windows服務器自動禁用?服務器近期遭遇挂馬嚴重,平時忙于工作每次都是删除木馬,開啟防篡改保護,沒有從根本上解決問題本次決定安排時間專門學習WEB滲透,針對ASP、PHP企業網站安全防護作一些研究一、網頁篡改常見形式1、js跳轉黑産分子一般通過将正常網站首頁置入跳轉腳本,當網站打開時,跳轉到非法網站這些非法網站向他們支付費用有時還可以看到黑産分子放置的統計代碼通常,這些js跳轉代碼會藏在jquery腳本末尾,這樣不容易被發現,而且每個引用了jquery的頁面都能跳轉其次,腳本會判斷用戶是否為初次訪問,記錄cookie隻有初次訪問才跳轉到非法網站這麼做好處是客戶第二次訪問時正常内容,以為是自己電腦出了問題,所以不會通知維護人員更精明的是,黑客可以先不跳轉,等經常訪問網站的維護人員和網站所屬企業職員記錄下cookie,這樣這類人員訪問時将不會發現異常黑客(黑産分子)最關心的是經常訪問網站的維護人員和網站所屬企業員工要讓他們不發現網頁被破壞,才能讓跳轉代碼不被清理,使其他訪客能長期被帶到非法網站從而盈利2、搜索引擎篡改此類篡改一般将網站的SEO相關标簽,即title、keyword、description篡改為非法網站的信息,如某某在線娛樂城為了不被發現,他們隻把篡改内容給搜索引擎看,而向用戶返回正常頁面下圖是一個典型的篡改頁面:,今天小編就來聊一聊關于windows服務器自動禁用?接下來我們就一起去研究一下吧!
服務器近期遭遇挂馬嚴重,平時忙于工作每次都是删除木馬,開啟防篡改保護,沒有從根本上解決問題。本次決定安排時間專門學習WEB滲透,針對ASP、PHP企業網站安全防護作一些研究。一、網頁篡改常見形式1、js跳轉黑産分子一般通過将正常網站首頁置入跳轉腳本,當網站打開時,跳轉到非法網站。這些非法網站向他們支付費用。有時還可以看到黑産分子放置的統計代碼。通常,這些js跳轉代碼會藏在jquery腳本末尾,這樣不容易被發現,而且每個引用了jquery的頁面都能跳轉。其次,腳本會判斷用戶是否為初次訪問,記錄cookie。隻有初次訪問才跳轉到非法網站。這麼做好處是客戶第二次訪問時正常内容,以為是自己電腦出了問題,所以不會通知維護人員。更精明的是,黑客可以先不跳轉,等經常訪問網站的維護人員和網站所屬企業職員記錄下cookie,這樣這類人員訪問時将不會發現異常。黑客(黑産分子)最關心的是經常訪問網站的維護人員和網站所屬企業員工。要讓他們不發現網頁被破壞,才能讓跳轉代碼不被清理,使其他訪客能長期被帶到非法網站從而盈利。2、搜索引擎篡改此類篡改一般将網站的SEO相關标簽,即title、keyword、description篡改為非法網站的信息,如某某在線娛樂城。為了不被發現,他們隻把篡改内容給搜索引擎看,而向用戶返回正常頁面。下圖是一個典型的篡改頁面:
被篡改的網站首頁
可以看到,<title>标簽内容被篡改為的形式,此為html實體編碼,即unicode編号;,這樣可以防止挂馬檢測軟件發現。又不影響搜索引擎蜘蛛爬取。當然,要向用戶返回正常頁面還得使用document.title=’’來将标題改成正常内容。此類篡改對維護人員來說相當麻煩,主要是搜索引擎會阻止訪問網站和搜索結果變成非法信息。
篡改後的網站在百度收錄中的展示
點進去過後的提示
另外,如果在微信中打開同樣會屏蔽訪問。這個屏蔽是針對主域名,而不是二級域名。所以一點a.qian1.top被挂馬,*.qian1.top都會被屏蔽,非常嚴重。
微信屏蔽挂馬域名
這樣幾乎宣告域名報廢。如果是備案域名,那就損失大了。不過可以百度和微信都可以通過申請解封來恢複訪問,但如果經常被封就會越來越難解封了。3、黑鍊和隐藏頁面這一類現在用得比較少了。可能是效果不好不能直接給非法網站帶去訪問。黑鍊一般在網站首頁的最下面。隐藏頁面會在網站各個有寫入權限的地方創建,有時創建的文件甚至達幾個G。這些頁面最終會導緻網站百度收錄結果全是非法信息,從而影響正常收錄。我們可以用site:命令來檢查一下自己的網站頁面快照是否正常。
網站黑鍊被收錄
知道這些攻擊形式後,我們需要了解黑客如何實施這些非法攻擊的。通常,這些攻擊都是使用工具的,如中國菜刀。這樣攻擊簡單、還可以方便地管理受害網站。
中國菜刀(china chopper)管理界面
隻要馬還在或者網站上傳漏洞未修複,随時都能管理受害網站,一鍵執行跳轉注入、SEO篡改等操作,這遠比清理這些注入篡改快捷,所以維護人員可真是可憐。維護費用也可能遠不及攻擊報酬。挂馬、篡改分析與處理見下一篇。
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!