網頁病毒及網頁掛馬原理

　　所謂的掛馬，就是黑客通過各種手段，包括SQL注入，網站敏感檔案掃描，伺服器漏洞，網站程式0day, 等各種方法獲得網站管理員賬號，然後登陸網站後臺，通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向程式碼。下面是小編跟大家分享的是，歡迎大家來閱讀學習~

　　工具/原料

　　web伺服器

　　方法/步驟

　　實驗環境如圖5-68所示。

　　實驗過程

　　第1步：設定IP地址。在Windows2003上，對本臺電腦的網絡卡設定兩個IP地址，如圖5-69所示，目的是要在本臺電腦上架設基於IP地址218.198.18.93、218.198.18.95的兩個網站。

　　第2步：開啟【Internet資訊服務IIS管理器】。在Windows2003上，開啟【Internet資訊服務IIS管理器】，如圖5-70所示，右鍵單擊【預設網站】選擇右鍵選單中的【屬性】，如圖5-71所示，為本網站選擇的IP地址是218.198.18.93。

　　第3步：建立www_muma網站的主目錄。在Windows 2003上，在Inetpub資料夾中建立www_muma子資料夾，該資料夾是第4步新建網站的主目錄。wwwroot是預設網站的主目錄。

　　第4步：建立網站。在圖5-70，右鍵單擊【網站】，依次選擇【新建】/【網站】選單命令，如圖5-72所示，開始建立網站，建立過程如圖5-73～圖5-76所示。

　　第5步：複製網站檔案。在Windows 2003上，讀者可以將兩個簡單的網站檔案index.htm分別複製到wwwroot和www_muma資料夾中。

　　編輯wwwroot資料夾中的index.htm檔案，在該檔案原始碼的…之間插入如圖5-77所示的被圈部分程式碼。

　　第6步：開啟瀏覽器。在Windows XP上，開啟Firefox瀏覽器，位址列輸入218.198.18.93，結果如圖5-78所示。

　　程式碼：其實就是大家時常所說的網頁病毒、網頁掛馬的一種方式，不過在本測試中，僅僅是在原網站的首頁中嵌入了另外一個網頁，如果把width、height和frameborder都設定為0，那麼在原網站的首頁不會發生任何變化，但是，嵌入的網頁218.198.18.95/index.htm，該index.htm檔案稱為網頁病毒或網頁木馬實際上已經打開了，如果218.198.18.95/index.htm中包含惡意程式碼，那麼瀏覽者就會受到不同程度的攻擊。如果218.198.18.95/index.htm是網頁木馬，那麼所有訪問該網站首頁的人都會中木馬。網頁上的下載木馬和執行木馬的指令碼還是會隨著門戶首頁的開啟而執行的。

　　第7步：編輯wwwroot中的index.htm檔案。在Windows 2003上，編輯C:\Inetpub\wwwroot\index.htm檔案，插入如圖5-79所示的被圈部分程式碼。

　　第8步：開啟瀏覽器。在Windows XP上，開啟瀏覽器IE或者Firefox，位址列輸入218.198.18.93，結果如圖5-80所示。

　　如果把width、height都設定為1如果設定為0，訪問218.198.18.93的網站時彈出的木馬網頁是全屏，那麼在原網站的首頁基本不會發生什麼變化，但是，嵌入的網頁218.198.18.95/index.htm，該index.htm檔案稱為網頁病毒或網頁木馬實際上已經打開了。

　　第9步：編輯www_muma資料夾中的index.htm檔案。在Windows 2003上，編輯C:\Inetpub\www_muma\index.htm檔案，插入如圖5-81所示的被圈部分程式碼。www_muma資料夾中index.htm檔案的程式碼說明見表5-29。

　　第10步：在Windows XP上，開啟IE瀏覽器，依次選擇【工具】/【Internet選項】，開啟【Internet選項】對話方塊，選擇【安全】選項卡。單擊【自定義級別】按鈕，出現【安全設定】對話方塊，在“重置為”下拉框中選擇【安全級-低】，單擊【重置】按鈕。具體過程請讀者參考4.3.3小節。

　　在IE瀏覽器位址列輸入218.198.18.93，此時，網頁木馬已經在自己的電腦中建立了兩個檔案，如圖5-82所示。