document.write（""）

document.write（"

這里可以提取“src”或“.js”字符串，對于請求地址是外域的JS腳本基本都是網(wǎng)頁木馬。

2.3 網(wǎng)頁啟動加載跳轉木馬

此類網(wǎng)頁木馬可以直接從原網(wǎng)頁跳轉至木馬地址網(wǎng)頁，木馬直接被運行，或者誘騙用戶輸入某些敏感信息（如賬戶、密碼等），并將提交的信息發(fā)送到黑客指定地方。比如代碼為：，即網(wǎng)頁啟動時就跳轉至黑客木馬地址；或者通過meta標志跳轉，如, 即網(wǎng)頁一旦加載就立即跳轉至木馬地址，content=0表示0秒；此外也可以將木馬植入CSS中，如background-image中加入木馬URL地址，當網(wǎng)頁背景圖片被調(diào)用時下載木馬；還可以直接將JAVA腳本植入網(wǎng)頁中。

通常黑客木馬源碼直接寫在網(wǎng)頁上，因為這邊很容易被識別，而是會通過注入手段，讓網(wǎng)頁遠程調(diào)用外域的 JS 腳本，也就是黑客自己網(wǎng)站上包含有惡意代碼的 JS 掛馬文件，因此可以從這里入手進行識別。

2.4 偽裝調(diào)用木馬

此類木馬是黑客利用圖片或用戶信任網(wǎng)站作為轉移訪問用戶實現(xiàn)的一種方式。比如黑客將木馬植入到圖片中，再用代碼調(diào)用執(zhí)行，具有很高的隱蔽性，可以繞過許多工具的掃描監(jiān)視。代碼如；或者以網(wǎng)頁嵌套的方式，貌似打開了正常的網(wǎng)頁，其實打開了木馬網(wǎng)址。

3 網(wǎng)頁木馬處理

3.1 工具介紹

（1）grep

在手工檢測識別網(wǎng)頁木馬時，通常要利用字符串匹配工具確認木馬所在位置，而grep是一種強大的文本搜索工具，它能使用正則表達式搜索文本，在一個或多個文件中搜索字符串，效率非常高。

（2）sed

sed 是一種流編輯器，它主要用來自動編輯一個或多個文件；簡化對文件的反復操作；編寫轉換程序等。尤其是當黑客大批量的將網(wǎng)頁木馬植入網(wǎng)頁代碼中時，sed工具以其強大的能力和簡單的特性批量清除既定程式的網(wǎng)頁木馬，是一個非常實用的工具。

（3）網(wǎng)頁編程語言

對于有一定網(wǎng)頁編程基礎的人來說，無論掌握哪一門編程語言（如asp、php、jsp、python等），同樣可以通過編寫腳本來批量修改文本中的字符串。

如果熟悉grep和sed使用方法，兩種可以工具配合使用，通過自行編寫一些批處理腳本來修改文件中的字符串可達到事倍功半的效果；如果不熟悉這兩種工具，也可以通過編寫腳本代碼達到同樣的效果。

3.2 處理方法

（1）字符串工具

通過提取特征字符串來識別網(wǎng)頁木馬。如通過grep工具提取特征字符串，具體命令為：grep -E "iframe|frame" *.asp，即檢測當前目錄下所有含iframe或frame字符串的asp文件，返回所在行的值；或者grep frame *.asp | grep src,即檢測當前目錄下既有frame字符串又有src字符串的asp文件，返回所在行的值。如果要檢測子目錄可以加上-S參數(shù)。

根據(jù)返回的結果可以將既定的木馬格式字符串用sed工具批量刪除，具體命令為：sed -i s/木馬字符串//g ./*.asp，表示將所有asp文件中木馬字符串全部刪除，-i 表示操作的是文件，g表示一行中有多個木馬字符串的時，都替換，而不是僅替換第一個。

grep和sed工具也可以配合使用，如sed -i s/木馬字符串/ /g "grep -Sl木馬字符串 *.asp",即將當前目錄下（包括子目錄）的所有asp文件中的木馬字符串刪除，""括起來的grep命令，表示將grep命令的的結果作為操作文件，-l表示僅列出符合條件的文件名，用來傳給sed命令做操作。此外，也可以編輯一些批處理腳本來批量執(zhí)行相關的命令。

（2）網(wǎng)頁編程

以asp語言為例，總體思路就是通過循環(huán)遍歷的方式對目錄中每一個文件內(nèi)容進行字符串匹配，根據(jù)得到的結果做相應的處理。

利用FSO（文件系統(tǒng)對象）組件，可以直接調(diào)用所在文件系統(tǒng)進行操作（如增、刪、改）。核心代碼如下所示：

<%

'On Error Resume Next

Function BianLi(Path) '遍歷遞歸搜索所有文件

Dim fs,ObjFolder,ObjFile 'Fso對象,子目錄對象,文件對象

Set fs=Server.CreateObject("scripting.filesystemObject") '創(chuàng)建讀寫對象

For Each ObjFile in fs.GetFolder(Path).Files '讀取當前目錄下的文件

if right(ObjFile.Name,4)=".asp" then

Response.Write ObjFile.Name&"
"

End If

Next

For Each ObjFolder In fs.GetFolder(Path).SubFolders '讀取子目錄

BianLi(Path & "" & ObjFolder.Name) '調(diào)用遞歸搜索子目錄完整路徑

Next

End Function

%>

該代碼表示遞歸搜索系統(tǒng)路徑目錄下（包括子目錄）所有asp文件并返回文件的名稱。根據(jù)得到結果嵌套循環(huán)讀取文件內(nèi)容，匹配相應的字符串，核心代碼如下所示：

<%

set fs=server.createobject("scripting.filesystemobject")

file=server.mappath("filename")

set txt=fs.opentextfile(file,1,true)

Do while not txt.atendofstream

line=txt.readline

line=Replace(line,"<%","")

line=Replace(line,"%"&">","")

response.write line & "
" ‘插入字符串處理代碼

loop

%>

該代碼逐行讀取數(shù)據(jù)，通過instr和relpace等函數(shù)操作相應的字符串達到處理網(wǎng)頁木馬的效果。根據(jù)平時經(jīng)驗的積累，把所遇到的木馬放入字典庫，定期執(zhí)行一下腳本，確保網(wǎng)站的安全。

4 結束語

隨著防毒技術的發(fā)展，黑客的技術手段也會越來越高明，在做好系統(tǒng)加固的基礎上很可能還會出現(xiàn)更隱蔽的網(wǎng)頁木馬，但是只要熟悉網(wǎng)頁源碼，經(jīng)過認真分析，相信這些網(wǎng)頁木馬都會無所遁形。

[1]張慧琳，鄒維，韓心慧.網(wǎng)頁木馬機理與防御技術[J].軟件學報，2013.

[2]孫匯中.網(wǎng)頁木馬檢測關鍵技術研究[D].北方工業(yè)大學，2016.

[3]位愛伶.WEB木馬檢測技術研究[D].哈爾濱工程大學，2016.

江蘇城鄉(xiāng)建設職業(yè)學院校級課題（編號：2017KYC13）。