[6]梁玲.網頁木馬植入與防范技術研究[J].太原師范學院學報(自然科學版),2010,9(1):69-73.

Ideas and Methods of University Webpage Trojan Virus Prevention

Ren yi
(Shaanxi Xueqian Normal University, Xi’an 710100, China)

Webpage Trojan virus is a malicious code based on scripts such as JavaScript, VBScript and CSS. It runs covertly by the client access of users so that it can achieve the purpose of Trojan virus spread and destruction. According to the characteristics of Webpage Trojan spread, operation mode and form of expression, this paper introduces the characteristics and attack pattern of Webpage Trojan, the harm to the university informationization and how to scan, destroy and protect against the Trojan virus combined with practical experience in three aspects. It has strong practical value and reference to the improvement of University website safety and Webpage Trojan virus prevention.

Webpage Trojan; Loophole; Trojan Avira; Preventive Measures

TB66

A

20015.01.28)

1007-757X(2015)04-0062-03

任祎（1978- ），男，陜西西安人，陜西學前師范學院網絡與信息中心，工程師，本科，研究方向：計算機網絡應用及安全技術研究，西安，710100