E安全7月26日讯看到网站错误页面（如下）几乎所有人都会立马将其关掉。这一次，请别急着“×”掉这个页面！因为这有可能是黑客伪装的WebShell登录界面。

DF5824E8BDC93D1560C548C351E_A60ECAFF_4A5F1111111111111111111111.jpg

恶意软件分发者，黑客和网络钓鱼诈骗者继续使用在伪造的HTTP错误文档中隐藏其Web外壳登录表单的做法。这些页面假装是HTTP错误，例如404 Not Found或Forbidden，而实际上它们是登录页面，允许攻击者访问Web shell以在服务器上发出命令。

404 Not Found页面是黑客的登录页面

目前，恶意软件传播者、黑客以及网络钓鱼欺诈分子仍将Web Shell登录表单隐藏在伪造的HTTP错误文档当中。这些页面被伪装为HTTP错误内容，例如404 Not Found或者Forbidden，但其实际上属于黑客的登录页面，攻击者能够借此访问Web Shell并在服务器上发出命令。

目前这种状况正持续增加

虽然这种做法并不新鲜，但网络钓鱼专家兼安全研究员nullcookies仍然发现这种利用伪造错误页面来隐藏Web Shell的情况正持续增加。这些Web Shell允许黑客上传恶意软件、网络钓鱼脚本或者其它软件。他表示，“这项技术本身并不新颖，但我发现其近来正出现得愈发频繁。而且除非非常熟悉这类手段，否则人们很容易受到蒙蔽。”

研究人员nullcookies展示了一些使用此类伪造错误页面的示例网页，乍看之下人们确实会认为这只是一个标准的404网页不存在提示页面。

353C5462BDE578C63FBB3A4F753_1D73BB83_377922222222222222222.jpg

伪造的404 Not Found页面

发现404，或许就能发现黑客

但只要深入挖掘并查看页面的来源，我们就会在后台看到完全不同的页面内容。源页面上包含一份登录表单，攻击者利用CSS将其隐藏了起来，登录提示被放在页面底部且删除了对应的滚动条，这样访问者就不会向下滚动并查看到这部分内容。

9937F98BDF93D8B1728B81D15AE_7B6EA10B_827C333333333333333.jpg

伪造的404 Not Found源页面

如果继续使用向下翻页键，则可看到其中的登录表单。

02FC908B7ECC8A4B1851E7A79A5_E7EE5697_2B4F44444444444.jpg

伪造的404 Not Found页面中的登录提示

这种状况中特别的是存在一个页面中使用了“Forbidden”错误信息。与伪造的404页面一样，其中同样隐藏有一份登录表单，但攻击者再次使用创造性的方法隐藏了输入字段。

AA5783511B2BCD4189DF87F271E_1BB0E889_3B875555555555.jpg

伪造的Forbidden错误页面

在此页面中，攻击者完全隐藏了表单字段，即使我们向下滚动亦无法看到。相反，大家必须确切知道它的位置或标签，才能访问该表单。

F07DF2DF67BE30BB0D007C7D011_149D4548_42FD66666666666666.jpg

隐藏的密码字段

根据研究人员nullcookies的介绍，隐藏在这些伪造错误页面中的Web Shell往往会对负责清理网络钓鱼内容的系统管理员构成严重威胁，因为他们往往意识到某一页面中隐藏着可令攻击者轻松重新感染目标站点的Web Shell。

请及时清除错误页面

nullcookies解释称“有些人可能没有留意这些页面，因为他们没有意识到这些页面需要及时清除。也正因为如此，才会出现网站管理员在清理了全部网络钓鱼内容并锁定系统之后，部分攻击者仍能卷土重来的状况。”

也就是说，如果您收到显示您的网站遭到入侵的报告，并在调查当中看到了错误页面，请千万不要想当然地认为这些页面完全合法，请以谨慎的态度检查其源代码以进一步做出判断。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/559752943.shtml