网页挂马的原理是什么？

网页挂马的原理是：脚本运行调用某些com组件，利用其漏洞下载木马；在渲染页面内容的过程中利用格式溢出释放木马（例如：ani格式溢出漏洞）；在渲染页面内容的过程中利用格式溢出下载木马（例如：flash9.0.115的播放漏洞）。

作为网页挂马的散布者，其目的是将木马下载到用户本地，并进一步执行，当木马获得执行之后，就意味着会有更多的木马被下载，进一步被执行，进入一个恶性的循环，从而使用户的电脑遭到攻击和控制。

扩展资料

网页挂马检测方式：

1、特征匹配。将网页挂马的脚本按脚本病毒处理进行检测。但是网页脚本变形方式、加密方式比起传统的PE格式病毒更为多样，检测起来也更加困难。

2、主动防御。当浏览器要做出某些动作时，做出提示，例如：下载了某插件的安装包，会提示是否运行。比如浏览器创建一个暴风影音播放器时，提示是否允许运行。在多数情况下用户都会点击是，网页木马会因此得到执行。

3、检查父进程是否为浏览器。这种方法可以很容易的被躲过且会对很多插件造成误报。

网站程序漏洞

为什么主流的建站程序都在更新啊?因为黑客在不停得更新技术啊!如果还坚持用旧版本的网站程序被挂马也没什么奇怪。因为这种不完善的程序，特别容易被黑客植入病毒代码。这种情况解决方法主要有两：

1.选择知名公司开发的网站程序，并且确保他们能及时更新，如discuz、phpwind等。自己也要及时关注官方动态，及时进行更新。

2.不想换程序，也行，备份好数据库、图片等重要内容，然后把网站程序全部清空，再上传干净的上去。这样做是为了彻底清除黑客加入的后门程序，因为大部分后门程序都被伪装或者隐藏，很难被发现。然后再联系服务商关闭全部读写权限，只留数据库和图片目录读写权限即可。

整个服务器被黑

这种情况十分恐怖，服务器上的所有网站都会中招，这种情况如果服务商没有很好的技术条件或者牛逼的管理程序支持，很容易造成严重的损失。所以说过很多遍了，不要贪便宜买不知名的网站空间。选择像蓝队网络这类实力品牌，实力保证。同时注意用360安全卫士定期扫描。

整个机房ARP欺骗

这种情况也是查挂马不会提示的，但是在网上访问查源文件就会出现，这种情况还是选择像蓝队网络这类与360安全卫士合作的服务商，开启ARP防火墙。或者建议服务商在服务器上安装360安全卫士，开启ARP防火墙，再联系机房处理。

IIS网站属性漏洞

IIS的网站属性中，有一个启用文档页脚功能，这个功能会附加一个html文件到网站上的每个文件中。有的黑客就是利用这个功能，让客户的网站挂马。这种情况下直接查看源代码是没有被挂马，但是在网上访问就会有。

1、扫描挂马的目录

扫描后将挂马文件删除，挂马文件会篡改页面内容，如果是生成文件则需要进行重新生成，如果是静态非生成文件，则需要把备份文件还原回去，如果没有备份文件我们则需要进行代码重新编辑删除被挂马篡改的部分内容。

2、程序目录查看修改时间

利用软件筛选出的挂马文件不一定是全部的文件，部分文件隐藏的比较深，这时候需要进行手动点开我们网站程序目录进行修改时间查看，一般日期比较不一致的都有可能是挂马文件的变形，这时候我们可以针对性的查看进行删除。

3、将网站安全加固

网站挂马清除后一定要记得将网站安全加固，首先文件用户权限是一个非常重要的操作，对于不需要进行写入修改的文件权限我们要进行文件权限修改为只读。

4、修复网站漏洞

很多网站经常采用别人的模板来建站或者是后台可能是市面上流传的一些通用后台例如织梦后台，帝国后台等等都可能纯在版本漏洞，建议升级到最新版。

5、网站上传审计

很多网站都有注册发帖功能，而很多都是通过这个漏洞进行上传篡改挂马文件，所以我们的网站在上传的这块功能上如果不是必须可以进行删除，或者对其发布上传的权限另外归档权限确保不会影响到本身网站。

---