404 出錯了！-工業電器網

新聞動態

日期：2023-04-24 09:41:50

[聞蜂導讀]E安全7月26日訊看到網站錯誤頁面（如下）幾乎所有人都會立馬將其關掉。這一次，請別急著“×”掉這個頁面！因為這有可能是黑客偽裝的WEBSHELL登錄界面。惡意軟件分發者，黑客和網絡釣魚詐騙者繼續使用在偽造的HTTP錯誤文檔中隱藏其WEB外殼登錄表單的做法。這些頁面假裝是HTTP錯誤，例如404NOTFOUND或FORBIDDEN，而實際上它們是登錄頁面，允許攻擊者訪問WEBSHELL以在服務器上發出命令。目前，惡意軟件傳播者、黑客以及網絡釣魚欺詐分子仍將WEBSHELL登錄表單隱藏在偽造的HTTP錯誤文檔當中。這些頁面被偽裝為HTTP錯誤內容，例如404NOTFOUND或者FORBIDDEN，但其實際上屬于黑客的登錄頁面，攻擊者能夠借此訪問WEBSHELL并在服務器上發出命令。雖然這種做法并不新鮮，但網絡釣魚專家兼安全研究員NULLCOOKIES仍然發現這種利用偽造錯誤頁面來隱藏WEBSHELL的情況正持續增加。這些WEBSHELL允許黑客上傳惡意軟件、網絡釣魚腳本或者其它軟件。他表示，“這項技術本身并不新穎，但我發現其近來正出現得愈發頻繁。而且除非非常熟悉這類手段，否則人們很容易受到蒙蔽。”研究人員NULLCOOKIES展示了一些使用此類偽造錯誤頁面的示例網頁，乍看之下人們確實會認為這只是一個標準的404網頁不存在提示頁面。但只要深入挖掘并查看頁面的來源，我們就會在后臺看到完全不同的頁面內容。源頁面上包含一份登錄表單，攻擊者利用CSS將其隱藏了起來，登錄提示被放在頁面底部且刪除了對應的滾動條，這樣訪問者就不會向下滾動并查看到這部分內容。這種狀況中特別的是存在一個頁面中使用了“FORBIDDEN”錯誤信息。與偽造的404頁面一樣，其中同樣隱藏有一份登錄表單，但攻擊者再次使用創造性的方法隱藏了輸入字段。在此頁面中，攻擊者完全隱藏了表單字段，即使我們向下滾動亦無法看到。相反，大家必須確切知道它的位置或標簽，才能訪問該表單。根據研究人員NULLCOOKIES的介紹，隱藏在這些偽造錯誤頁面中的WEBSHELL往往會對負責清理網絡釣魚內容的系統管理員構成嚴重威脅，因為他們往往意識到某一頁面中隱藏著可令攻擊者輕松重新感染目標站點的WEBSHELL。NULLCOOKIES解釋稱“有些人可能沒有留意這些頁面，因為他們沒有意識到這些頁面需要及時清除。也正因為如此，才會出現網站管理員在清理了全部網絡釣魚內容并鎖定系統之后，部分攻擊者仍能卷土重來的狀況。”也就是說，如果您收到顯示您的網站遭到入侵的報告，并在調查當中看到了錯誤頁面，請千萬不要想當然地認為這些頁面完全合法，請以謹慎的態度檢查其源代碼以進一步做出判斷。