很多朋友都碰到過(guò)這樣的現(xiàn)象：打開(kāi)一個(gè)網(wǎng)站，結(jié)果頁(yè)面還沒(méi)顯示，殺毒軟件就開(kāi)始報(bào)警，提示檢測(cè)到木馬病毒。有經(jīng)驗(yàn)的朋友會(huì)知道這是網(wǎng)頁(yè)病毒，但是自己打開(kāi)的明明是正規(guī)網(wǎng)站，沒(méi)有哪家正規(guī)網(wǎng)站會(huì)將病毒放在自己的網(wǎng)頁(yè)上吧？那么是什么導(dǎo)致了這種現(xiàn)象的發(fā)生呢？其中最有可能的一個(gè)原因就是：這個(gè)網(wǎng)站被掛馬了。

    掛馬這個(gè)詞目前我們似乎經(jīng)常能聽(tīng)到，那么什么是掛馬呢？掛馬就是黑客入侵了一些網(wǎng)站后，將自己編寫(xiě)的網(wǎng)頁(yè)木馬嵌入被黑網(wǎng)站的主頁(yè)中，利用被黑網(wǎng)站的流量將自己的網(wǎng)頁(yè)木馬傳播開(kāi)去，以達(dá)到自己不可告人的目的。例如很多游戲網(wǎng)站被掛馬，黑客的目的就是盜取瀏覽該網(wǎng)站玩家的游戲賬號(hào)，而那些大型網(wǎng)站被掛馬，則是為了搜集大量的肉雞。網(wǎng)站被掛馬不僅會(huì)讓自己的網(wǎng)站失去信譽(yù)，丟失大量客戶，也會(huì)讓我們這些普通用戶陷入黑客設(shè)下的陷阱，淪為黑客的肉雞。下面就讓我們來(lái)了解這種時(shí)下最流行的黑客攻擊手段。

掛馬的核心：木馬

    從“掛馬”這個(gè)詞中我們就可以知道，這和木馬脫離不了關(guān)系。的確，掛馬的目的就是將木馬傳播出去，掛馬只是一種手段。掛馬使用的木馬大致可以分為兩類(lèi)：一類(lèi)是以遠(yuǎn)程控制為目的的木馬，黑客使用這種木馬進(jìn)行掛馬攻擊，其目的是為了得到大量的肉雞，以此對(duì)某些網(wǎng)站實(shí)施拒絕服務(wù)攻擊或達(dá)到其他目的（目前絕大多數(shù)實(shí)施拒絕服務(wù)攻擊的傀儡計(jì)算機(jī)都是掛馬攻擊的受害者）。另一類(lèi)是鍵盤(pán)記錄木馬，我們通常稱(chēng)其為盜號(hào)木馬，其目的不言而喻，都是沖著我們的游戲帳號(hào)或者銀行帳號(hào)來(lái)的。目前掛馬所使用的木馬多數(shù)屬于后者。

木馬的免殺伎倆

    作為掛馬所用的木馬，其隱蔽性一定要高，這樣就可以讓用戶在不知不覺(jué)中運(yùn)行木馬，也可以讓掛馬的頁(yè)面存活更多的時(shí)間。黑客為了讓木馬躲避殺毒軟件的查殺，使用的伎倆很多。通常使用的方法有：
    加殼處理：關(guān)于殼的概念我們?cè)��?jīng)介紹過(guò)，就是為了讓別人無(wú)法修改編譯好的程序文件，同時(shí)壓縮程序體積。木馬經(jīng)過(guò)加殼這一道工序后就有可能逃過(guò)殺毒軟件的查殺，這也是為什么我們裝了殺毒軟件還會(huì)感染老病毒的原因。雖然目前的殺毒軟件都支持對(duì)程序脫殼后再查殺，但只局限于一些比較熱門(mén)的加殼程序，例如aspack、UPX等，而碰上一些經(jīng)過(guò)冷門(mén)加殼程序處理后的木馬時(shí)，就無(wú)能為力了。所以加殼仍是黑客比較常用的免殺伎倆之一。

冷門(mén)的加殼程序
    修改特征碼：殺毒軟件是根據(jù)病毒特征碼來(lái)判定一個(gè)程序是否是病毒的。殺毒軟件在對(duì)程序進(jìn)行檢測(cè)時(shí)，如果在程序中發(fā)現(xiàn)了病毒特征碼，就將該程序判定為病毒。黑客當(dāng)然也明白這個(gè)道理，于是他們會(huì)修改木馬中被定為特征碼的部分代碼，將其加密或使用匯編指令將其跳轉(zhuǎn)，這樣殺毒軟件就無(wú)法在木馬中找到病毒特征碼，自然也就不會(huì)將其判定為病毒了。

    雖然這兩種方法都可以躲過(guò)殺毒軟件的查殺，但是我們還是有辦法阻止木馬運(yùn)行的，具體方法將在防范部分講到。那么木馬是如何“掛”在網(wǎng)站上的呢？這里我們以“灰鴿子”木馬為例，演示一下黑客掛馬的過(guò)程。演示用的“灰鴿子”木馬已經(jīng)經(jīng)過(guò)免殺處理，殺毒軟件無(wú)法查殺。
    
潛伏的攻擊者：網(wǎng)頁(yè)木馬

    為什么我們一打開(kāi)網(wǎng)頁(yè)就會(huì)運(yùn)行木馬程序，木馬又是如何“掛”在網(wǎng)站上的呢？這就要涉及“網(wǎng)頁(yè)木馬”這個(gè)概念。

    網(wǎng)頁(yè)木馬就是將木馬和網(wǎng)頁(yè)結(jié)合在一起，打開(kāi)網(wǎng)頁(yè)的同時(shí)也會(huì)運(yùn)行木馬。最初的網(wǎng)頁(yè)木馬原理是利用IE瀏覽器的ActiveX控件，運(yùn)行網(wǎng)頁(yè)木馬后會(huì)彈出一個(gè)控件下載提示，只有點(diǎn)擊確認(rèn)后才會(huì)運(yùn)行其中的木馬。這種網(wǎng)頁(yè)木馬在當(dāng)時(shí)網(wǎng)絡(luò)安全意識(shí)普遍不高的情況下還是有一點(diǎn)使用價(jià)值的，但是其缺點(diǎn)是顯而易見(jiàn)的，就是會(huì)出現(xiàn)ActiveX控件下載提示。當(dāng)然現(xiàn)在很少會(huì)有人去點(diǎn)擊那莫名其妙的ActiveX控件下載確認(rèn)窗口。

    在這種情況下，新的網(wǎng)頁(yè)木馬誕生了。這類(lèi)網(wǎng)頁(yè)木馬通常利用了IE瀏覽器的漏洞，在運(yùn)行的時(shí)候沒(méi)有絲毫提示，因此隱蔽性極高�？梢哉f(shuō)，正是IE瀏覽器層出不窮的漏洞造成了如今網(wǎng)頁(yè)木馬橫行的網(wǎng)絡(luò)。例如最近的IE瀏覽器漏洞MS06-014，就可以利用來(lái)制作一個(gè)絕對(duì)隱蔽的網(wǎng)頁(yè)木馬。下面讓我們看看利用MS06-014制作網(wǎng)頁(yè)木馬的過(guò)程。

    網(wǎng)頁(yè)木馬當(dāng)然得有木馬程序，這里我們使用上文中提到的“灰鴿子”木馬。然后我們要下載一個(gè)MS06-014網(wǎng)頁(yè)木馬生成器。接著還要一個(gè)網(wǎng)頁(yè)空間，三者準(zhǔn)備完畢后，就可以開(kāi)始測(cè)試了。

生成網(wǎng)頁(yè)木馬
    首先將木馬程序上傳到網(wǎng)頁(yè)空間中。運(yùn)行“MS06-014木馬生成器”，在“木馬地址”中填入已經(jīng)上傳到空間中的木馬網(wǎng)址，并勾選下方的“是否隱藏源碼”選項(xiàng)。這個(gè)選項(xiàng)的作用是當(dāng)網(wǎng)頁(yè)木馬運(yùn)行后，會(huì)自動(dòng)清空網(wǎng)頁(yè)源文件，用戶即使起了疑心也無(wú)法找到痕跡。當(dāng)然清空的是用戶打開(kāi)的源文件，而網(wǎng)頁(yè)木馬卻不受影響。點(diǎn)擊“生成網(wǎng)馬”按鈕即可在程序的同目錄生成一個(gè)名為muma.htm的網(wǎng)頁(yè)木馬。
配置網(wǎng)頁(yè)木馬
    繼續(xù)進(jìn)行網(wǎng)頁(yè)木馬的配置，在“欲加密的網(wǎng)頁(yè)”中瀏覽選中生成的網(wǎng)頁(yè)木馬。網(wǎng)頁(yè)木馬在運(yùn)行時(shí)會(huì)利用IE的漏洞，其中肯定存在漏洞利用代碼，這些代碼會(huì)被殺毒軟件檢測(cè)出來(lái)，因此要想隱蔽地運(yùn)行網(wǎng)頁(yè)木馬，加密木馬程序還不夠，還需對(duì)網(wǎng)頁(yè)木馬進(jìn)行加密�！癕S06-014木馬生成器”的“加密方式”中提供了四種網(wǎng)頁(yè)的加密方式，分別是：空字符加密、轉(zhuǎn)義字符加密、Escape加密和拆分特征碼。這里我們使用“轉(zhuǎn)義字符加密”加密方式，選中“轉(zhuǎn)義字符加密”選項(xiàng)后點(diǎn)擊“加密”按鈕，免殺的網(wǎng)頁(yè)木馬就生成了。將該加密過(guò)的網(wǎng)頁(yè)木馬上傳到網(wǎng)頁(yè)空間中即可。

尋找缺陷網(wǎng)站，寫(xiě)入網(wǎng)頁(yè)木馬
    網(wǎng)頁(yè)木馬準(zhǔn)備完畢，就等著尋找掛馬的目標(biāo)網(wǎng)站了。此時(shí)黑客會(huì)到處搜索，尋找有腳本缺陷的網(wǎng)站程序，找到后利用網(wǎng)站程序的漏洞入侵網(wǎng)站，并得到網(wǎng)站的一個(gè)webshell。這時(shí)我們可以編輯網(wǎng)站首頁(yè)的內(nèi)容，將掛馬的代碼插入即可。代碼為：，src參數(shù)后面的是網(wǎng)頁(yè)木馬的地址。當(dāng)我們打開(kāi)這個(gè)網(wǎng)站的首頁(yè)后，會(huì)彈出網(wǎng)頁(yè)木馬的頁(yè)面，這個(gè)頁(yè)面我們是無(wú)法看到的，因?yàn)槲覀冊(cè)诖�碼中設(shè)置了彈出頁(yè)面的窗口長(zhǎng)寬各為0。此時(shí)木馬也已經(jīng)悄悄下載到本機(jī)并運(yùn)行了。我們可以看到，網(wǎng)站的首頁(yè)顯示正常，殺毒軟件并沒(méi)有任何反應(yīng)，而木馬卻已經(jīng)運(yùn)行了，可見(jiàn)木馬的隱蔽性很高，危害也相當(dāng)嚴(yán)重。成功運(yùn)行木馬

鏟除網(wǎng)站“掛馬”毒瘤
    “掛馬”攻擊已經(jīng)成為目前最流行的攻擊方式，面對(duì)數(shù)量龐大的“掛馬”網(wǎng)站，我們?cè)撊绾畏烙�呢？作為一名網(wǎng)站站長(zhǎng)，我們又如何知道自己的網(wǎng)站被人掛馬了呢？

    站長(zhǎng)防范：如果你是一名站長(zhǎng)，可以對(duì)網(wǎng)站首頁(yè)以及其他主要頁(yè)面的源代碼進(jìn)行檢查，用記事本打開(kāi)這些頁(yè)面后，以“