E安全7月26日訊 看到網站錯誤頁面(如下)幾乎所有人都會立馬將其關掉。這一次,請別急著“×”掉這個頁面!因為這有可能是黑客偽裝的 WebShell 登錄界面。
本文源自E安全
惡意軟件分發者,黑客和網絡釣魚詐騙者繼續使用在偽造的 HTTP 錯誤文檔中隱藏其 Web 外殼登錄表單的做法。 這些頁面假裝是HTTP 錯誤,例如 404 Not Found 或 Forbidden,而實際上它們是登錄頁面,允許攻擊者訪問Web shell以在服務器上發出命令。
404 Not Found頁面是黑客的登錄頁面
目前,惡意軟件傳播者、黑客以及網絡釣魚欺詐分子仍將 Web Shell 登錄表單隱藏在偽造的 HTTP 錯誤文檔當中。這些頁面被偽裝為 HTTP 錯誤內容,例如 404 Not Found 或者 Forbidden,但其實際上屬於黑客的登錄頁面,攻擊者能夠藉此訪問 Web Shell 並在服務器上發出命令。
目前這種狀況正持續增加
雖然這種做法並不新鮮,但網絡釣魚專家兼安全研究員 nullcookies 仍然發現這種利用偽造錯誤頁面來隱藏 Web Shell 的情況正持續增加。這些 Web Shell 允許黑客上傳惡意軟件、網絡釣魚腳本或者其它軟件。他表示,“這項技術本身並不新穎,但我發現其近來正出現得愈發頻繁。而且除非非常熟悉這類手段,否則人們很容易受到矇蔽。”
研究人員 nullcookies 展示了一些使用此類偽造錯誤頁面的示例網頁,乍看之下人們確實會認為這只是一個標準的404網頁不存在提示頁面。
偽造的 404 Not Found頁面
發現404,或許就能發現黑客
但只要深入挖掘並查看頁面的來源,我們就會在後臺看到完全不同的頁面內容。源頁面上包含一份登錄表單,攻擊者利用 CSS 將其隱藏了起來,登錄提示被放在頁面底部且刪除了對應的滾動條,這樣訪問者就不會向下滾動並查看到這部分內容。
偽造的 404 Not Found源頁面
如果繼續使用向下翻頁鍵,則可看到其中的登錄表單。
偽造的404 Not Found頁面中的登錄提示
這種狀況中特別的是存在一個頁面中使用了“Forbidden”錯誤信息。與偽造的404頁面一樣,其中同樣隱藏有一份登錄表單,但攻擊者再次使用創造性的方法隱藏了輸入字段。
偽造的Forbidden錯誤頁面
在此頁面中,攻擊者完全隱藏了表單字段,即使我們向下滾動亦無法看到。相反,大家必須確切知道它的位置或標籤,才能訪問該表單。
隱藏的密碼字段
根據研究人員 nullcookies 的介紹,隱藏在這些偽造錯誤頁面中的 Web Shell 往往會對負責清理網絡釣魚內容的系統管理員構成嚴重威脅,因為他們往往意識到某一頁面中隱藏著可令攻擊者輕鬆重新感染目標站點的 Web Shell。
請及時清除錯誤頁面
nullcookies 解釋稱“有些人可能沒有留意這些頁面,因為他們沒有意識到這些頁面需要及時清除。也正因為如此,才會出現網站管理員在清理了全部網絡釣魚內容並鎖定系統之後,部分攻擊者仍能捲土重來的狀況。”
也就是說,如果您收到顯示您的網站遭到入侵的報告,並在調查當中看到了錯誤頁面,請千萬不要想當然地認為這些頁面完全合法,請以謹慎的態度檢查其源代碼以進一步做出判斷。
注:本文由E安全編譯報道,轉載請註明原文地址
閱讀更多 E安全 的文章
