一起反击黑客！密码与键盘间的对抗

　　网页挂马是攻击者惯用的入侵手段，其影响极其恶劣。不仅让站点管理者蒙羞，而且殃及池鱼使站点的浏览者遭殃。不管是站点维护者还是个人用户，掌握、了解一定的网页挂马及其防御技术是非常必要的。

　　1、关于网页挂马

　　网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。

　　2、获取Webshell

　　攻击者要进行网页挂马，必须要获取对站点文件的修改权限，而获取该站点Webshell是最普遍的做法。

　　其实可供攻击者实施的攻击手段比较多，比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞都可被利用。下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。

　　1).网站入侵分析

　　eWEBEditor是一个在线的HTML编辑器，很多网站都集成这个编辑器，以方便发布信息。低版本的eWEBEditor在线HTML编辑器，存在者上传漏洞，黑客利用这点得到WEBSHELL(网页管理权限)后，修改了网站，进行了挂马操作。

　　其原理是：eWEBEditor的默认管理员页面没有更改，而且默认的用户名和密码都没有更改。攻击者登陆eWEBEditor后，添加一种新的样式类型，然后设置上传文件的类型，加入asp文件类型，就可以上传一个网页木马了。(图1)

　　2).判断分析网页漏洞

　　(1).攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似"ewebeditor.asp?id="语句，只要类似的语句存在，就能判断网站确实使用了WEB编辑器。

　　(2).eWEBEditor编辑器可能被黑客利用的安全漏洞：

　　a.管理员未对数据库的路径和名称进行修改，导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。

　　b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆。或者是默认密码。直接进入编辑器的后台。

　　c.该WEB编辑器上传程序存在安全漏洞。

　　分析报告指出：网站的admin路径下发现cer.asp网页木马，经分析为老兵的网页木马。(加密后依旧能通过特征码分辨，推荐网站管理员使用雷客ASP站长安全助手，经常检测网站是否被非法修改。)

　　3、揭秘几种最主要的挂马技术

　　(1).iframe式挂马

　　网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：

　　解释：在打开插入该句代码的网页后，就也就打开了http://www.xxx.com/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。下面我们做过做个演示，比如在某网页中插入如下代码：

　　在“百度”中嵌入了“IT专家网安全版块”的页面，效果如图2。

　　(2).js脚本挂马

　　js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个。js文件，然后利用js代码调用到挂马的网页。通常代码如下：

　　http://www.xxx.com/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了，如图3就是一个JS木马的代码。(图3)

　　(3).图片伪装挂马

　　随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似：http://www.xxx.com/test.htm中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了，如图4.图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如：

　　注：当用户打开http://www.xxx.com/test.htm是，显示给用户的是http://security.chinaitlab.com/UploadFiles_2323/200810/20081007113743799.jpg_notfound.jpg_notfound.jpg，而http://www.xxx.com/test.htm网页代码也随之运行。(图4)

　　键盘安全问题及危害

　　通过各种黑客技术，黑客可以通过远程控制在用户的电脑中安装记录键盘的程序，这些被称作键盘记录器的工具可以记录用户从键盘输入的所有信息。由于当前黑客技术日益公开化，以至于即使是黑客初学者也可以轻易地利用这些工具，从而导致用户面临更大的危害。一旦用户的计算机被安装了键盘记录器，用户的个人隐私信息就将被获取，比如在网上购物或网上银行交易时输入的银行账号、密码。虽然网上银行采用了数字证书认证机制，并对传输的数据进行加密，提高了安全等级，但它只能保护传输到网络上的数据，对个人用户的电脑是起不到保护作用的。 有了键盘记录器，黑客想要窃取的信息不仅仅是浏览器上的用户信息，对于应用程序，例如游戏和即时聊天工具的账号和密码也是黑客的窃取对象。

　　要想防止这些关键信息被泄露，有必要在源头上堵截。下面我们以两个对抗性测试来说明如何保护从键盘输入的数据。

　　测试一：窗口键盘记录器 VS 安全键盘

　　在WindowsXP SP2的环境下，使用窗口键盘记录器来记录键盘。运行窗口键盘记录器后，打开记事本，随意输入一些内容，按F12呼出窗口键盘记录器查看内容，发现我们在键盘上输入的内容(包含一些控制键如Shift键)都被记录下来了(如图1)。试想，如果在这个过程中登录了QQ或传奇等网络游戏，这些账号和密码就已经落到了黑客的手上。

　　图1

　　下面我们用安全键盘来对抗窗口键盘记录器。安全键盘这款软件使用特有的键盘安全技术，以软件的方式对Windows内核和驱动内核进行修改，以达到保护键盘安全的作用，防止重要信息被窃取。安全键盘具有一定的软件保护功能。运行安全键盘后，点击界面上的启动安全状态(如图2)，程序就进行保护状态了，同时在系统托盘处生成一个“PK”图标，双击它，在弹出的界面中点击“开始”或“停止”按钮即可快速切换键盘保护状态(如图3)。现在运行窗口键盘记录器，按照上面的方法做同样的测试，最后发现窗口键盘记录器记录的文本内容只有打开窗口的项目，而键盘输入的内容无法记录，成功实现键盘输入的加密。

　　图2

　　图3

　　提示：该软件只能在Windows2000和WindowsXP操作系统下使用，在Windows98下无法拦截窗口键盘记录器，在Windows2003中则无法安装。

　　测试二、窗口键盘记录软件 VS nProtect键盘加密保护技术

　　其实有的软件会自带键盘加密技术，比如我们常用的QQ2005 Beta3版本。还是在相同的环境下测试，运行窗口键盘记录器，再打开QQ2004版，输入用户名和密码登录，按F12呼出窗口键盘记录器查看内容，QQ号码和密码已被成功记录。而换成QQ2005 Beta3后，由于这个版本的QQ具有nProtect键盘加密保护技术，所以窗口键盘记录器没能获取到QQ号码和密码，对抗成功。

　　键盘安全总结

　　对于没有键盘加密保护技术的应用程序，键盘记录器的威胁将无处不在。为保证个人用户名和密码的安全，用户应该注意操作系统和应用软件的升级，尽量不要在复杂的公共场所(比如网吧)使用网上银行等网站资源。如果确实需要使用的，建议先安装安全键盘，启动键盘保护后再使用。