网站可疑脚本/iframe注入防范和监控技巧

根据不完全统计，超过九成的网站都被挂过马，挂马是指在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是利用浏览器漏洞执行的代码，用户访问被挂马的页面时，如果系统或者客户端没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险操作。

当然随着目前浏览器和操作系统安全性日益提高，目前挂马主要是为了商业利益，有的挂马是为了赚取流量，有的是为了获取和收集用户信息，不管是处于那种目的，对于访问被挂马的网站来说都是一种潜在的威胁，除了可能导致网站运行出现风险，同时也影响网站形象。

一般网站被挂马主要有以下几种情况：

一、通过 iframe 框架标签（常见）

<iframe src=url width=0 height=0></iframe>

二、通过js文件（常见）

<script language=javascript src=bad.js></script>

document.write("<iframe width='0' height='0' src=url></iframe>");

三、图片伪装

<html>
<iframe src="网马地址" height=0 width=0></iframe>
<img src="图片地址"></center>
</html>

四、body挂马

<body onload="window.location='地址';"></body>

可以看出上述的几种挂马方式大多数还是依靠隐藏或者伪装js进行，如果细心排查还是可以发现的。当然，这些挂马方式并非是无解的，可以通过以下方式来解决：

1、设置文件或文件夹的读写权限，把只需要读取的文件尽量设置为只读状态，避免服务器被恶意提权后修改网页文件。

2、使用第三方的安全防御，个人推荐云防御，比如云盾，但是费用较高，一般网站主可能都不太愿意，毕竟网站可能大多数人来说还是爱好，不希望投入太多。

3、云主机上面安装客户端来防御，但是门槛较高，比较复杂。

4、推荐一款免费的网站监控工具（灵雀应用监控平台 https://perf.51.la），虽然暂时不能做到拦截挂马行为，但是提前监控到被挂马的情况还是能防范绝大多数情况的，笔者试用了一下还是感觉比较实用的，有兴趣的朋友可以体验一下。