网马

网站挂马是如何被挂的，教您如何查找漏洞

很多朋友都碰到过这样的现象：打开一个网站，结果页面还没显示，杀毒软件就开始报警，提示检测到

木马病毒。有经验的朋友会知道这是网页病毒，但是自己打开的明明是正规网站，没有哪家正规网站会

将病毒放在自己的网页上吧？那么是什么导致了这种现象的发生呢？其中最有可能的一个原因就是：这

个网站被挂马了。

挂马这个词目前我们似乎经常能听到，那么什么是挂马呢？挂马就是黑客入侵了一些网站后，将自

己编写的网页木马嵌入被黑网站的主页中，利用被黑网站的流量将自己的网页木马传播开去，以达到自

己不可告人的目的。例如很多游戏网站被挂马，黑客的目的就是盗取浏览该网站玩家的游戏账号，而那

些大型网站被挂马，则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉，丢失大量客

户，也会让我们这些普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。下面就让我们来了解这种时下最

流行的黑客攻击手段。

挂马的核心：木马

从“挂马”这个词中我们就可以知道，这和木马脱离不了关系。的确，挂马的目的就是将木马传播出

去，挂马只是一种手段。挂马使用的木马大致可以分为两类：一类是以远程控制为目的的木马，黑客使

用这种木马进行挂马攻击，其目的是为了得到大量的肉鸡，以此对某些网站实施拒绝服务攻击或达到其

他目的（目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者）。另一类是键盘记录木

马，我们通常称其为盗号木马，其目的不言而喻，都是冲着我们的游戏帐号或者银行帐号来的。目前挂

马所使用的木马多数属于后者。

木马的免杀伎俩

作为挂马所用的木马，其隐蔽性一定要高，这样就可以让用户在不知不觉中运行木马，也可以让挂

马的页面存活更多的时间。黑客为了让木马躲避杀毒软件的查杀，使用的伎俩很多。通常使用的方法有：

加壳处理：关于壳的概念我们曾经介绍过，就是为了让别人无法修改编译好的程序文件，同时压缩

程序体积。木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀，这也是为什么我们装了杀毒软件

还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀，但只局限于一些比较热门的

加壳程序，例如aspack、UPX等，而碰上一些经过冷门加壳程序处理后的木马时，就无能为力了。所

以加壳仍是黑客比较常用的免杀伎俩之一。

冷门的加壳程序

修改特征码：杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检

测时，如果在程序中发现了病毒特征码，就将该程序判定为病毒。黑客当然也明白这个道理，于是他们

会修改木马中被定为特征码的部分代码，将其加密或使用汇编指令将其跳转，这样杀毒软件就无法在木

马中找到病毒特征码，自然也就不会将其判定为病毒了。

虽然这两种方法都可以躲过杀毒软件的查杀，但是我们还是有办法阻止木马运行的，具体方法将在

防范部分讲到。那么木马是如何“挂”在网站上的呢？这里我们以“灰鸽子”木马为例，演示一下黑客挂马

的过程。演示用的“灰鸽子”木马已经经过免杀处理，杀毒软件无法查杀。

潜伏的攻击者：网页木马

为什么我们一打开网页就会运行木马程序，木马又是如何“挂”在网站上的呢？这就要涉及“网页木马”

这个概念。

网页木马就是将木马和网页结合在一起，打开网页的同时也会运行木马。最初的网页木马原理是利

用IE浏览器的ActiveX控件，运行网页木马后会弹出一个控件下载提示，只有点击确认后才会运行其

中的木马。这种网页木马在当时网络安全意识普遍不高的情况下还是有一点使用价值的，但是其缺点是

显而易见的，就是会出现ActiveX控件下载提示。当然现在很少会有人去点击那莫名其妙的ActiveX控

件下载确认窗口。

在这种情况下，新的网页木马诞生了。这类网页木马通常利用了IE浏览器的漏洞，在运行的时候没

有丝毫提示，因此隐蔽性极高。可以说，正是IE浏览器层出不穷的漏洞造成了如今网页木马横行的网

络。例如最近的IE浏览器漏洞MS06-014，就可以利用来制作一个绝对隐蔽的网页木马。下面让我们看

看利用MS06-014制作网页木马的过程。

网页木马当然得有木马程序，这里我们使用上文中提到的“灰鸽子”木马。然后我们要下载一个

MS06-014网页木马生成器。接着还要一个网页空间，三者准备完毕后，就可以开始测试了。

生成网页木马

首先将木马程序上传到网页空间中。运行“MS06-014木马生成器”，在“木马地址”中填入已经上传到

空间中的木马网址，并勾选下方的“是否隐藏源码”选项。这个选项的作用是当网页木马运行后，会自动

清空网页源文件，用户即使起了疑心也无法找到痕迹。当然清空的是用户打开的源文件，而网页木马却

不受影响。点击“生成网马”按钮即可在程序的同目录生成一个名为的网页木马

配置网页木马

继续进行网页木马的配置，在“欲加密的网页”中浏览选中生成的网页木马。网页木马在运行时会利

用IE的漏洞，其中肯定存在漏洞利用代码，这些代码会被杀毒软件检测出来，因此要想隐蔽地运行网

页木马，加密木马程序还不够，还需对网页木马进行加密。“MS06-014木马生成器”的“加密方式”中提

供了四种网页的加密方式，分别是：空字符加密、转义字符加密、Escape加密和拆分特征码。这里我

们使用“转义字符加密”加密方式，选中“转义字符加密”选项后点击“加密”按钮，免杀的网页木马就生成

了。将该加密过的网页木马上传到网页空间中即可。

寻找缺陷网站，写入网页木马

网页木马准备完毕，就等着寻找挂马的目标网站了。此时黑客会到处搜索，寻找有脚本缺陷的网站

程序，找到后利用网站程序的漏洞入侵网站，并得到网站的一个webshell。这时我们可以编辑网站首页

的内容，将挂马的代码插入即可。代码为：

frameborder="0">，src参数后面的是网页木马的地址。当我们打开这个网站的首页后，会弹出

网页木马的页面，这个页面我们是无法看到的，因为我们在代码中设置了弹出页面的窗口长宽各为0。

此时木马也已经悄悄下载到本机并运行了。我们可以看到，网站的首页显示正常，杀毒软件并没有任何

反应，而木马却已经运行了，可见木马的隐蔽性很高，危害也相当严重。成功运行木马

铲除网站“挂马”毒瘤

“挂马”攻击已经成为目前最流行的攻击方式，面对数量庞大的“挂马”网站，我们该如何防御呢？作为

一名网站站长，我们又如何知道自己的网站被人挂马了呢？

站长防范：如果你是一名站长，可以对网站首页以及其他主要页面的源代码进行检查，用记事本打

开这些页面后，以“，而打开中间的链接地址，往往只会有一个站长统计显示。如果您曾经接触过这样类

型的情景，那么恭喜您，这就是传说中的挂马行业大军了。在做这篇报道时，小编专门约了两名与挂马

行业有密切联系的人，一名是曾经的挂马销售员，另外一名是挂马站长。从这两位业内人士描述中，让

我们一起了解这个神秘行业。

挂马方：金字塔结构形式

“一般，挂马的目的无非是为了盗取游戏帐号、QQ密码以及服务器资源和刷流量。”挂马业内销售小K

这样跟小编说道挂马目的。挂马者先是找技术人员写出马来，而后招募马仔以万IP180-200的价格出货，

一般，程序员写出来的马又分免杀加壳和不免杀加壳以及不免杀等几个类型。（免杀的意思就是装杀毒

软件并不能扫描出有病毒木马来。）而一线的马仔又把从挂马者那拿到的代码以万IP160-180的价格出

货给下一层销售人员，再由下一层的销售人员通过QQ、邮件、广告等方式具体销售给挂马的站长们。

一般来讲一个新马出来的时间不会太长就会失效。而且幕后的老板（也就是挂马者）很容易跑路，所以，

挂马时都采取日结的方式（每天现金结算一次）。而统计IP则是采用页面上放置的站长统计。

站长：多数挂马站长知情并乐此不疲

“其实我知道这是个缺德的行为，但是站长也得吃饭呀！”站长小Z在接受访问时无奈的表示。自从06

年以来，中国站长网赚圈就低迷了许多，钱越来越不容易赚。联盟月结算，扣量，延发拥金等种种因素，

让更多的站长选择了挂马这种来钱快的行业。“我有很多的站点，就是你们口中的垃圾站，一个站一天

几千IP，如果做网络联盟，一个月也就200左右，而挂马，一个月大几千。但是，也是有选择性的挂，

比如一些擦边图片站，一些俗站。正规类的站点是打死也不挂的。”小Z谈到挂马和联盟收入的差距时

说道。收入差距大，佣金支付快，虽然也会经常遇到挂了一天就跑路的，但损失也不大。但也并不是所

有站长像小Z这样幸运。另一名曾经挂马的站长小X就因为挂马被抓进去呆了一段时间。“本来以为挂

马并没什么，谁能想到是恶意传播病毒？被相关机关抓去了才知道自己犯法了。”小X至今谈到被抓当

晚还心有余悸。但是挂马者也不是什么站都收的，流量上要有限制，一般起点是日IP1000以上，并且

还要纯流量。闹腾最大动静的2007年，很多站点都被挂了马，有主动的，有被动。当时作为业内最大

站点的中国站长站为此还专门策划了个专题去号召站长们抵制挂马，净化中国网络环境

更多详细介绍：

访问我的网站时杀毒软件报警提示中了木马怎么办?

有时会收到一些客户反映网站被黑，或被上传木马，当用户访问网站时就会下载病毒或者木马，杀毒

软件弹出病毒的提示。这种情况是以下2种情况导致的：

第一种情况：客户网站存在文件上传漏洞，导致黑客可以使用这漏洞，上传黑客文件。然后黑客

可以对该用户网站所有文件进行任意修改，这种情况比较普遍。针对这种情况，用户需要找技术人员。

检查出网站漏洞并彻底修复，并检查看网站是否还有黑客隐藏的恶意文件。

原因：很多网站都需要使用到文件上传功能，例如很多网站需要发布产品图片等。文件上传功

能本来应该具有严格的限定。例如：只允许用户只能上传JPG，GIF等图片。但由于程序开发人员考虑

不严谨，或者直接是调用一些通用的文件上传组件，导致没对文件上传进行严格的检查。

处理：处理关键是要用户自己知道自己网站哪些地方使用到了文件上传功能。

重点针对这个文件上传功能进行检查，同时针对网站所有文件进行检查，排查可疑信息。同时也

利用网站日志，对文件被修改时间进行检查：

1、查到哪个文件被加入代码：用户要查看自己网页代码。根据被加入代码的位置，确定到底是

哪个页面被黑，一般黑客会去修改数据库连接文件或网站顶部/底部的文件，因为这样修改后用户网站

所有页面都会被附加代码。

2、查到被篡改文件后，使用FTP查看文件最后被修改时间，例如FTP里面查看到文

件被黑，最后修改时间是2008-05-1603：41分，那么可以确定在2008年5月16日03：41分这个时

间，有黑客使用他留下的黑客后门，篡改了您的这个文件。

注意：

1、很多用户网站被黑后，只是将被串改的文件修正过来，或重新上传，这样并没有多大作用。如果网

站不修复漏洞，黑客可以很快再次利用这漏洞，对用户网站再次入侵。

2、网站漏洞的检查和修复需要一定的技术人员才能处理。用户需要先做好文件的备份。

第二种情况：用户本地机器中毒了，修改了用户自己本地的网页文件，然后用户自己将这些网页文件

上传到服务器空间上。这种情况比较少，如是这种情况用户要先彻底检查自己网站。

1、这种病毒一般是搜索本地磁盘的文件，在网页文件的源代码中插入一段带有病毒的代码，而一般最

常见的方式是插入一个iframe，然后将这个iframe的src属性指向到一个带有病毒的网址。

2、如何检测这种情况呢？

a、浏览网站，右键查看源代码，在源代码里搜索iframe，看看有没有被插入了一些不是自己网站的页

面，如果有，一般就是恶意代码。

b、也是右键查看源代码，搜索“script”这个关键字，看看有没有被插入一些不是自己域名下的的脚本，

如果有，并且不是自己放上去的，那很可能也有问题。

3、这种病毒怎么杀呢？

a、有些人会说用查毒程序查过本地没有发现病毒，这就要看看本地的网站文件是否带有这些恶意代码，

如果有，那基本上可以肯定你的机器是曾经中过毒的，这些病毒可能不是常驻内存的，并且有可能执行

一次之后就将自己删除，所以用查毒程序查不出来是很正常的。

b、就算这些病毒是常驻内存，杀毒程序也可能查不出来，因为这种病毒的原理很简单，其实就是执行

一下文件磁盘扫描，找到那些网页文件（如：.等格式的文件），然后打开它插入一段代

码，然后再保存一下。因为它修改的不是什么系统文件，病毒防火墙一般不会发出警告，如果它不是挂

在一些系统进程里，而是在某个特定的时刻运行一下就退出，这样被查出的可能性更少。

3、中毒的常见原因：

一般是因为上了一些垃圾网站，这些网站有木马，然后机器就中毒了，主机屋的服务器一般不会中毒的，

中毒的可能性很少。至于说其它客户上传了一些有问题的程序然后令服务器中毒也是不成立的，因为普

通的客户的IIS进程是没有权限去修改其它客户的网站的。