“菠蘿穴”木馬新變種竟是黑防專版灰鴿子

　　作者：木淼鑫

　　【賽迪網-IT技術報道】“菠蘿穴”木馬家族新成員Packed.PolyCrypt.kl“菠蘿穴”變種kl實為經過特殊處理的“黑防專版”灰鴿子遠程控制木馬。

　　Packed.PolyCrypt.kl“菠蘿穴”變種kl采用“Borland Delphi 6.0 - 7.0”編寫，經過多層加殼保護。

　　“菠蘿穴”變種kl運行後，會自我復制到被感染計算機系統的“%SystemRoot%/”目錄下，重新命名為“twunk_31.exe”，設置文件屬性為“系統、只讀、隱藏”，然後會將原文件進行刪除，以此消除痕跡。

　　“菠蘿穴”變種kl運行後會將惡意代碼注入到新創建的“IExporer.exe”進程中隱密運行。在被感染計算機後台不斷嘗試與控制端(IP地址為：125.42.*.243:8000)進行連接，一旦連接成功，則被感染的計算機系統便會淪為駭客的傀儡主機。駭客通過該木馬，可以向被感染的計算機發送惡意指令，從而執行任意控制操作，其中包括：文件管理、進程控制、注冊表操作、遠程命令執行、屏幕監控、鍵盤監聽、鼠標控制、音頻監控、視頻監控等，會給被感染計算機用戶的個人隱私甚至是商業機密造成不同程度的侵害。

　　駭客還可以向傀儡主機發送大量的病毒、木馬、流氓軟件等惡意程序，從而給用戶構成了更加嚴重的威脅。

　　“菠蘿穴”變種kl會通過在系統注冊表啟動項中添加鍵值“twunk_31.exe”的方式來實現木馬的開機自啟。

　　作為一名站長，如何才能保障網站後台的安全，是一件非常重要的事情。筆者將一些常見的問題整理出來，希望能站長能夠得到幫助。

　　1、後台用戶名和密碼是否是明文保存的？

　　建議增加昵稱字段，區別後台的用戶，同時對用戶名和密碼進行非規范的md5加密，例如加密以後截取15位字串。

　　2、管理成員是否有權限的劃分

　　一旦沒有劃分權限，一個編輯用戶的帳戶失竊也可能為你帶來災難性的後果

　　3、是否有管理日志功能

　　管理日志必須在近幾日無法被刪除，這是分析入侵者入侵手法的重要依據。

　　4、後台入口是否隱秘

　　不要愚蠢地將入口暴露在前台頁面中，也不要使用容易被猜測到的後台入口地址。

　　5、後台頁面是否使用了meta robots協議限制搜索引擎抓取

　　Google工具條，百度工具條，或者不經意間出現的後台鏈接都可能導致你的後台頁面被搜索引擎發現，這時候在meta中寫入禁止抓取的語句是個明智的選擇，但是，切莫將後台地址寫入robots.txt，參照第四點。

　　6、管理頁面是否做了防注入

　　粗心的程序員往往只考慮了前台頁面的注入。

　　7、access是否有自定義數據庫備份功能

　　這是asp+access系統中最臭名昭著的功能，自定義數據庫備份可以讓入侵者輕松獲得webshell

　　8、是否有自定義sql語句執行功能

　　同第7點。

　　9、是否開啟了在線修改模板功能

　　如果沒有必要，建議不要開啟，防止對方輕易插入跨站腳本。

　　10、是否直接顯示用戶提交的數據

　　任何時候，用戶的輸入都是不可信的，設想如果對方輸入了一段惡意js，而你在後台沒有任何防護的情況下就打開？

　　11、編輯器的漏洞是否清除，是否已經去除了無意義的功能

　　最有名的例子就是ewebeditor的數據庫漏洞，默認用戶名密碼漏洞等

　　對於網站後台的安全問題，任何一個環節的疏忽都可能導致災難性的後果，大家須時時注意。