[网络安全教学贴]教刀友们一个防常见网页木马的方法

xki

现在木马传播最多而且最快捷的方式就是通过网页，到目前为止，我所知道的IE未公布的漏洞就至少有三个，而且通过这三个漏洞，再加上iframe标签，就能非常容易的让浏览者中后门。
当然，除了IE漏洞以外，很多网页木马还利用了第三方软件，比如前段时间QQ的ActiveX的一个漏洞，也可以被恶意攻击者利用，也是通过在WEB页面中插入iframe，同时诱使用户访问。

对于这种最常见的iframe标签中插入木马有两种防御手段和一种检查方法：

防御手段一、禁用IE中的iframe功能
打开你的IE，然后在功能菜单中依次选择：工具→Internet选项→安全→自定义级别，然后在这里找到“在IFRAME中加载程序和文件”，在下面选择禁用
这种方法治本，但是也只是从一定程度上来说，因为还有很多种利用iframe下马的方法可以绕过这种限制。

防御手段二、使用非IE内核心浏览器
有很多朋友问过我，使用Maxthon这样的浏览器是否能避免我所说到的那些网页木马，这里我需要说明，Maxthon、MyIE这些浏览器都是使用了IE的内核，所以说，使用它，和使用IE没有两样（只是界面上不太一样）。
这里推荐大家使用FireFox和Opera，比较推荐Opera，它的速度比FireFox快，不过FireFox扩展性很好，有N多的插件可以安装，使得FireFox变得非常强大。

检查方法：
对于别人给你的连接，如果你怀疑该连接中存在有我所说的那种iframe标记的网页木马，可以在浏览网页前使用以下方法检查（以刀友论坛的主页为例）：
当我们正常访问刀友论坛主页时是在IE中输入该地址并回车：http://www.knifriend.com/bbs/index.php
但是，为了检查该页是否含有危险代码，我们就要这样输入：view-source:http://www.knifriend.com/bbs/index.php
view-source命令相信很多朋友都用过，输入view-source:http://www.knifriend.com/bbs/index.php的目的是使用系统默认设置的编辑器来查看www.knifriend.com站点的bbs目录中的index.php的源代码（当然，这里所说的源代码是经过Server端解析后的HTML代码，而不是真正的PHP代码，否则黑站将会更简单），在代码中，搜索关键字“iframe”（没有引号），如果发现有类似这样的语句：<iframe src="http://www.xxx.com/1/"></iframe>就应该要小心，如果iframe标签这样写：<iframe src="http://www.xxx.com/2/" width=0 height=0></iframe>，这就基本上可以断定站点被插了木马，因为标记width=0和height=0就是让插入的frame不在网页上显示出来，显然是别有用心的，这时，大家最好就不要再访问该站点。


这里，最为推荐使用FireFox或Opera浏览器，这将会大大减小上网中后门的几率，如果可以的话，最好使用非windows系统。
我不想偏激的喊出达到微软的口号，因为我还是很喜欢windows的，尤其是她的构架，无论是系统级还是网络级，她都做的很好，但是我反对微软的垄断性捆绑行为。微软的上亿行代码已经被法院拿去分析了，也许有一天他们会发现把IE从windows中剥离的方法。

[ 本帖最后由 xki 于 2007-3-1 18:27 编辑 ]

小波

非常感谢！！！~~~

马上去做些修改！

onemine

已经进行了修改，昨天刚下载了FireFox，但是发现工商银行的网银控件不能安装，估计此类问题还有不少，还有些该软件设计方面不太适应，所以很多时候还是不能完全放弃windows的ie~~谢谢楼主指教~

fengche

xpy220

我按照第一点指示做了更改，谢了~~

hinull

楼主的水平还是相信的，但是用maxthon实在是习惯了～～

浪鬼

去试试看 感谢楼主

BugErr

view-source 在XP SP2 和 2003 SP1后就没有此命令了...
只能按右键 - 察看源文件.

iframe 屏蔽后有些网页无法显示.确实会造成不便..
  ..防毒,目前用Macfee . 自定义策略 阻止侵害很有效

xki

原帖由 BugErr 于 2007-3-1 22:00 发表
view-source 在XP SP2 和 2003 SP1后就没有此命令了...
只能按右键 - 察看源文件.

iframe 屏蔽后有些网页无法显示.确实会造成不便..
  ..防毒,目前用Macfee . 自定义策略 阻止侵害很有效

view-source是一个HTTP的标准，和系统无关的，而且我使用的就是2003 SP1，没有问题的
可能是在输入过程中有错误吧，有个冒号的view-source:http://www.knifriend.com/bbs/index.php

卡巴克

我一直用mozille6.0绿色版上非健康网站~~~

BugErr

原帖由 xki 于 2007-3-1 22:29 发表

view-source是一个HTTP的标准，和系统无关的，而且我使用的就是2003 SP1，没有问题的
可能是在输入过程中有错误吧，有个冒号的view-source:http://www.knifriend.com/bbs/index.php[/co ...

..我也是用 2003 SP1 .
以前在98下可以使用.
后来XP SP2 和 现在的 2K3 SP1 都无法显示  ...

salt

用opera， 按F12快捷键选择对java, java script, 和各种插件的使用。平时全部关闭，需要的话再开启刷新。

xki

原帖由 BugErr 于 2007-3-1 22:45 发表




..我也是用 2003 SP1 .
以前在98下可以使用.
后来XP SP2 和 现在的 2K3 SP1 都无法显示  ...

查了KB，看来是这样的
但功能限制是在IE上实现的，MS果然垄断的够恶心
因为我把IE卸掉了一部分，没有办法试，我看看有没有在IE下的什么解决办法

LOCKDOWN

再大多数网站禁用ActiveX控件就安全得多了

[ 本帖最后由 LOCKDOWN 于 2007-3-14 09:43 编辑 ]