作者：木淼鑫

　　【赛迪网-IT技术报道】“菠萝穴”木马家族新成员Packed.PolyCrypt.kl“菠萝穴”变种kl实为经过特殊处理的“黑防专版”灰鸽子远程控制木马。

　　Packed.PolyCrypt.kl“菠萝穴”变种kl采用“Borland Delphi 6.0 - 7.0”编写，经过多层加壳保护。

　　“菠萝穴”变种kl运行后，会自我复制到被感染计算机系统的“%SystemRoot%/”目录下，重新命名为“twunk_31.exe”，设置文件属性为“系统、只读、隐藏”，然后会将原文件进行删除，以此消除痕迹。

　　“菠萝穴”变种kl运行后会将恶意代码注入到新创建的“IExporer.exe”进程中隐密运行。在被感染计算机后台不断尝试与控制端(IP地址为：125.42.*.243:8000)进行连接，一旦连接成功，则被感染的计算机系统便会沦为骇客的傀儡主机。骇客通过该木马，可以向被感染的计算机发送恶意指令，从而执行任意控制操作，其中包括：文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等，会给被感染计算机用户的个人隐私甚至是商业机密造成不同程度的侵害。

　　骇客还可以向傀儡主机发送大量的病毒、木马、流氓软件等恶意程序，从而给用户构成了更加严重的威胁。

　　“菠萝穴”变种kl会通过在系统注册表启动项中添加键值“twunk_31.exe”的方式来实现木马的开机自启。

　　作为一名站长，如何才能保障网站后台的安全，是一件非常重要的事情。笔者将一些常见的问题整理出来，希望能站长能够得到帮助。

　　1、后台用户名和密码是否是明文保存的？

　　建议增加昵称字段，区别后台的用户，同时对用户名和密码进行非规范的md5加密，例如加密以后截取15位字串。

　　2、管理成员是否有权限的划分

　　一旦没有划分权限，一个编辑用户的帐户失窃也可能为你带来灾难性的后果

　　3、是否有管理日志功能

　　管理日志必须在近几日无法被删除，这是分析入侵者入侵手法的重要依据。

　　4、后台入口是否隐秘

　　不要愚蠢地将入口暴露在前台页面中，也不要使用容易被猜测到的后台入口地址。

　　5、后台页面是否使用了meta robots协议限制搜索引擎抓取

　　Google工具条，百度工具条，或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现，这时候在meta中写入禁止抓取的语句是个明智的选择，但是，切莫将后台地址写入robots.txt，参照第四点。

　　6、管理页面是否做了防注入

　　粗心的程序员往往只考虑了前台页面的注入。

　　7、access是否有自定义数据库备份功能

　　这是asp+access系统中最臭名昭著的功能，自定义数据库备份可以让入侵者轻松获得webshell

　　8、是否有自定义sql语句执行功能

　　同第7点。

　　9、是否开启了在线修改模板功能

　　如果没有必要，建议不要开启，防止对方轻易插入跨站脚本。

　　10、是否直接显示用户提交的数据

　　任何时候，用户的输入都是不可信的，设想如果对方输入了一段恶意js，而你在后台没有任何防护的情况下就打开？

　　11、编辑器的漏洞是否清除，是否已经去除了无意义的功能

　　最有名的例子就是ewebeditor的数据库漏洞，默认用户名密码漏洞等

　　对于网站后台的安全问题，任何一个环节的疏忽都可能导致灾难性的后果，大家须时时注意。