从动网挂马漏洞看网页木马防范
linkboy
动网最近新出的前台管理员、至顶漏洞详细大家都已经很熟悉了,
从动网挂马漏洞看网页木马防范
。祸不单行,前不久动网又爆出了挂马漏洞。相对于前面提到的漏洞来说,挂马漏洞的危害更大——无需取得任何权限,即可在论坛上挂网页木马,直接危害到广大网民的安全。在这里我将简单介绍一下挂马漏洞的原理和利用方法,以及对于相应网页木马的防范方法。希望广大动网论坛斑竹早日打好补丁,免得自己的论坛变成别人利用的工具。此次攻击的类型属于跨站攻击,在动网6.0的时候也出现过这种类型的cookies收集漏洞。原理是使动网的调用其他网站的恶意页面,实习跨站攻击。动网6.0的时候是通过伪造上传头像的方法收集用户的cookies,而这次我们把目标瞄准了个人资料的个人主页:
先注册个用户,在个人主页那个空中填写
以后只要你参与的贴子都会自动调用恶意网站,做广告、挂木马、拿cookie...等等,干什么都行。不难想象,只要在热门贴或者置顶贴上回复一下,危害将有多大。
说了利用方法,我们再来看看导致漏洞的原因。打开reg.asp(动网注册页面)查看源程序! UserIM=checkreal(Request.form("homepage")) &"|||"& checkreal(Request.form("OICQ")) &"|||"& checkreal(Request.form("ICQ")) &"|||"& checkreal(Request.form("msn")) &"|||"& checkreal(Request.form("yahoo")) &"|||"& checkreal(Request.form("aim")) &"|||"& checkreal(Request.form("uc"))
分析动网数据库才明白 UserIM 是TEXT类型用来存储 主页,OICQ,ICQ,msn,yahoo,aim,uc 存储格式 主页|||OICQ|||ICQ|||msn|||yahoo|||aim|||uc。homepage 就是注册时的主页选项,(Request.form("homepage")) 从from表单得到数据 ,checkreal 是不是过滤呢,找到看了一下,不是过滤函数. 看来没有对 homepage 处理好!
从分析步骤中可能看出是对 homepage 没有处理好, 下面我们写一个程序来处理一下 homepage 的输入。
UserIM=checkreal(Request.form("homepage")) &"|||"& checkreal(Request.form("OICQ")) &"|||"& checkreal(Request.form("ICQ")) &"|||"& checkreal(Request.form("msn")) &"|||"& checkreal(Request.form("yahoo")) &"|||"& checkreal(Request.form("aim")) &"|||"& checkreal(Request.form("uc"))
都没处理。一个一个变量去过滤太麻烦我们直接对 UserIM 进入过滤就可以了。在reg.asp 最下面加一个过滤函数","过滤")
fString=replace(fString,"\","过滤")
fString=replace(fString,"--","过滤")
fString=replace(fString,"'","过滤")
fString=replace(fString," ","过滤")
fString=replace(fString,"%","过滤")
'fString=replace(fString,CHR(34),""")
fString=replace(fString,vbCrlf,"")
HTMLEncode2=fString
end function
%>
接着reg.asp中用到 UserIM的有两处.查找到 "UserIM=" 在这条语句之后加入一条语句UserIM=HTMLEncode2(UserIM) 到此reg.asp文件过滤完了!
当然还有别的文件也用到了UserIM:
1,注册的时候,
2,注册之后可以修改个人信息,
3,管理员在后台修改个人信息
补的方式也都一样,
modifyadd.asp 是修改个人信息时用的文件,电脑资料
《从动网挂马漏洞看网页木马防范》(https://www.unjs.com)。相同的步骤:
1,加上过滤函数
2,查找到 "UserIM=" 在这条语句之后加入一条语句
UserIM=HTMLEncode2(UserIM)
考虑到这个漏洞的巨大危害,光靠论坛斑竹打补丁是不够的。作为网民也应该行动起来,熟悉常见网页木马的中毒症状,未雨绸缪,防范于未然。
我们先来看一下目前流行网页木马的种类及其症状:
1. Mshta网页木马:一般装防火墙的朋友会发现要求mshta访问网络,然后会弹出一个空白的asp页面。这个漏洞还是比较老的,但是做为第一个影响xp的ie漏洞还是有很大的危害
2. Chm网页木马:最近比较流行,中毒情况是弹出一个空白的帮助文件。同时这个漏洞还很容易和其他漏洞结合。它是利用chm文件的漏洞实现木马下载的,所以大家在看chm帮助文件时同样要小心。
3. Js网页木马:IE会莫名奇妙的僵死,甚至整个系统僵死几秒钟。很容易判别。
4. Xp2溢出:在我的blog:linkboy.3322.org上就有这样的溢出代码,大家可以看一下,同样会造成系统的不正常僵死。
说了4个类型的网页木马中毒状况,我们在看一下防范方法,有效率90%以上,可以防止90%以上木马在你的机器上被执行,甚至杀毒软件发现不了的木马都可以禁止执行。先说一下原理。
现在网页木马无非有以下几种方式中到你的机器里
1.把木马文件改成BMP文件,然后配合你机器里的DEBUG来还原成EXE,网上存在该木马20%
2.下载一个TXT文件到你机器,然后里面有具体的FTP地址,FTP连上他们有木马的机器下载木马,网上存在该木马20%(mshta变种)
3.也是最常用的方式,下载一个HTA文件,然后用网页控件解释器来还原木马。该木马在网上存在30%以上(mshta网页木马)
4.采用JS脚本,用VBS脚本来执行木马文件,该型木马偷QQ的比较多,偷传奇的少,大概占30%左右
知道了原理那就开始防范,首先把系统文件下的mshta.exe文件改名。然后将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。还有windows(winnt)\command\debug.exe和windows(winnt)\ftp.exe都给改个名字 (或者删除)。
如果你觉得手工打补丁很麻烦的话还可以使用一个不错的软件:网络安全助手,最新版本5.7(如图2)。该软件是目前唯一能够针对各种网页木马给出防范措施的软件,使用起来也很方便,只要简单设置一下,然后点击“确定”就可以了。同时软件还有其他一些安全设置,大大加强了Windows的安全性。大家可以在google或百度上搜索一下,下载一个试试。
经过这样的设置后,我专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,没有被执行起来,没有任何危险性。当然,ie漏洞层出不穷,作为网民平时仍要小心,注意微软的漏洞报告,及早打上补丁。