E安全7月26日讯 看到网站错误页面（如下）几乎所有人都会立马将其关掉。这一次，请别急着“×”掉这个页面！因为这有可能是黑客伪装的 WebShell 登录界面。

恶意软件分发者，黑客和网络钓鱼诈骗者继续使用在伪造的 HTTP 错误文档中隐藏其 Web 外壳登录表单的做法。 这些页面假装是HTTP 错误，例如 404 Not Found 或 Forbidden，而实际上它们是登录页面，允许攻击者访问Web shell以在服务器上发出命令。

 

404 Not Found页面是黑客的登录页面

目前，恶意软件传播者、黑客以及网络钓鱼欺诈分子仍将 Web Shell 登录表单隐藏在伪造的 HTTP 错误文档当中。这些页面被伪装为 HTTP 错误内容，例如 404 Not Found 或者 Forbidden，但其实际上属于黑客的登录页面，攻击者能够借此访问 Web Shell 并在服务器上发出命令。

目前这种状况正持续增加

虽然这种做法并不新鲜，但网络钓鱼专家兼安全研究员 nullcookies 仍然发现这种利用伪造错误页面来隐藏 Web Shell 的情况正持续增加。这些 Web Shell 允许黑客上传恶意软件、网络钓鱼脚本或者其它软件。他表示，“这项技术本身并不新颖，但我发现其近来正出现得愈发频繁。而且除非非常熟悉这类手段，否则人们很容易受到蒙蔽。”

研究人员 nullcookies 展示了一些使用此类伪造错误页面的示例网页，乍看之下人们确实会认为这只是一个标准的404网页不存在提示页面。

伪造的 404 Not Found页面

发现404，或许就能发现黑客

但只要深入挖掘并查看页面的来源，我们就会在后台看到完全不同的页面内容。源页面上包含一份登录表单，攻击者利用 CSS 将其隐藏了起来，登录提示被放在页面底部且删除了对应的滚动条，这样访问者就不会向下滚动并查看到这部分内容。

伪造的 404 Not Found源页面

如果继续使用向下翻页键，则可看到其中的登录表单。

伪造的404 Not Found页面中的登录提示

这种状况中特别的是存在一个页面中使用了“Forbidden”错误信息。与伪造的404页面一样，其中同样隐藏有一份登录表单，但攻击者再次使用创造性的方法隐藏了输入字段。

伪造的Forbidden错误页面

在此页面中，攻击者完全隐藏了表单字段，即使我们向下滚动亦无法看到。相反，大家必须确切知道它的位置或标签，才能访问该表单。

隐藏的密码字段

根据研究人员 nullcookies 的介绍，隐藏在这些伪造错误页面中的 Web Shell 往往会对负责清理网络钓鱼内容的系统管理员构成严重威胁，因为他们往往意识到某一页面中隐藏着可令攻击者轻松重新感染目标站点的 Web Shell。

请及时清除错误页面

nullcookies 解释称“有些人可能没有留意这些页面，因为他们没有意识到这些页面需要及时清除。也正因为如此，才会出现网站管理员在清理了全部网络钓鱼内容并锁定系统之后，部分攻击者仍能卷土重来的状况。”

也就是说，如果您收到显示您的网站遭到入侵的报告，并在调查当中看到了错误页面，请千万不要想当然地认为这些页面完全合法，请以谨慎的态度检查其源代码以进一步做出判断。