企业网站建设中遇到的挂马种类有哪些
随着黑客技术的发展,目前网站被挂马这样的情况很多。当网站被挂马之后,则意味着黑客人员已经入侵了该网站,并且在网站主页里面嵌入黑客们自己编写的网页木马程序,而站长如果没有及时发觉并处理的话,当浏览者打开网页的同时这段代码被执行也会运行木马。下面深圳网站建设公司优美互动就来介绍一下网站挂马的种类。
1、网页后门挂马
登录网站任何页面都出现杀毒报警,按之前的方法查看index.asp,并且去掉了iframe语句。但却发现问题依然存在,于是查看其他文件才发现,所有文件全部加上了挂马语句,即使恢复了首页,但用户访问其他页面的时候依然会蹦出病毒提示。采用备份文件覆盖恢复,重装操作系统等方法都实验以后,隔天后可能再出现被挂马的情况,此时应怀疑属于网页后门导致,于是检查所有asp程序文件,攻击者往往会采用一些双扩展名的文件存放在,例如图片目录当中,xxxx.jpg.asp文件,打开来看代码类似于 这样的语句,明显是一句话后门,从文件名来判断,这种伪装图片的后缀上来的文件,应怀疑是提交图片功能存在上传漏洞,建议停用或者采用云锁进行过滤和检查网页木马
2、数据库挂马
访问首页病毒报警,全盘查找,没有发现首页和其他文件被篡改,如果对比所有文件的md5,发现文件没有任何篡改的迹象,也就是说文件还是那些文件,为啥会出现挂马页面呢?可以考虑检查数据库中表单是否被挂马,网页木马并没有挂在文件里,而是挂在数据库内容里。将数据库中的挂马字段进行修改。可用云锁轻松拦截这些语句。
3、文件调用挂马
应查看被调用的其他页面,常见的conn.asp等被包含的文件,有可能被插入后门,为啥修改这一个文件就能这么大威力呢?因为所有页面都调用了这个文件来连接数据库。文件可能会包含数据库的ip端口用户名及密码。此时应对数据库进行检查,例如数据库日志寻找一下是否有类似执行master..xp_cmdshell的记录,攻击者可能利用该扩展功能执行了系统命令来修改了文件,建议修改数据库口令,把数据库权限降到pubilc。将1433端口利用ipsec进行屏蔽,只允许本机访问。用云锁的防火墙功能进行拦截,并且可以扫描出被挂马的文件。
4、arp挂马
用户反映访问网站的时候,杀毒软件提示病毒,但是登录服务器自己访问http://127.0.0.1或本地ip,却没有发现被挂马,但是所有用户通过域名去访问,就会有提示,可以通过服务器上进行抓包分析,检查是否能发现大量arp包,这种arp包通常是将服务器的mac地址转向另一个ip,利用arp协议进行挂马,这种情况的花需要在交换机上进行mac和ip地址绑定,在交换机上进行配置以后。