第一篇：2010年上半年教育網網站掛馬監測報告

2010年上半年教育網網站掛馬監測分析報告

北京大學網絡與信息安全實驗室，中國教育和科研網緊急響應組，中國教育網體檢中心

2010年7月

網站掛馬近年來一直是國內互聯網安全最嚴重的安全威脅之一，也對教育網網站構成了 現實普遍的危害。隨著高考招生拉開帷幕，教育網網站，特別是高招網站，將成為廣大考生 和家長頻繁瀏覽的熱門站點，也不可避免地成為惡意攻擊者的關注目標。

北京大學網絡與信息安全實驗室(ercis.icst.pku.edu.cn)于去年完成了網站掛馬監測平臺 系統的研發，通過與中國教育網體檢中心(頁面。

圖 14 224ay.htm網頁木馬攻擊分發頁面，包含反病毒軟件識別機制

通過對iie.swf和fff.swf Flash文件的手工分析，我們發現該Flash文件是通過ActionScript 中判斷Flash Player版本，并利用LoadMovie()函數進一步裝載滲透攻擊頁面，但在我們固化

保全過程中，該頁面已失效。av.htm頁面內容如圖 15，首先根據是否IE7，分別裝載6.htm 和7.htm，并進一步輸出nod.htm、real.htm和rising.htm。

圖 15 av.htm網頁木馬攻擊二級分發頁面

6.htm頁面內容如圖 16，在頁面中還通過SCRIPT外鏈引入了mp.js(頁面內容如圖 17)，經過分析可知6.htm是未經混淆的“極風”漏洞滲透攻擊代碼，而所引入mp.js中的內容則 包含了一個用于對抗目前一些模擬分析環境（如開源的PHoneyC等）中應用的ActiceX控件 模擬機制的小伎倆，試圖創建一個在系統中肯定不存在的“be”控件，而如果客戶端環境告 知能夠創建成功，則必然客戶端環境中采用了ActiveX控件模擬機制（目前實現一般是對所 有環境中不存在ActiveX控件都返回創建成功的模擬對象，然后試圖劫持獲取進一步的方法 調用和/或動態輸出頁面鏈接），而該段代碼在創建不成功時才輸出后面代碼所依賴的一些變 量定義，如此，實現了ActiveX控件模擬機制的環境則無法正確地動態執行代碼，從而對該 網馬實施有效檢測。

圖 16 6.htm頁面內容，分析可知是未進行混淆的“極風”漏洞滲透攻擊代碼

圖 17 6.htm頁面中包含mp.js內容，包含了對抗模擬插件機制

rising.htm頁面及之后裝載的ofnt.htm，以及ofnt.htm頁面中包含的SCRIPT外鏈oopk.jpg 及uug.jpg的頁面內容構成了對Office Web組件OWC10.SpreadSheet中內存破壞安全漏洞(MS09-043)的滲透攻擊代碼，代碼采用了SetTimeout()函數延遲輸出鏈接、將Script文件偽

裝JPEG圖片文件、通過復雜字符串計算組裝Shellcode和ActiveX控件名稱等技術手段，以 提升分析的難度。

圖 18 rising.htm頁面內容，嘗試創建OWC10.Spreadsheet控件，并裝載ofnt.htm頁面

圖 19 ofnt.htm頁面內容，包含oopk.jpg和uug.jpg兩段外鏈腳本

圖 20 oopk.jpg頁面中的Script代碼，定義Shellcode等變量

圖 21 uug.jpg頁面中的Script代碼，定義一些關鍵變量，并進行了混淆處理

該場景中還包括了針對聯眾GLIEDown.IEDown.1控件緩沖區溢出漏洞（BID: 29118,29446）的滲透攻擊頁面(nod.htm及lz.htm)，以及針對Real Player軟件IERPCtl.IERPCtl.1控件中緩沖

區溢出漏洞(CVE-2007-5601)的滲透攻擊頁面(real.htm及myra.htm)。

通過上述兩個今年上半年在教育網網站上流行的網頁木馬攻擊場景案例分析，我們可以 總結出目前網頁木馬攻擊者已引入大量的技術手段和伎倆在和研究團隊、產業界及政府相關 監管部門進行對抗，以躲避檢測，并提升分析追蹤的難度。對網頁木馬的監測與分析技術發 展、平臺建設和相應的應急響應處置流程還需要持續地改進和完善，才能夠有效地應對和處 置網頁木馬這種流行的安全威脅形態。

5.總結

北京大學網絡與信息安全實驗室、中國教育和科研網緊急響應組(CCERT)、中國教育網 體檢中心合作開展對教育網中的網站掛馬情況進行全網檢測和態勢分析，并為中國教育網體 檢中心(www.tmdps.cn)。通過2010年上半年教育網掛馬監測數據結果分析，共檢出來自425 個頂級域名的1,347個網站被掛馬，上半年網站掛馬率達到3.88%，這說明教育網網站的安 全狀況仍不容樂觀。希望高校網絡安全管理部門和人員能夠充分重視，對相關網站進行全面 檢測和安全加固，積極預防，盡量避免網站掛馬等安全事件的發生。

第二篇：黑客演示網站掛馬攻擊案例

通過本案例可以學到：(1)了解網站掛馬

(2)在網站首頁利用IE漏洞掛馬

網站掛馬攻擊主要是指入侵者在入侵成功后修改了網站的某一些或者全部的網頁文件，如果網站存在SQL注入漏洞，則比較容易取得一定的權限。如果在服務器上對網站目錄等做了較嚴格的權限限制，也是比較容易取得Webshell權限，具有Webshell權限可以對網頁文件進行修改，而掛馬就是在網頁中加入一些代碼。這些代碼往往是利用瀏覽器或者應用程序的漏洞，瀏覽者在訪問這些網頁時，往往會在不知不覺中去下載一些木馬程序來執行。網站掛馬的原理就是設置框架網頁的寬度和高度為0，將一些惡意網頁隱藏起來，用戶訪問網站時不容易覺察。目前在網絡上有很多網頁木馬生成器，簡稱“網馬生成器”，本案例以“Ms-0733網馬生成器”為例，來講解如何進行網站掛馬攻擊。

步驟一 配置網頁木馬。在使用“Ms-0733網馬生成器”配置前需要準備好一款已經配置好的木馬服務端，然后直接運行“Ms-0733網馬生成器”在網馬地址中輸入“http://127.0.0.0/test.exe”，如圖1所示，然后單擊“生成木馬”即可生成一網頁文件HACKLL.HTM。

圖1配置Ms-0733網馬生成器

步驟二 修改網站網頁文件。在網站首頁文件index.asp中加入已經配置好的網頁木馬htm文件，一般通過在頁面中加入“ ”來實現，如圖2所示。

圖2加入木馬代碼到正常網頁

網頁木馬利用的是IE瀏覽器存在的漏洞，其網頁木馬最本質的東西有兩個一個是腳本，另外一個是真正的木馬服務端，利用腳本來直接執行木馬服務端或者通過下載者來下載木馬服務端然后再執行。其網頁木馬文件中多是一些JavaScript代碼，如圖3所示。

圖3網頁木馬源代碼

測試網頁木馬是否能夠正常執行。在未安裝微軟的MS0733補丁程序的虛擬機中打開瀏覽器，并在其中輸入網頁木馬的地址，一會兒后，在控制端就看見肉雞上線了。大量傳播網頁木馬。網頁木馬測試成功以后，就可以將其配置好的網頁木馬放入一些提供Web服務的肉雞上，只要訪問者的系統未安裝其網頁木馬利用的漏洞，如果系統未安裝任何對網頁木馬進行防御的軟件，則計算機感染網頁木馬的幾率非常大。J技巧

直接在網站進行“掛馬”攻擊，被攻擊的對象只能是存在安全漏洞的計算機，且攻擊時間不宜太長，否則極易被殺毒軟件查殺。小結

本案例講解了如何來進行網站掛馬攻擊，網站掛馬攻擊相對簡單，先配置好一個木馬服務端，然后直接配置網馬生成器，配置完畢后將木馬服務端和網頁木馬文件一起上傳到服務器上，通過將網頁木馬文件加入到正常的網頁文件中，當用戶訪問這些被修改的網頁時，系統就會自動下載木馬程序并執行，從而達到攻擊的目的。不過目前一些主動防御軟件能夠檢網頁木馬，因此在進行網站掛馬攻擊時，需要對網頁木馬進行加密以及防查殺處理。

第三篇：惠州政府網掛馬分析報告

惠州政府網掛馬分析報告

超級巡警安全中心檢測到官方網站中國惠山網被掛馬，黑客利用CVE-2011-0609的漏洞（根據分析，發現還有另一個網馬地址，可是地址已經失效），對瀏覽網頁的用戶進行攻擊。一旦攻擊成功，黑客將獲得該用戶系統的完全控制權。

二、掛馬分析

[root] hxxp://

[iframe] hxxp://（已失效）

[iframe] hxxp://（CVE-2011-0609）

[exe] hxxp://x5978.3322.org/xz/1.exe

三．漏洞描述

這個漏洞存在于以下平臺版本：Windows、Mac、Linux和Solaris平臺最新Adobe Flash Player 10.2.152.33版本以及更早版本,Chrome谷歌瀏覽版Flash Player10.2.154.18以及更早版本；Android版Flash Player 10.1.106.16及更早版本；Windows和Mac平臺包含authplayl.dll組件的Adobe Reader/Acrobat X（10.0.1）及更早版本。

下圖為被掛馬也網馬頁地址（圖一）及解密后的內容（圖二）： 圖一 圖二

四、病毒分析

病毒相關分析： 病毒標簽：

病毒名稱：Trojan-GameThief.Win32.Magania.efrt

病毒別名：

病毒類型： 盜號木馬

危害級別：4

感染平臺：Windows

病毒大小： 23,952 bytes

SHA1 : 8c6234b6bbdd7db541d7f81ca259d7ca67a7dbda

加殼類型：偽裝UPX殼

開發工具： Delph

病毒行為：

1)釋放病毒副本：

釋放31009125n31.dll到%Temp%下；(n31前的數字為隨機數字)

釋放30680437n31.dll 到%Temp%下并設置系統,隱藏屬性；(n31前的數字為隨機數字)

釋放ctfmon.exe 到%SystemRoot%下；

2)遍歷以下進程，并結束他們來進行自我隱藏：

360rp.exe,360sd.exe,360tray.exe,avp.exe,ravmond.exe

3)遍歷以下QQ西游的主進程，以便游戲重啟時截獲用戶賬號密碼：

QQ西游.exe,qy.exe,qqlogin.exe

4）安裝全局消息鉤子，截獲鍵盤消息

ctfmon.exe HOOK WM_GETMESSAGE

5)進行網絡通信，將獲取到得賬號發送出去。

6）刪除自身。

五．事件總結：

分析發現，這次對中國惠山的攻擊與往常其他擁有大量用戶的網站掛馬情況類似，在某個廣告頁面被ARP攻擊。通過分析病毒行為發現這個是個專門針對QQ西游游戲的盜號木馬，即便有密保用戶也會中招。針對近期出現大量攻擊政府網站掛馬的行為，希望大家及時更新殺毒軟件病毒庫，并及時安裝軟件補丁包防范于未然。

目前暢游精靈已經可以完美攔截該網馬的攻擊，超級巡警云查殺可以有效識別該木馬。超級巡警安全中心提醒用戶安裝暢游精靈和超級巡警對木馬進行有效的攔截。對于已經中毒的用戶，巡警安全中心建議您立刻使用超級巡警云查殺進行有效的木馬查殺，以此保證自己的系統的安全。

第四篇：網站輿情監測

關于建立網絡安全領域監測預警和應急機制的通知

各科室：

為加強網絡安全領域監測，進一步提升網絡安全預警和管控處置能力，結合單位實際，建立網絡安全領域監測預警和工作協調機制。

一、組織領導

市公管辦網絡安全領域監測預警和應急工作協調機制，由市公管辦領導班子成員統一領導下，綜合科統籌協調落實，各科室共同配合開展工作。

二、工作重點

一是組織開展對單位網絡安全信息內容的檢查。重點加強對中心網站、微博、微信等環節的涉穩問題發現、研判、記錄和處置，從落實網站主體責任、內容審核管理制度、技術管控手段建設、應急處置工作機制等方面加強檢查。

二是組織開展網絡安全穩定風險隱患專項治理。以全面實施《網絡安全法》為契機，深入開展網絡安全隱患排查、打擊網絡謠言、網絡侵犯個人信息等系列專項活動。加強網絡生態綜合治理，維護好網絡安全穩定。

三是加強關鍵信息基礎設施保護和網絡安全檢查。重點檢查各科室信息審核、信息發布、安全管理等，摸清關鍵信息基礎設施風險狀況，構建一體化防御體系，防止網絡安全事件發生。四是強化網絡安全監測預警和信息通報。建立網絡安全監測預警和信息通報體系，充分發揮信息通報作用，完善通報機制和平臺建設，加強社會資源整合。

五是嚴格貫徹落實網絡意識形態工作主體責任。按照“一崗雙責”要求，實行層層負責制，按照《關于規范黨員干部網絡行為意見》有關要求，切實加強對黨員干部網絡行為的教育、引導和管理。

六是健全重大網絡敏感案事件處置的協同聯動機制。遇涉公共資源交易敏感突發輿情，啟動網絡輿情應急聯動工作機制，及時與市網信辦、協調溝通，制定輿論引導預案，及時有效地引導好涉及本單位網絡輿情。

二〇一七年九月十日

第五篇：DEDE網站安全設置織夢防掛馬教程

DEDE網站安全設置織夢防掛馬教程

織夢dedecms，功能非常強大，但很多用戶并不能完全應用到dede的所有功能。這樣的話，你就會長期對某項的相關文件不聞不問，從而給Hack有可乘之機。下面27源碼網（http://www.tmdps.cn）就來為大家解讀下織夢dedecms中你容易忽略的幾個危險而又無關的文件。

這套簡單的教程中為客戶講解了一系列針對DEDE網站的安全設置 只要你按照以下三點操作

可避免99% 網站被掛馬的情況

一 精簡設置篇：

不需要的功能統統刪除。比如不需要會員就將member文件夾刪除。刪除多余組件是避免被hack注射的最佳辦法。將每個目錄添加空的index.html，防止目錄被訪問。

織夢可刪除目錄列表：member會員功能 special專題功能 install安裝程序(必刪)company企業模塊 plusguestbook留言板 以及其他模塊一般用不上的都可以不安裝或刪除。二 密碼設置篇

管理員密碼一定要長，而且字母與數字混合，盡量不要用admin，初次安裝完成后將admin刪除，新建個管理員名字不要太簡單。織夢系統數據庫存儲的密碼是MD5的，一般HACK就算通過注入拿到了MD5的密碼，如果你的密碼夠嚴謹，對方也逆轉不過來。也是無奈。但現在的MD5破解網站太過先進，4T的硬盤全是MD5密碼，即便你的密碼很復雜有時候都能被蒙上。我之前的站點就是這么被黑的。所以一定密碼夠復雜。三 dede可刪除文件列表： DEDE管理目錄下的

file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php 這些文件是后臺文件管理器(這倆個功能最多余，也最影響安全，許多HACK都是通過它來掛馬的。它簡直就是小型掛馬器，上傳編輯木馬忒方便了。一般用不上統統刪除)。

不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除。避免HACK利用。

不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除！

做到以上三點 保證您的網站安全可靠！