恶意软件传播者,黑客和网络钓鱼诈骗者继续使用在伪造HTTP错误文档中隐藏其Web外壳登录表单的做法。这些页面假装是HTTP错误,例如404 Not Found或Forbidden,而实际上它们是登录页面,从而允许攻击者访问Web shell以在服务器上发出命令。
虽然这种做法并不新鲜,但网络钓鱼专家和安全研究员 nullcookies 已经注意到使用这些类虚假错误页面来隐藏Web shell的情况有所增加。这些Web shell允许黑客上传恶意软件,网络钓鱼脚本或其他软件。
“这项技术并不新鲜,”nullcookies告诉Bleeping Computer。“但值得注意的是它们出现得越来越频繁,除非用户熟悉这种技术,否则很容易忽略它们。”
对于这篇文章,nullcookies向我发送了一些使用这些虚假错误页面的网页的示例,乍一看很容易看出有人会认为它们只是一个标准的404错误页面并且页面不存在。
但是,如果我们深入挖掘并查看页面的来源,您可以在后台看到一个非常不同的页面。源显示页面上有一个登录表单,但它使用CSS隐藏,将登录提示放在页面的最底部并删除滚动条,这样您就不会想到向下滚动查看它。
但是,如果使用向下翻页键,登录表单将很快显示。
我们发送了使用“Forbidden”错误消息的另一个页面。就像假的404页面一样,这也隐藏了一个登录表单,但攻击者再次使用新型方法来隐藏输入字段。
在此页面中,攻击者完全隐藏了表单字段,因此即使您尝试向下滚动,也不会看到它。相反,您需要通过确切地知道它的位置或标签来访问表单字段。
nullcookies表示,隐藏在这些伪造错误页面后面的网络外壳对可能清理网络钓鱼安装的系统管理员构成了特别的危险,但是没有意识到网站上的另一个页面隐藏了一个可以让攻击者轻易地重新获取网站的网络外壳。
“某些公司的人会不小心忽略这些组织,因为他们不会意识到优先要删除的东西,”nullcookies告诉Bleeping Computer。“这就是即使在网站管理员或任何人解决网络钓鱼问题并试图锁定一切之后,一些网络钓鱼仍然会重新出现的原因。
话虽如此,如果您收到的报告表明您的网站遭到入侵并且您进行了调查,请不要理所当然的认为错误页面是合法的,应该通过检查来源并进一步调查。
领取专属 10元无门槛券
私享最新 技术干货