網頁病毒及網頁掛馬原理

網頁病毒及網頁掛馬原理

　　所謂的掛馬，就是黑客通過各種手段，包括SQL注入，網站敏感文件掃描，服務器漏洞，網站程序0day, 等各種方法獲得網站管理員賬號，然后登陸網站后臺，通過數據庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向代碼。下面是學習啦小編跟大家分享的是網頁病毒及網頁掛馬原理，歡迎大家來閱讀學習。

　　網頁病毒及網頁掛馬原理

　　工具/原料

　　web服務器

　　方法/步驟

　　實驗環境如圖5-68所示。

　　實驗過程

　　第1步：設置IP地址。在Windows2003上，對本臺電腦的網卡設置兩個IP地址，如圖5-69所示，目的是要在本臺電腦上架設基于IP地址(218.198.18.93、218.198.18.95)的兩個網站。

　　第2步：打開【Internet信息服務(IIS)管理器】。在Windows2003上，打開【Internet信息服務(IIS)管理器】，如圖5-70所示，右鍵單擊【默認網站】選擇右鍵菜單中的【屬性】，如圖5-71所示，為本網站選擇的IP地址是218.198.18.93。

　　第3步：創建www_muma網站的主目錄。在Windows 2003上，在Inetpub文件夾中創建www_muma子文件夾，該文件夾是第4步新建網站的主目錄。wwwroot是默認網站的主目錄。

　　第4步：創建網站。在圖5-70，右鍵單擊【網站】，依次選擇【新建】/【網站】菜單命令，如圖5-72所示，開始創建網站，創建過程如圖5-73～圖5-76所示。

　　第5步：復制網站文件。在Windows 2003上，讀者可以將兩個簡單的網站文件(index.htm)分別復制到wwwroot和www_muma文件夾中。

　　編輯wwwroot文件夾中的index.htm文件，在該文件源代碼的…之間插入如圖5-77所示的被圈部分代碼。

　　第6步：打開瀏覽器。在Windows XP上，打開Firefox瀏覽器，地址欄輸入218.198.18.93，結果如圖5-78所示。

　　代碼：其實就是大家時常所說的網頁病毒、網頁掛馬的一種方式，不過在本測試中，僅僅是在原網站的首頁中嵌入了另外一個網頁，如果把width、height和frameborder都設置為0，那么在原網站的首頁不會發生任何變化，但是，嵌入的網頁(218.198.18.95/index.htm，該index.htm文件稱為網頁病毒或網頁木馬)實際上已經打開了，如果218.198.18.95/index.htm中包含惡意代碼，那么瀏覽者就會受到不同程度的攻擊。如果218.198.18.95/index.htm是網頁木馬，那么所有訪問該網站首頁的人都會中木馬。網頁上的下載木馬和運行木馬的腳本還是會隨著門戶首頁的打開而執行的。

　　第7步：編輯wwwroot中的index.htm文件。在Windows 2003上，編輯C:\Inetpub\wwwroot\index.htm文件，插入如圖5-79所示的被圈部分代碼。

　　第8步：打開瀏覽器。在Windows XP上，打開瀏覽器(IE或者Firefox)，地址欄輸入218.198.18.93，結果如圖5-80所示。

　　如果把width、height都設置為1(如果設置為0，訪問218.198.18.93的網站時彈出的木馬網頁是全屏)，那么在原網站的首頁基本不會發生什么變化，但是，嵌入的網頁(218.198.18.95/index.htm，該index.htm文件稱為網頁病毒或網頁木馬)實際上已經打開了。

　　第9步：編輯www_muma文件夾中的index.htm文件。在Windows 2003上，編輯C:\Inetpub\www_muma\index.htm文件，插入如圖5-81所示的被圈部分代碼。www_muma文件夾中index.htm文件的代碼說明見表5-29。

　　第10步：在Windows XP上，打開IE瀏覽器，依次選擇【工具】/【Internet選項】，打開【Internet選項】對話框，選擇【安全】選項卡。單擊【自定義級別】按鈕，出現【安全設置】對話框，在“重置為”下拉框中選擇【安全級-低】，單擊【重置】按鈕。具體過程請讀者參考4.3.3小節。

　　在IE瀏覽器地址欄輸入218.198.18.93，此時，網頁木馬已經在自己的電腦中創建了兩個文件，如圖5-82所示。