介绍
很多网站都被挂过马,挂马即在获取服务器的部分权限或所有权限后,向网页文件中插入一段恶意代码,即挂马。这些恶意代码可以是浏览器漏洞的利用代码,也可以是赚取流量的代码,或者是盗取账号的代码。
URL Snooper
url snooper字面理解即url窥探,官方说明是可以帮助用户发现音频和视频文件的url地址。下载地址是http://www.donationcoder.com/software/mouser/popular-apps/url-snooper。安装后它会建议你输入密钥,不输入也可以,软件是不收费即可免费使用的,点击dismiss按钮暂不考虑密钥进入即可。
进入后url snooper会自动检测网卡,以确定是否正常连接网络,我们为了使用方便,可以在语言栏设置语言为中文。
首先在protocol filter处选择所有类型,然后点击下方的嗅探网络,这时通过ie来访问相关的url,url snooper便会捕捉到进行分析。
我们可以点击url然后查看其内容,判断检测到的url是否可疑,除了嗅探url地址,我们也可以手动输入,这里我就本地用localhost做示例,在1.html中script引入了一个url,如下图。
url snooper本身是用来发现音频视频地址的,因为对url检测和发现功能很好用,我们可以用来检测网页中的敏感url,随后再手动确认是否为挂马连接,有些挂马链接可能是经过编码的,我们直接在线解码即可。
对于挂马链接有时可能是一个网页或者一段js代码,我们可以直接访问获取,可以便于我们分析马代码利用的是哪些漏洞等,同时也可以借助一些网站下载工具(Teleport Ultra等等)来下载挂马链接上的资源,辅助我们的分析。
D盾
我们可以使用D盾来进行web查杀,免费软件,运行平台是windows,网址是http://www.d99net.net/,进入后选择相应的目录即可进行扫描,如下图。
D盾也提供了其他的一些防御机制,例如cc,sql注入,xss,文件上传等,只不过只针对iis搭建的网站,我们这里如果是iis可以直接运行d盾启动,如果不是也可以使用d盾进行恶意代码的查杀。
清除恶意代码
清除网站恶意代码,首先需要确定哪些文件被挂了马,一个是可以直接查看代码,相当于代码审计,找到挂马的代码。二是查看网站目录修改时间,通过时间进行判断。三是文章上面的方法,通过软件定位。
对于查看网站目录修改时间,我们可以使用windows系统自带的搜索,默认情况下win管理器是没有搜索栏选项的,需要把光标定位到搜索栏,搜索框才会出现,如下图。
通过上面几种方法定位到挂马文件后,删除相应代码即可,这里注意的是不建议用网页编辑器,避免感染木马的可能性,使用记事本或其他本地编辑器即可。