网站挂马检测及清除

淩亂°似流年 2023-06-21 03:43 9阅读 0赞

**介绍**

很多网站都被挂过马，挂马即在获取服务器的部分权限或所有权限后，向网页文件中插入一段恶意代码，即挂马。这些恶意代码可以是浏览器漏洞的利用代码，也可以是赚取流量的代码，或者是盗取账号的代码。

**URL Snooper**

url snooper字面理解即url窥探，官方说明是可以帮助用户发现音频和视频文件的url地址。下载地址是[http://www.donationcoder.com/software/mouser/popular-apps/url-snooper][http_www.donationcoder.com_software_mouser_popular-apps_url-snooper]。安装后它会建议你输入密钥，不输入也可以，软件是不收费即可免费使用的，点击dismiss按钮暂不考虑密钥进入即可。

进入后url snooper会自动检测网卡，以确定是否正常连接网络，我们为了使用方便，可以在语言栏设置语言为中文。

首先在protocol filter处选择所有类型，然后点击下方的嗅探网络，这时通过ie来访问相关的url，url snooper便会捕捉到进行分析。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc_size_16_color_FFFFFF_t_70][]

我们可以点击url然后查看其内容，判断检测到的url是否可疑，除了嗅探url地址，我们也可以手动输入，这里我就本地用localhost做示例，在1.html中script引入了一个url，如下图。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc_size_16_color_FFFFFF_t_70 1][]

url snooper本身是用来发现音频视频地址的，因为对url检测和发现功能很好用，我们可以用来检测网页中的敏感url，随后再手动确认是否为挂马连接，有些挂马链接可能是经过编码的，我们直接在线解码即可。

对于挂马链接有时可能是一个网页或者一段js代码，我们可以直接访问获取，可以便于我们分析马代码利用的是哪些漏洞等，同时也可以借助一些网站下载工具（Teleport Ultra等等）来下载挂马链接上的资源，辅助我们的分析。

**D盾**

我们可以使用D盾来进行web查杀，免费软件，运行平台是windows，网址是[http://www.d99net.net/][http_www.d99net.net] ，进入后选择相应的目录即可进行扫描，如下图。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc_size_16_color_FFFFFF_t_70 2][]

D盾也提供了其他的一些防御机制，例如cc，sql注入，xss，文件上传等，只不过只针对iis搭建的网站，我们这里如果是iis可以直接运行d盾启动，如果不是也可以使用d盾进行恶意代码的查杀。

**清除恶意代码**

清除网站恶意代码，首先需要确定哪些文件被挂了马，一个是可以直接查看代码，相当于代码审计，找到挂马的代码。二是查看网站目录修改时间，通过时间进行判断。三是文章上面的方法，通过软件定位。

对于查看网站目录修改时间，我们可以使用windows系统自带的搜索，默认情况下win管理器是没有搜索栏选项的，需要把光标定位到搜索栏，搜索框才会出现，如下图。

![20191210213228469.png][]

![20191210213231374.png][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc_size_16_color_FFFFFF_t_70 3][]

通过上面几种方法定位到挂马文件后，删除相应代码即可，这里注意的是不建议用网页编辑器，避免感染木马的可能性，使用记事本或其他本地编辑器即可。

--------------------

**                                                                            公众号推荐：aFa攻防实验室**

**分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。**

![20191220230427373.jpg][]

[http_www.donationcoder.com_software_mouser_popular-apps_url-snooper]: http://www.donationcoder.com/software/mouser/popular-apps/url-snooper
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20191210213226167.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc=,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20191210213228254.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc=,size_16,color_FFFFFF,t_70
[http_www.d99net.net]: http://www.d99net.net/
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20191210213231273.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc=,size_16,color_FFFFFF,t_70
[20191210213228469.png]: https://img-blog.csdnimg.cn/20191210213228469.png
[20191210213231374.png]: https://img-blog.csdnimg.cn/20191210213231374.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/20191210213231501.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ZhZ2V3ZWlrZXRhbmc=,size_16,color_FFFFFF,t_70
[20191220230427373.jpg]: https://img-blog.csdnimg.cn/20191220230427373.jpg