任祎

高校网页木马病毒的防范思路和方法

任祎

网页木马病毒是一段基于JavaScript、VBScript、CSS等脚本的恶意代码，通过用户在客户端的访问实现隐秘运行，从而达到木马传播、破坏的目的。根据网页木马传播特点，运行方式及表现形式，并结合实际经验分3个层面介绍了网页木马的特点和攻击模式；给高校信息化工作造成的危害以及如何检测，如何查杀和防范网页木马的威胁。对于高校网站提高安全防护水平和加强网页木马病毒的防范有较强的实用价值和借鉴意义。

网页木马；漏洞；木马查杀；防范措施

0 引言

网站对于高校的信息化建设来说是很关键的一个环节，基本上每所高校都有自己相关的网站，包括学校的主站以及各个部门的子网站，还有一些相关性的服务类网站，是学校信息管理，对外交流的良好平台和窗口。但是，由于与外界互联，而且，目前互联网上充斥着各种病毒威胁，所以，网站的安全性就受到了严重的挑战。网页木马就是其中之一，它的危害性是巨大的。一旦被挂马给高校造成的影响和损失也难以估量，尤其是部分网络安全建设不全面的高校损失更大。讨论的重点就是如何去解决和防范网站挂马，从而保证高校网站的正常运行。

1 网页木马的特性以及对于高校造成的危害

1.1 网页木马特性

网页木马其实就是一段恶意的具有欺骗性和强攻击性的代码，通常被置入到HTML页面中，中毒严重的网站下面几乎所有页面都被置入该恶意代码，通过客户端的访问，从而给客户端传播非法广告，恶意程序等，网页木马具有很强的隐秘性，当用户访问该网站时，就会立刻受到骚扰或者攻击。常见的情况有打开页面立刻弹出各种非法页面，如广告，虚假网站链接，或者是自动在后台下载木马，自动执行。目前的网页木马主要基于javascript脚本攻击，还有vbscript脚本，css元素等攻击方式，利用网站和浏览器漏洞隐秘的发起攻击。受攻击的网站几乎包括所有类型如ASP、JSP、PHP等，危害强度和范围都非常的大。

1.2 几种常见的挂马方式及攻击行为描述

如表1所示：

表1 常见的挂马方式及攻击行为

?

从表1中所介绍的是高校网站中较常见的网页木马，当然还有图片木马、PDF木马，高级欺骗网页、钓鱼网页、FLASH木马等多种多样的木马。而且，绝大多数的木马攻击者常对攻击脚本作各种混淆、加密，消除其原有的特征,以躲避特征扫描工具的检测，如采用16进制编码、Unicode编码、escape 函数编码和一些字符串处理函数,甚至可以对一段脚本进行多次混淆所挂的威胁地址进行加密。不借助工具根本无法发现恶意地址。以框架挂马为例：

〈iframe src=http://%77%77%77%2e%31%32%33%2e%63% 6f%6d/width=0 height=0〉〈/iframe〉

这句代码就是一个加密网址，实际隐藏的链接地址是www.123.com。它会弹出一个高和宽均为0的木马网站，肉眼根本无法看到。所以，作为一般的终端用户根本无法去解决这类挂马问题。

1.3 网页木马对高校产生的危害

根据网页木马攻击特点可以得出，高校是网页木马爆发的高危险区，校园内存在大量的用户，由于各类原因，比如网络安全较差、用户上网行为不规范、服务器漏洞和网站漏洞多等等，都会给网站挂马者提供便利条件，通过服务器网站拿权后，批量加入木马网址或文件链接，从而达到大范围扩散的效果。网页木马爆发对高校比较明显的危害集中在2个方面：首先，对于正常的办公、教学影响。当木马生成后，终端用户在浏览网页查询资料时，就会自动连接木马网址，对本机造成威胁，同时使用过程中，不断弹出各类骚扰页面、钓鱼页面、没有防范木马经验的用户对这种骚扰一筹莫展，黑客拿权后会上传大量的负面信息，篡改网站内容甚至结构，很多珍贵资料或者数据都会丢失，严重影响日常的教学科研和其它正常工作，造成不可预估的损失；其次，是对于高校每年的招生工作产生重大危害，学生或者家长访问带有木马的网页后，很有可能被虚假欺骗信息蒙蔽，另外，黑客甚至会制造虚假的网络缴费页面，骗取用户的银行卡号和密码，从而使得用户在经济上蒙受重大损失，学校的招生工作也无法正常进行。常见的网页木马攻击方式如图1所示：

图1 通过感染大量用户机，达到破坏或欺骗目的

2 网页木马的方范手段

2.1 严格检查网站和服务器漏洞，停止不必要的组件运行

通过研究木马特性和运行方式，我们需要做出针对性措施，以windows操作系统为例。木马运行很大一部分是依靠操作系统、服务器和网站本身的漏洞，比如IIS域名解析漏洞、IE浏览器漏洞，还有一些高威胁系统组件，如FSO组件（FileSystemObject）、wscript.shell组件、stream组件等。以FSO组件为例，它是针对ASP的一个文件操作组件，可以对服务器进行读取，修改、删除、新建等操作，很多网站需要使用动态生成静态页技术，就要用到FSO组件，如果一旦被利用，网站就会被恶意挂马。所以，为了提高网站的安全性，我们可以卸载该组件，卸载代码如下：

regsvr32.exe /u %windir%system32scrrun.dll （在CMD中运行）

但是，卸载该类系统组件可能会对网站正常访问或者操作系统造成一定程度上的影响，所以，我们也要根据实际情况进行卸载，避免造成不必要的麻烦。

IIS（Internet Information Services）是windows系统下的互联网基本服务组件，也就是网站运行的服务器组件，该组件也是黑客重点攻击对象，因此，架设网站服务器时，对于IIS要进行一定的安全设置，首先，应该取消系统everyone用户默认的的完全控制共享权限，并且修改系统管理员名称和密码，不要用默认的administrator名称，密码定期进行修改，提高系统安全性；其次，加强匿名用户IUSR_Computername访问权限的管理，设置文件夹和文件的访问权限，对不同的组和用户设置不同的权限，对非法用户及时加以预防和制止，通过Web站点属性页实现对WWW目录访问权限的控制，尤其是写入和执行权限的控制，该目录下的所有文件和子文件夹都将继承这些安全机制。从而提高网站的安全；第三方面是加强TCP端口的管理，如80端口（WWW服务）、21端口（FTP服务）等，可以根据需要进行访问端口的更换，当然这样就需要用户访问时输入新指定的端口，造成了一定的访问难度。

2.2 截断木马执行路径

通过资料研究和大量实例分析，我们发现很多的木马是存放在系统的临时文件夹中来执行的，因此，我们可以利用这点来控制木马的执行。常见的临时文件存放路径如下：

C:Documents and SettingsAdministratorLocalSettingsTemp

C:Documents and SettingsAdministratorLocal SettingsTemp-orary Internet Files

当黑客将木马传到用户终端后，一般都存放在以上两处，然后伺机运行，我们可以通过系统的组策略编辑器 gpedit.msc组件来进行安全设置。如图2所示：

图2 组策略编辑器的设置

首先，选择wwindows设置中的安全设置，然后，选择软件限制策略，再选择其它规则，用右键选择新路径规则，建立新的安全机制，将以上2个文件存放路径加进去，并将安全级别设置成不允许即可有效防止黑客将木马存入系统中。从而一定程度保证了访问安全。

另外，很多黑客会利用注册表添加自启动项来达到运行木马的目的，他们通过在注册表目录如：

HKEEY_LOCAL_MMACHINE/Soffttware/Microsofft/Windows/ CurrrentVersion/Ruun；

HKEEY_LOCAL_UUSER/Softwaree/Microsoft/Winndows/Current Verssion/Run

添加自启动项来实现木马运行。一般木马扩展名都为.eexe，所以，要经常的检查注册表，对于不认识或者不熟悉的.exe键值要及时的清理。最大程度上保持系统的安全性。

2.3网页木马查杀

对于已经感染的服务器和网站，往往是网站下面全部网页都被添加了恶意代码，处理起来难度相当大，这时我们就需要借助部分工具来进行修复处理，首先，第一步需要找到网页中的恶意代码，对于已经加密的网址进行反向解密，如本文前面提到的假设木马网址www.123.comm，它就是通过URLL加密把网址进行了转换。掌握了木马网址后，第二步就是将该网址设为非法网址，禁止访问，目前，常用的浏览器软件都具有黑白过滤功能，可以将该网址加入黑名单。第三步就是整站查杀，我们可以借助dreamweavver的整站代码替换功能，将该恶意代码设为关键字，然后替换为空。从而批量化的删除网站所有带毒页面内的恶意代码，高效快速的恢复网站健康（部分顽固防杀病毒可考虑用原始备份包恢复网站）。网站恢复好后，再用漏洞检测工具检测网站和服务器的漏洞，比如360安全中心的网站漏洞扫描等，及时修复并全面查杀残留病毒，防止再次感染。

终端用户需要进行全盘的病毒查杀，查看进程管理器，停止掉非法进程，并删除非法进程相关联文件，清理注册表残留。检查操作系统的运行状况，清理系统缓存，并升级防火墙，提高IE安全级别。如果有必要，可以考虑重新安装操作系统。操作系统尽量使用新的可靠版本，比如微软已经不再支持winxp的系统更新了，所以，可以考虑更换别的操作系统如win7，得不到官方支持的操作系统对于用户来说是非常危险的。

2.4 常用的一些防范措施

对于大部分普通用户而言，首先需要养成一个良好的上网习惯，不熟悉的、陌生的网站尽量不要去访问，不打开来路不明的图片和文件；安装和更新杀毒软件和防火墙，及时安装系统补丁，及时清理系统缓存和垃圾；另外将IE安全级别调整为高，禁用AActiveX插件、Java脚本，做好以上这些措施能有效的防止网页木马的侵害。

对于网站服务器而言，主要做到以下几点：

a、修复各类服务器漏洞和网站漏洞，严格管理动态网站的数据库，防止注入；

b、关闭服务器危险端口，必要时调整网站服务端口；c、优化IIS性能，通过权限管理提高安全性；

d、及时检查网页代码，对于费代码、冗余代码和垃圾代码进行清理；

e、及时做好数据备份，保证系统或网站崩溃的情况下的数据安全；

f、加强业务能力的学习，提高管理水平和应对故障的处理能力。

做好以上几点，能够安全有效的保障网站的正常运行。

3 总结

网站安全涉及领域很多，限于篇幅本文仅介绍了部分内容，其它类似SQL注入等攻击不在本文讨论范围，本文着重介绍了常见网页木马攻击手段和防范修复的方法措施，虽然能够有效防范木马的攻击，但是我们还需要提高警惕，加强学习，熟悉操作系统和网站漏洞形成原因，钻研防病毒知识，加强检测和防护能力，全力保证网站和数据的安全，为高校信息化建设做出贡献。

[1]慧琳,邹维,韩心慧.网页木马机理与防御技术[[J].软件学报,,2013,24(4):8433-858.

[2]安晓瑞.ASP网站中asp一句话木马的安全性问题及防范措施的研究[JJ].首都师范大学学报(自然科学版), 20114,1:39-43.

[3]罗泽林,陈思亮.网页木马的攻击与防范[J].电脑知识与技术, 2014,10(5):932-934.

[4]杨明,王轶骏,薛质.高混淆网页木马的研究与检测实现[J]..计算机工程与设计,2014,35(8):2633-2639.

[5]郑云鹏.网页木马机理与防范对策[J].电子技术与软件工程,2014(12):233-234.

[6]梁玲.网页木马植入与防范技术研究[J].太原师范学院学报(自然科学版),2010,9(1):69-73.

Ideas and Methods of University Webpage Trojan Virus Prevention

Ren yi
(Shaanxi Xueqian Normal University, Xi’an 710100, China)

Webpage Trojan virus is a malicious code based on scripts such as JavaScript, VBScript and CSS. It runs covertly by the client access of users so that it can achieve the purpose of Trojan virus spread and destruction. According to the characteristics of Webpage Trojan spread, operation mode and form of expression, this paper introduces the characteristics and attack pattern of Webpage Trojan, the harm to the university informationization and how to scan, destroy and protect against the Trojan virus combined with practical experience in three aspects. It has strong practical value and reference to the improvement of University website safety and Webpage Trojan virus prevention.

Webpage Trojan; Loophole; Trojan Avira; Preventive Measures

TB66

A

20015.01.28)

1007-757X(2015)04-0062-03

任祎（1978- ），男，陕西西安人，陕西学前师范学院网络与信息中心，工程师，本科，研究方向：计算机网络应用及安全技术研究，西安，710100