恶意软件分销商、黑客和网络钓鱼诈骗继续将他们的网络外壳登录表单隐藏在伪造的HTTP错误文档中。这些页面假装是HTTP错误,比如404 Not Found或禁地,其实是登录页面,允许攻击者访问Web shell在服务器上发出命令。
404未找到页面是黑客的登录页面
目前,恶意软件传播者、黑客、钓鱼诈骗者仍将Web Shell登录表单隐藏在伪造的HTTP错误文档中。这些页面伪装成HTTP错误内容,如404未找到或禁止,但它们实际上属于黑客的登录页面,攻击者可以通过该页面访问Web Shell并在服务器上发出命令。
目前,这种情况不断增加
虽然这种做法并不新鲜,但网络钓鱼专家和安全研究人员nullcookies仍然发现,使用假的错误页面来隐藏Web Shell的情况越来越多。这些网络外壳允许黑客上传恶意软件、网络钓鱼脚本或其他软件。他说:“这项技术本身并不新,但我发现它最近出现得越来越频繁。而且除非你非常熟悉这样的手段,否则人很容易被蒙蔽。”
研究人员nullcookies展示了一些使用这种假错误页面的示例网页。乍一看,人们真的认为这只是一个没有提示页面的标准404网页。
如果你找到404,你可能会找到黑客
但是只要我们深挖一下,看看页面的来源,就会在后台看到完全不同的页面内容。源页面包含一个登录表单,攻击者使用CSS隐藏该表单。登录提示放在页面底部,删除对应的滚动条,这样访客就不会向下滚动查看这一部分。
如果您继续使用向下翻页键,您可以看到登录表单。
在这种情况下,页面中会使用错误消息“禁止”。和假404页面一样,里面也隐藏了一个登录表单,但是攻击者通过创造性的方法再次隐藏了输入字段。
在这个页面中,攻击者完全隐藏了表单字段,即使我们向下滚动,也看不到它们。相反,在访问表单之前,您必须确切知道它的位置或标签。
据研究人员nullcookies称,隐藏在这些虚假错误页面中的Web Shell经常对负责清理网络钓鱼内容的系统管理员构成严重威胁,因为他们经常意识到某个页面中隐藏着一个Web Shell,很容易重新感染目标站点。
请及时清除错误页面
Nullcookies解释说,“有些人可能没有注意到这些页面,因为他们没有意识到这些页面需要及时清除。也正是因为如此,一些攻击者在站长清理完所有钓鱼内容并锁定系统后,仍然可以卷土重来。”
也就是说,如果你收到一份显示你的网站被入侵的报告,并且在调查中看到了错误的页面,请不要假设这些页面是完全合法的,请仔细检查源代码以作出进一步的判断。
