網(wǎng)頁(yè)木馬的源碼分析與處理方法

document.write（""）

document.write（"

這里可以提取“src”或“.js”字符串，對(duì)于請(qǐng)求地址是外域的JS腳本基本都是網(wǎng)頁(yè)木馬。

2.3 網(wǎng)頁(yè)啟動(dòng)加載跳轉(zhuǎn)木馬

此類網(wǎng)頁(yè)木馬可以直接從原網(wǎng)頁(yè)跳轉(zhuǎn)至木馬地址網(wǎng)頁(yè)，木馬直接被運(yùn)行，或者誘騙用戶輸入某些敏感信息（如賬戶、密碼等），并將提交的信息發(fā)送到黑客指定地方。比如代碼為：，即網(wǎng)頁(yè)啟動(dòng)時(shí)就跳轉(zhuǎn)至黑客木馬地址；或者通過(guò)meta標(biāo)志跳轉(zhuǎn)，如, 即網(wǎng)頁(yè)一旦加載就立即跳轉(zhuǎn)至木馬地址，content=0表示0秒；此外也可以將木馬植入CSS中，如background-image中加入木馬URL地址，當(dāng)網(wǎng)頁(yè)背景圖片被調(diào)用時(shí)下載木馬；還可以直接將JAVA腳本植入網(wǎng)頁(yè)中。

通常黑客木馬源碼直接寫在網(wǎng)頁(yè)上，因?yàn)檫@邊很容易被識(shí)別，而是會(huì)通過(guò)注入手段，讓網(wǎng)頁(yè)遠(yuǎn)程調(diào)用外域的 JS 腳本，也就是黑客自己網(wǎng)站上包含有惡意代碼的 JS 掛馬文件，因此可以從這里入手進(jìn)行識(shí)別。

2.4 偽裝調(diào)用木馬

此類木馬是黑客利用圖片或用戶信任網(wǎng)站作為轉(zhuǎn)移訪問(wèn)用戶實(shí)現(xiàn)的一種方式。比如黑客將木馬植入到圖片中，再用代碼調(diào)用執(zhí)行，具有很高的隱蔽性，可以繞過(guò)許多工具的掃描監(jiān)視。代碼如；或者以網(wǎng)頁(yè)嵌套的方式，貌似打開了正常的網(wǎng)頁(yè)，其實(shí)打開了木馬網(wǎng)址。

3 網(wǎng)頁(yè)木馬處理

3.1 工具介紹

（1）grep

在手工檢測(cè)識(shí)別網(wǎng)頁(yè)木馬時(shí)，通常要利用字符串匹配工具確認(rèn)木馬所在位置，而grep是一種強(qiáng)大的文本搜索工具，它能使用正則表達(dá)式搜索文本，在一個(gè)或多個(gè)文件中搜索字符串，效率非常高。

（2）sed

sed 是一種流編輯器，它主要用來(lái)自動(dòng)編輯一個(gè)或多個(gè)文件；簡(jiǎn)化對(duì)文件的反復(fù)操作；編寫轉(zhuǎn)換程序等。尤其是當(dāng)黑客大批量的將網(wǎng)頁(yè)木馬植入網(wǎng)頁(yè)代碼中時(shí)，sed工具以其強(qiáng)大的能力和簡(jiǎn)單的特性批量清除既定程式的網(wǎng)頁(yè)木馬，是一個(gè)非常實(shí)用的工具。

（3）網(wǎng)頁(yè)編程語(yǔ)言

對(duì)于有一定網(wǎng)頁(yè)編程基礎(chǔ)的人來(lái)說(shuō)，無(wú)論掌握哪一門編程語(yǔ)言（如asp、php、jsp、python等），同樣可以通過(guò)編寫腳本來(lái)批量修改文本中的字符串。

如果熟悉grep和sed使用方法，兩種可以工具配合使用，通過(guò)自行編寫一些批處理腳本來(lái)修改文件中的字符串可達(dá)到事倍功半的效果；如果不熟悉這兩種工具，也可以通過(guò)編寫腳本代碼達(dá)到同樣的效果。

3.2 處理方法

（1）字符串工具

通過(guò)提取特征字符串來(lái)識(shí)別網(wǎng)頁(yè)木馬。如通過(guò)grep工具提取特征字符串，具體命令為：grep -E "iframe|frame" *.asp，即檢測(cè)當(dāng)前目錄下所有含iframe或frame字符串的asp文件，返回所在行的值；或者grep frame *.asp | grep src,即檢測(cè)當(dāng)前目錄下既有frame字符串又有src字符串的asp文件，返回所在行的值。如果要檢測(cè)子目錄可以加上-S參數(shù)。

根據(jù)返回的結(jié)果可以將既定的木馬格式字符串用sed工具批量刪除，具體命令為：sed -i s/木馬字符串//g ./*.asp，表示將所有asp文件中木馬字符串全部刪除，-i 表示操作的是文件，g表示一行中有多個(gè)木馬字符串的時(shí)，都替換，而不是僅替換第一個(gè)。

grep和sed工具也可以配合使用，如sed -i s/木馬字符串/ /g "grep -Sl木馬字符串 *.asp",即將當(dāng)前目錄下（包括子目錄）的所有asp文件中的木馬字符串刪除，""括起來(lái)的grep命令，表示將grep命令的的結(jié)果作為操作文件，-l表示僅列出符合條件的文件名，用來(lái)傳給sed命令做操作。此外，也可以編輯一些批處理腳本來(lái)批量執(zhí)行相關(guān)的命令。

（2）網(wǎng)頁(yè)編程

以asp語(yǔ)言為例，總體思路就是通過(guò)循環(huán)遍歷的方式對(duì)目錄中每一個(gè)文件內(nèi)容進(jìn)行字符串匹配，根據(jù)得到的結(jié)果做相應(yīng)的處理。

利用FSO（文件系統(tǒng)對(duì)象）組件，可以直接調(diào)用所在文件系統(tǒng)進(jìn)行操作（如增、刪、改）。核心代碼如下所示：

<%

'On Error Resume Next

Function BianLi(Path) '遍歷遞歸搜索所有文件

Dim fs,ObjFolder,ObjFile 'Fso對(duì)象,子目錄對(duì)象,文件對(duì)象

Set fs=Server.CreateObject("scripting.filesystemObject") '創(chuàng)建讀寫對(duì)象

For Each ObjFile in fs.GetFolder(Path).Files '讀取當(dāng)前目錄下的文件

if right(ObjFile.Name,4)=".asp" then

Response.Write ObjFile.Name&"
"

End If

Next

For Each ObjFolder In fs.GetFolder(Path).SubFolders '讀取子目錄

BianLi(Path & "" & ObjFolder.Name) '調(diào)用遞歸搜索子目錄完整路徑

Next

End Function

%>

該代碼表示遞歸搜索系統(tǒng)路徑目錄下（包括子目錄）所有asp文件并返回文件的名稱。根據(jù)得到結(jié)果嵌套循環(huán)讀取文件內(nèi)容，匹配相應(yīng)的字符串，核心代碼如下所示：

<%

set fs=server.createobject("scripting.filesystemobject")

file=server.mappath("filename")

set txt=fs.opentextfile(file,1,true)

Do while not txt.atendofstream

line=txt.readline

line=Replace(line,"<%","")

line=Replace(line,"%"&">","")

response.write line & "
" ‘插入字符串處理代碼

loop

%>

該代碼逐行讀取數(shù)據(jù)，通過(guò)instr和relpace等函數(shù)操作相應(yīng)的字符串達(dá)到處理網(wǎng)頁(yè)木馬的效果。根據(jù)平時(shí)經(jīng)驗(yàn)的積累，把所遇到的木馬放入字典庫(kù)，定期執(zhí)行一下腳本，確保網(wǎng)站的安全。

4 結(jié)束語(yǔ)

隨著防毒技術(shù)的發(fā)展，黑客的技術(shù)手段也會(huì)越來(lái)越高明，在做好系統(tǒng)加固的基礎(chǔ)上很可能還會(huì)出現(xiàn)更隱蔽的網(wǎng)頁(yè)木馬，但是只要熟悉網(wǎng)頁(yè)源碼，經(jīng)過(guò)認(rèn)真分析，相信這些網(wǎng)頁(yè)木馬都會(huì)無(wú)所遁形。

[1]張慧琳，鄒維，韓心慧.網(wǎng)頁(yè)木馬機(jī)理與防御技術(shù)[J].軟件學(xué)報(bào)，2013.

[2]孫匯中.網(wǎng)頁(yè)木馬檢測(cè)關(guān)鍵技術(shù)研究[D].北方工業(yè)大學(xué)，2016.

[3]位愛(ài)伶.WEB木馬檢測(cè)技術(shù)研究[D].哈爾濱工程大學(xué)，2016.

江蘇城鄉(xiāng)建設(shè)職業(yè)學(xué)院校級(jí)課題（編號(hào)：2017KYC13）。