加入收藏 | 设为首页 | 会员中心 | 我要投稿 辽源站长网 (https://www.0437zz.com/)- 云专线、云连接、智能数据、边缘计算、数据安全!
当前位置: 首页 > 站长学院 > Asp教程 > 正文

《动网论坛》如何查杀和防范木马[图]

发布时间:2020-12-26 08:17:06 所属栏目:Asp教程 来源:网络整理
导读:首先,在这里感谢"黑客"们,动网发展的过程中确实抹不去他们的身影。这里之所以打上引号,并没有贬低的意思,而是指那些真正精通代码的,凭自己精深的技术发现和利用程序漏洞的人,他们一般并不做什么破坏,只是在研究中找到乐趣。我个人认为正是他们的存在
关键词 可能性 解决方法 动网包含此
关键词的文件 VBScript.Encode 100% 删除 无 海洋 100% 删除 无 稻香 100% 删除 无 冰点 100% 删除 无 0D43FE01-F093-11CF-8940-00A0C9054228 100% 删除 无 093FF999-1EA0-4079-9525-9614C3504B74 100% 删除 无 72C24DD5-D70A-438B-8A42-98424B88AFB8 100% 删除 无 CreateTextFile 100% 删除 无 eval(r 100% 删除 无 Execute request 100% 删除或替换 无
一般是在正常文件中加入如
execute request("x")
来执行非正常代码
建议替换 Execute session 100% 删除或替换 无,同上 OpenTextFile 100% 删除 无 WriteLine 100% 删除 无 WSCRIPT 100% 删除 无 5xSoft 100% 删除 无 Scripting.Dictionary 100% 删除 无 Request.BinaryRead 100% 删除 无 DeleteFile 90% 删除或替换 admin_bbsface.asp
admin_data.asp
admin_postings.asp
admin_uploadlist.asp
admin_upUserface.asp
upfile.asp MoveFile 90% 删除或替换 reg.asp Getfile 90% 删除或替换 reg.asp
showimg.asp
viewfile.asp =VBS 90% 删除或替换 Dv_ubbcode.asp

如果您对服务器有操作权,建议您再做如下设置:

进入站点属性,选主目录,点配置,将不需要的脚本映射全部删除,一般只保留.asp就可以了,其它的全部可以删除,图7。

(编辑:辽源站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

副标题[/!--empirenews.page--]

首先,在这里感谢"黑客"们,动网发展的过程中确实抹不去他们的身影。这里之所以打上引号,并没有贬低的意思,而是指那些真正精通代码的,凭自己精深的技术发现和利用程序漏洞的人,他们一般并不做什么破坏,只是在研究中找到乐趣。我个人认为正是他们的存在促进了技术的快速发展。而对于普遍存在的"工具使用者"一族,他们大多数除了做些捣乱、破坏并自封为黑客等另人厌恶的事情外,似乎一无所长。

言归正传,最近一些黑客研究动网论坛代码发现通过某种欺骗方式可以绕过程序上传任意文件,再利用上传的恶意代码几乎可以做到他想做的一切事情。这个漏洞影响的动网论坛版本是7.0sp2以前的所有版本,同时理论上也影响任意使用了类似程序开发的所有站点。针对此漏洞,动网强烈建议您马上升级到最新版本,相关地址如下:

http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=704362&page=1

如果你不幸已经中标,我根据经验提供一些针对动网论坛的简单的查杀恶意代码(木马)的方法,查杀的效果和你付出的细心程度是成正比的,准备好你的耐心,跟我一步步走。

俗话说知己知彼,百站百胜。要想查木马,首先要了解自己的网站结构,其次要了解木马大概的组成。一个好的网站结构能快速的确定非法的文件,一个糟糕的结构会让你自己都头晕,简单来说就是文件分类归放,及时删除过期的和测试的文件,这个话题不是我们今天的重点,有兴趣的朋友请自行查找。木马的构成就复杂多变了,一般会根据功能的不同而以各种形式出现,小一点的用几十个字符就可以搞定。要查木马不需要很多工具,一个Ftp软件加上Windows自带的搜索功能,再有个文本编辑器如Windows带的记事本就齐备了。Ftp软件建议用FlashFXP,在查木马方面他有些功能比较实用。

2004-5-26 21:10:36,小黑告诉我他的论坛首页被人改了,我马上登陆他的网站,发现论坛首页文件被改,找他要来Ftp帐号密码,登陆Ftp仔细查看。他的空间只放了一个动网论坛,根据页面被改的情况分析应该是被人上传了木马程序修改,于是我打开FlashFxp,选择工具,选择在FTP服务器上查找文件,图1。

《动网论坛》如何查杀和防范木马[图]


一般木马应该是asp文件,我在名称那里输入*.asp,点立即查找,图2。

《动网论坛》如何查杀和防范木马[图]


耐心等待了一会,结果出来了,我点了一下"于文件夹"让查找的文件以文件夹方式排列。由于采用的是动网论坛,网站结构比较清晰,除了根目录和INC目录外,其它目录不应该存在任何asp文件,现在在UploadFace目录下存在一个可疑文件haha.asp,我又点了一下"修改时间"以最后修改时间排列,发现这个文件是最新修改过的,确实非常可疑,为了不错删,于是我选中它,在选查看,用查看源代码的方式确定它确实是个木马程序,既然确定了就不要犹豫,删!图3。

《动网论坛》如何查杀和防范木马[图]

想到IIS还映射了其它类型的文件被asp.dll解释,我就如图2般又搜索了*.cer,*.cdx,*.asa,*.htr,这些文件找到一个就删一个,因为程序根本用不着他们。


嘿嘿,没想到没用2分钟就解决了问题,我正在得意,突然想到如果黑客修改了正常的文件增加了恶意代码怎么办?文件内容用Ftp可没办法查,只能全部下回来了查了,upload那几个目录有好几百M,我就不下了,只要确保里边没有asp等可执行文件就行,数据库也不用下了,其它文件都通通下回来。图4。

《动网论坛》如何查杀和防范木马[图]

小黑在催我了,他想论坛尽快开通,他用的是官方原版程序,我就先删除老程序,图5,

《动网论坛》如何查杀和防范木马[图]


然后下载最新的动网论坛7.0sp2,还是将根目录和刚才删除的那些目录的文件上传上去,不上传数据库,很快就传完恢复了论坛,再三叮嘱他不要安装插件或其它程序后,我专心研究下载回来的文件去了。


打开Windows的搜索功能,要搜索的文件名写*.asp,想到很多木马都有这行代码"LANGUAGE = VBScript.Encode",而动网论坛是不用这行代码的,于是我输入"VBScript.Encode"来查找所有含有"VBScript.Encode"的asp文件,嘿嘿,果然找到几个,图6。

《动网论坛》如何查杀和防范木马[图]


当然,也不是所有木马都一定要用这行代码,继续搜关键词来判断是否木马。列出一些关键词供参考。

我提供的关键词不一定是最全的,希望有经验的朋友继续提供,我会随时更新关键词列表。

推荐文章
    热点阅读