網(wǎng)站安檢:網(wǎng)馬亦“網(wǎng)”馬之簡談
時(shí)間:2022-08-25 05:09:01 | 來源:建站知識(shí)
時(shí)間:2022-08-25 05:09:01 來源:建站知識(shí)
大家看到這個(gè)標(biāo)題一定會(huì)很有感覺吧�,是否有些疑惑呢?首先我來解釋下標(biāo)題的意思��。
第一個(gè)“網(wǎng)馬”指的是網(wǎng)頁木馬�,就是黑客口中所謂的webshell。那什么又是webshell呢?其實(shí)wenshell說穿了就是黑客入侵一個(gè)網(wǎng)站之后在這個(gè)網(wǎng)站目錄里留下的后門����,不過這個(gè)后門是一個(gè)網(wǎng)頁,webshell功能很強(qiáng)大�,可以列出網(wǎng)站的所有目錄,可以任意更改新建甚至刪除網(wǎng)站上的文件�。往往網(wǎng)站被掛馬就是通過這種后門實(shí)現(xiàn)的,當(dāng)然webshell還有其他更多強(qiáng)大的功能��,比如掃描端口���、連接數(shù)據(jù)庫����、甚至通過此后門拿到服務(wù)器最高權(quán)限等等��。而標(biāo)題上第二個(gè)“網(wǎng)馬”的意思是網(wǎng)住木馬��,就是揪出網(wǎng)頁木馬的意思�。
相信很多站長都有被掛馬的經(jīng)歷吧�,那是讓人不齒的行為��,更為所有站長所痛恨�����。被掛馬確實(shí)是件令人頭疼的事情���。首頁被掛馬也就算了,最讓人難以忍受的就是所有的網(wǎng)頁都被掛馬����。難道要我們挨個(gè)去查找么。愚公移山的那種笨勁兒咱可不能有��。接下來我就給大家講講如何通過網(wǎng)馬(webshell)來揪出網(wǎng)站的后門木馬���。
曾經(jīng)年少輕狂的我為追求黑客做出過巨大的努力���,雖一事無成卻也多少學(xué)了點(diǎn)東西。首先聲明下�,本人從未掛過馬。切入正題吧�。其實(shí)很簡單���,很多后門網(wǎng)馬都有這么一個(gè)功能,就是批量清馬和查找網(wǎng)馬����,本來黑客開發(fā)出這種木馬是為了清除其他黑客留下的木馬進(jìn)而能夠獨(dú)占這個(gè)網(wǎng)站。而到我們站長手里就變成了清除所有網(wǎng)馬的利器�����。
我就拿我的一個(gè)asp的網(wǎng)站做實(shí)驗(yàn)�����。首先我在根目錄上傳了兩個(gè)網(wǎng)馬���,一個(gè)是大馬(功能強(qiáng)大)一個(gè)小馬(僅有上傳功能)�,暫且命名為dama.asp和xiaoma.asp���。這就是模擬一個(gè)黑客入侵你的網(wǎng)站后留下的后門���。看我如何網(wǎng)住這兩個(gè)木馬���。
我將一個(gè)網(wǎng)馬(webshell����,命名為520.asp)上傳到網(wǎng)站上,并進(jìn)入這個(gè)網(wǎng)頁木馬��,如下所示
看到上面的功能沒?有個(gè)查找文件-木馬�,點(diǎn)進(jìn)去
直接點(diǎn)擊 開始掃描,稍等片刻就會(huì)列出結(jié)果如下
| 文件相對(duì)路徑 | 特征碼 | 描述 | 創(chuàng)建/修改時(shí)間 |
D:/www/15946/520.ASP
Edit Down Del Copy Move | (vbscript|jscript|javascript).Encode | 似乎腳本被加密了 | 2009-4-21 12:40:39
2009-4-21 12:40:43 |
D:/www/15946/adminggb.asp
Edit Down Del Copy Move | Execute | execute()函數(shù)可以執(zhí)行任意ASP代碼
| 2009-4-19 1:04:48
2009-4-19 1:04:50 |
D:/www/15946/dama.asp
Edit Down Del Copy Move | (vbscript|jscript|javascript).Encode | 似乎腳本被加密了 | 2009-4-21 12:40:48
2009-4-21 12:40:55 |
D:/www/15946/xiaoma.asp
Edit Down Del Copy Move | .CreateTextFile|.OpenTextFile | 使用了FSO的CreateTextFile|OpenTextFile讀寫文件 | 2009-4-21 12:43:57
2009-4-21 12:43:58 |
| -同上- | CreateObject | CreateObject函數(shù)使用了變形技術(shù) | 2009-4-21 12:43:57
2009-4-21 12:43:58 |
D:/www/15946/class/dbconn.asp
Edit Down Del Copy Move | Execute | execute()函數(shù)可以執(zhí)行任意ASP代碼
| 2009-4-19 1:00:27
2009-4-19 1:00:27 |
D:/www/15946/class/upload.asp
Edit Down Del Copy Move | .SaveToFile | 使用了Stream的SaveToFile函數(shù)寫文件 | 2009-4-19 1:00:37
2009-4-19 1:00:38 |
D:/www/15946/lang/admingg.asp
Edit Down Del Copy Move | Execute | execute()函數(shù)可以執(zhí)行任意ASP代碼
| 2009-4-19 1:00:50
2009-4-19 1:00:51 |
D:/www/15946/source/src_admin.asp
Edit Down Del Copy Move | CreateObject | CreateObject函數(shù)使用了變形技術(shù) | 2009-4-19 1:01:02
2009-4-19 1:01:08 |
D:/www/15946/source/src_adminggb.asp
Edit Down Del Copy Move | CreateObject | CreateObject函數(shù)使用了變形技術(shù) | 2009-4-19 1:01:09
2009-4-19 1:01:11 |
結(jié)果出來了�,不過似乎腳本被加密了,這樣的一看就知道是木馬�����,因?yàn)槲覀冏鼍W(wǎng)站這些動(dòng)態(tài)網(wǎng)頁我們根本不可能去加密��,黑客加密它是為了防止被殺毒軟件殺掉以起到免殺的目的��。那是dama.asp和我自己上傳的查網(wǎng)馬的木馬520.asp���。除此之外xiaoma.asp的描述是“使用了FSO的CreateTextFile|OpenTextFile讀寫文件”,這是小馬的特征�。
網(wǎng)頁木馬就是通過FSO的CreateTextFile|OpenTextFile來創(chuàng)建打開網(wǎng)站上的文件的。當(dāng)然不排除我們自己的網(wǎng)頁也會(huì)有此功能����,這就需要我們進(jìn)去具體查看�,當(dāng)然還有捷徑�����。大家看看不是列出了很多文件吧��,那些東西怎么判斷呢?看后面的創(chuàng)建修改時(shí)間���,其他的文件都是4月19號(hào)的而其中三個(gè)是4月21號(hào)的��,新建的����,這就很容易判定是網(wǎng)馬����,其他的那些文件都是一些系統(tǒng)性的文件,不可能是新日期�。
黑客還有一種手段就是往現(xiàn)有的網(wǎng)頁中插入一句話木馬,這個(gè)判斷起來一樣道理�,就是一句話木馬有執(zhí)行功能一定會(huì)有execute函數(shù),但是我們的網(wǎng)站后臺(tái)文件也會(huì)有此功能����,怎么區(qū)別呢?還是看時(shí)間�,但是要是服務(wù)器權(quán)限設(shè)置的差勁到家了�����,可以被黑客利用起來運(yùn)行EXE文件進(jìn)行修改創(chuàng)建時(shí)間����,這種情況我就不說了。因?yàn)橐悄菢拥脑?����,你可以馬上轉(zhuǎn)移服務(wù)器�,暫停此時(shí)的風(fēng)險(xiǎn)投資了。
還有批量清馬的問題����,很多網(wǎng)頁被掛馬了��,只要找出網(wǎng)馬代碼���,然后點(diǎn)擊 批量清馬在要清的馬后面的框框里填上找到的網(wǎng)頁木馬代碼���,點(diǎn)擊開始執(zhí)行���,即可。如下所示
一般黑客在頁面掛馬都是通過調(diào)用iframe框架將寬和高還有邊框之類的設(shè)置為0����,即隱藏來達(dá)到掛馬目的的。用這一招就可以讓網(wǎng)馬煙消云散了����。
好了,這篇文章到此結(jié)束��。如有疑問�����,可以向我詢問���。QQ:22622467�。
在線咨詢
