asp后门、asp木马大清理
时间:2007-10-03 13:52:00
网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。
一.技巧1:杀毒软件查杀
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。
利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。
二.技巧2:FTP客户端对比
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点意识的入侵者来说,几乎失去效果,因为他们完全可以对asp木马进行伪装,加密,使其躲藏杀毒软件,这样的手法比较多,我个人比较喜欢微软开发个的一个asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比较安全,使代码完全改变,使用也非常简单。只需要在命令下输入:
screnc.exe,得到帮助命令:Usage: screnc [/?] [/s] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根据提示,只需要输入:screnc.exe 要加密的asp木马名 输出的asp木马名,就可以完成加密伪装。
经过加密之后,记事本打开查看,可以看到标签:〈% ……%〉,〈script〉〈/script〉
等标签内的代码成为一些“乱码”,而杀毒软件查杀asp木马是通过搜索关键字来查杀,着阿姨能够显然就躲过查杀。
盛大官方网站被黑,挂的网页木马代码就是利用screnc.exe来加密的,过了好几天才被发现,可见加密伪装手法的高超。
所以要采取另外的措施对付这种加密伪装的asp木马,我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否错出可疑文件。
这里以FlashFXP进行操作讲解。
步骤1:打开FlashFXP,在左边窗口中跳转到本地web备份文件目录,在右边的FTP窗口中跳转到web目录下。
步骤2:点工具栏中的“工具”,选择其中的“比较文件夹命令”,即可进行对比文件夹,速度非常快。
我们可以清楚的看到196个对象被过滤,在FTP空间中多出了这样几个asp文件:.asp,2005.asp等,这十有八九就是入侵者留下的asp后门,打开确认一下即可。


猜你喜欢
常见的 XSS 注入攻击方式 Part.2 2
小软件大乾坤 用美图看看高速优质看图

美图秀秀2.0.6 新增时尚“阿宝”色特效

DedeCMS广告模块修改信息 前台显示未更新的解决方法
淘宝技术发展(Oracle、支付宝、旺旺)
centos7下如何安装ftp服务

Exchange 2007 安装全过程

Apache vs Lighttpd谁更好?

Windows 2000活动目录的安装与配置
如何删除UCenter下某个应用

RedHat7.2下Apache与Tomcat4整合实例
adsense广告管理又添新功能!

centos 安装免费控制面板kloxo步骤
IIS+FastCGI+PHP5.3+MySQL5.1+Gzip详细教程

Discuz! 7.1升级到Discuz! 7.2图文教程

内网建Web服务器的安全问题
DockerHub 镜像仓库的使用详解

当前比较适用的海量小文件系统架构方案
AdSense网页投放几个广告单元收入最高?
三个月让你的网站PR值为5 搜狗PR=43
