從動網的網頁掛木馬漏洞看網頁木馬防範

[psac]

動網最近新出的前台管理員、至頂漏洞詳細大家都已經很熟悉了。


禍不單行，前不久動網又爆出了掛馬漏洞。相對於前面提到的漏洞來說，掛馬漏洞的危害更大——無需取得任何權限，即可在論壇上連上網路頁木馬，直接危害到廣大線人的安全。


在這裡我將簡單介紹一下掛馬漏洞的原理和利用方法，以及對於相應網頁木馬的防範方法。希望廣大動網論壇斑竹早日打好修正檔，免得自己的論壇變成別人利用的工具。


　　此次攻擊的檔案類型屬於跨站攻擊，在動網6.0的時候也出現過這種檔案類型的cookies收集漏洞。


原理是使動網的使用其他網站的惡意頁面，實習跨站攻擊。動網6.0的時候是通過偽造上傳頭像的方法收集用戶的cookies，而這次我們把目標瞄準了個人資料的個人主頁：
先註冊個用戶，在個人主頁那個空中填寫
以後只要你參與的帖子都會自動使用惡意網站，做廣告、掛木馬、拿cookie...等等，幹什麼都行。不難想像，只要在熱門貼或者置頂貼上回覆一下，危害將有多大。



說了利用方法，我們再來看看導致漏洞的原因。開啟reg.asp（動網註冊頁面）檢視源程序！ UserIM=checkreal(Request.form("homepage")) &"|||"& checkreal(Request.form("OICQ")) &"|||"& checkreal(Request.form("ICQ")) &"|||"& checkreal(Request.form("msn")) &"|||"& checkreal(Request.form("yahoo")) &"|||"& checkreal(Request.form("aim")) &"|||"& checkreal(Request.form("uc"))
分析動網資料庫才明白 UserIM 是TEXT檔案類型用來儲存於 主頁，OICQ,ICQ,msn,yahoo,aim,uc 儲存於格式 主頁|||OICQ|||ICQ|||msn|||yahoo|||aim|||uc。homepage 就是註冊時的主頁選項，(Request.form("homepage")) 從from表單得到資料 ，checkreal 是不是過濾呢，找到看了一下，不是過濾函數. 看來沒有對 homepage 處理好！
從分析步驟中可能看出是對 homepage 沒有處理好， 下面我們寫一個程序來處理一下 homepage 的輸入。
UserIM=checkreal(Request.form("homepage")) &"|||"& checkreal(Request.form("OICQ")) &"|||"& checkreal(Request.form("ICQ")) &"|||"& checkreal(Request.form("msn")) &"|||"& checkreal(Request.form("yahoo")) &"|||"& checkreal(Request.form("aim")) &"|||"& checkreal(Request.form("uc"))
都沒處理。一個一個變數去過濾太麻煩我們直接對 UserIM 進入過濾就可以了。在reg.asp 最下面加一個過濾函數","過濾")
fString=replace(fString,"\","過濾")
fString=replace(fString,"--","過濾")
fString=replace(fString,"'","過濾")
fString=replace(fString," ","過濾")
fString=replace(fString,"%","過濾")
'fString=replace(fString,CHR(34),""")
fString=replace(fString,vbCrlf,"")
HTMLEncode2=fString
end function
%>
接著reg.asp中用到 UserIM的有兩處.尋找到 "UserIM=" 在這條語句之後加入一條語句UserIM=HTMLEncode2(UserIM) 到此reg.asp文件過濾完了！
當然還有別的文件也用到了UserIM：
1，註冊的時候，
2，註冊之後可以修改個人訊息，
3，管理員在後台修改個人訊息
補的方式也都一樣，
modifyadd.asp 是修改個人訊息時用的文件。相同的步驟：
1，加上過濾函數
2，尋找到 "UserIM=" 在這條語句之後加入一條語句
UserIM=HTMLEncode2(UserIM)
考慮到這個漏洞的巨大危害，光靠論壇斑竹打修正檔是不夠的。作為線人也應該行動起來，熟悉一般網頁木馬的中毒症狀，未雨綢繆，防範於未然。
　　我們先來看一下目前流行網頁木馬的種類及其症狀：
1． Mshta網頁木馬：一般裝防火牆的朋友會發現要求mshta訪問網路，然後會彈出一個空白的asp頁面。這個漏洞還是比較老的，但是做為第一個影響xp的ie漏洞還是有很大的危害
2． Chm網頁木馬：最近比較流行,中毒情況是彈出一個空白的求助文件。同時這個漏洞還很容易和其他漏洞結合。它是利用chm文件的漏洞實現木馬下載的，所以大家在看chm求助文件時同樣要小心。



3． Js網頁木馬：IE會莫名奇妙的僵死,甚至整個系統僵死幾秒鍾。很容易判別。



4． Xp2溢位：在我的blog：linkboy.3322.org上就有這樣的溢位程式碼，大家可以看一下，同樣會造成系統的不正常僵死。
　　說了4個檔案類型的網頁木馬中毒狀況，我們在看一下防範方法，有效率90%以上，可以防止90%以上木馬在你的電腦上被執行，甚至殺毒軟體發現不了的木馬都可以禁止執行。先說一下原理。



現在網頁木馬無非有以下幾種方式中到你的機器裡
1.把木馬文件改成BMP文件，然後配合你機器裡的DEBUG來還原成EXE，網上存在該木馬20%


2.下載一個TXT文件到你機器，然後裡面有具體的FTP位址，FTP連上他們有木馬的機器下載木馬，網上存在該木馬20%（mshta變種）


3.也是最常用的方式，下載一個HTA文件，然後用網頁控件解釋器來還原木馬。該木馬在網上存在30%以上（mshta網頁木馬）


4.採用JS指令碼，用VBS指令碼來執行木馬文件，該型木馬偷QQ的比較多，偷傳奇的少，大概占30%左右
知道了原理那就開始防範，首先把系統檔案下的mshta.exe文件改名。然後將註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls新增一個關於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然後在新鍵值下新增一個REG_DWORD 檔案類型的鍵Compatibility，並設定鍵值為0x00000400即可。還有windows（winnt）\command\debug.exe和windows(winnt)\ftp.exe都給改個名字 (或者移除)。



如果你覺得手動式打修正檔很麻煩的話還可以使用一個不錯的軟體：網路安全助手，最新版本5.7。



該軟體是目前唯一能夠針對各種網頁木馬指出防範措施的軟體，使用起來也很方便，只要簡單設定一下，然後點擊「確定」就可以了。同時軟體還有其他一些安全性設定，大大加強了Windows的安全性。

大家可以在google或百度上搜尋一下，下載一個試試。


經過這樣的設定後，我專門找別人發的木馬網址去測試，實驗結果是上了大概20個木馬網站，有大概15個瑞星會報警，另外5個瑞星沒有反映，而我的機器沒有增加出來新的EXE文件，也沒有新的工作出現，只不過有些木馬的殘骸留在了IE的臨時資料夾裡，沒有被執行起來，沒有任何危險性。當然，ie漏洞層出不窮，作為線人平時仍要小心，注意微軟的漏洞報告，及早打上修正檔。