404 Not Found頁面是hk的登錄頁面
目前,惡意軟件傳播者、hk以及網絡釣魚欺詐分子仍將 Web Shell 登錄表單隱藏在偽造的 HTTP 錯誤文檔當中。這些頁面被偽裝為 HTTP 錯誤內容,例如 404 Not Found 或者 Forbidden,但其實際上屬於hk的登錄頁面,攻擊者能夠借此訪問 Web Shell 並在服務器上發出命令。
目前這種狀況正持續增加
雖然這種做法並不新鮮,但網絡釣魚專家兼安全研究員 nullcookies 仍然發現這種利用偽造錯誤頁面來隱藏 Web Shell 的情況正持續增加。這些 Web Shell 允許hk上傳惡意軟件、網絡釣魚腳本或者其它軟件。他表示,“這項技術本身並不新穎,但我發現其近來正出現得愈發頻繁。而且除非非常熟悉這類手段,否則人們很容易受到蒙蔽。”
研究人員 nullcookies 展示了一些使用此類偽造錯誤頁面的示例網頁,乍看之下人們確實會認為這只是一個標准的404網頁不存在提示頁面。
發現404,或許就能發現hk
但只要深入挖掘並查看頁面的來源,我們就會在后台看到完全不同的頁面內容。源頁面上包含一份登錄表單,攻擊者利用 CSS 將其隱藏了起來,登錄提示被放在頁面底部且刪除了對應的滾動條,這樣訪問者就不會向下滾動並查看到這部分內容。
解決方式:
1、對於存在的網頁內容由於路徑改變而導致訪問不了時,可在IIS 中定義404錯誤指向一個動態頁面,在頁面里面使用301永久重定向跳轉到新的地址,此時服務器返回301狀態碼。
2、設置404指向一個設計好的html 文件,此時頁面返回的404狀態碼。 idc提供商基本都提供404設置的功能,直接上傳文件設置即可。
在IIs中設置方法:
打開IIS管理器–>點擊要設置自定義404的網站的屬性–>點擊自定義錯誤選項–>選中404頁–>選中並打開編輯屬性–>設置成 URL --> URL 里填寫“/err404.html”–>按確定退出再把做好的err404.html 頁面上傳到網站根目錄下。此處在“消息類型”中一定要選擇“文件”或“默認值”,而不要選擇“URL”,不然,將導致返回“200”狀態碼。
3、404指向一個動態頁面,比如error.asp,如果不在頁面里面進行設置,僅僅是返回提示的HTML 代碼,將導致頁面返回200 狀態碼,這是不正確的,可以在顯示完提示內容后,增加語句: Response.Status=“404 Not Found” ,這樣就保證頁面返回404狀態碼。
4、Apache下設置404錯誤頁面。為Apache Server設置404錯誤頁面的方法很簡單,只需在.htaccess 文件中加入如下內容即可,ErrorDocument 404 /notfound.php。