最新免杀ASP木马

怎么是ASP大马?它事实上bai就是用asp创写的商店du软件,zhi以致很多daoasp木马就还是由asp卖家领导条件制作带进的。

它和另外asp首要没有本质区别,只如若能开展asp的场地就会开展它,这一种特质惹起ASP木马异常不易被发觉。

它和种种asp情况的识别只其中的奥秘就在于ASP木马是入侵者上流入到希望场所,并互利入侵者完胜目标场地的asp条件。如果你要规避ASP提权大马执行就等于暂息asp的开展,照理这是行不通的,这也同样何故asp木马猖獗的理由!

二、进入经验想要融合,就要把Asp木马后门综合上传到希望的目标范围,这很需要谨慎!每天都会更新很多出来入侵者如何上传ASP大马呢?

来说一些嘲讽,入侵者多是根据目标空间中达到的具备上传效用的asp软件来从而让的。差别啊就当下,这些绝对上传公函的asp软件都要有权限障碍的,大多也难点了asp关键词的上传。(举例说:建议上传搭配方法的传播广告发表、最新免杀ASP木马上流行到目标范围,入侵者即可执行它,完成对目的范围的牵制。

  注意:本文所讲述之设置方法与环境:适用于Microsoft Windows 2000 Server/Win2003 SERVER   IIS5.0/IIS6.0

  1、首先我们来看看一般ASP木马、Webshell所利用的ASP组件有那些?我们以海洋木马为列:

  〈object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"〉〈/object〉

  〈object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"〉〈/object〉

  〈object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74"〉〈/object〉

  〈object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B"〉〈/object〉

  〈object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"〉〈/object〉

  shellStr="Shell"

  applicationStr="Application"

  if cmdPath="wscriptShell"

  set sa=server.createObject(shellStr&"."&applicationStr)

  set streamT=server.createObject("adodb.stream")

  set domainObject=GetObject("WinNT://.")

  以上是海洋中的相关代码,从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件:

  ① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)

  ② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)

  ③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)

  ④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

  ⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)

  ⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

  ⑦ Shell.applicaiton....

  hehe,这下我们清楚了危害我们WEB SERVER IIS的最罪魁祸首是谁了!!开始操刀,come on...

  2:解决办法:

  ① 删除或更名以下危险的ASP组件:

  WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application

  开始------->运行--------->Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上 Wscript.Shell等组件名称以及相应的ClassID,然后进行删除或者更改名称(这里建议大家更名,如果有部分网页ASP程序利用了上面的组 件的话呢,只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些 ^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后,iisreset重启IIS后即可升效。)

  [注意:由于Adodb.Stream这个组件有很多网页中将用到,所以如果你的服务器是开虚拟主机的话,建议酢情处理。]

  ② 关于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的安全问题,如果您的服务器必需要用到 FSO的话,(部分虚拟主机服务器一般需开FSO功能)可以参照本人的另一篇关于FSO安全解决办法的文章:Microsoft Windows 2000 Server FSO 安全隐患解决办法。如果您确信不要用到的话,可以直接反注册此组件即可。

  ③ 直接反注册、卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法)

  卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%/system32/WSHom.Ocx

  卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%/system32/scrrun.dll

  卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "C:/Program Files/Common Files/System/ado/msado15.dll"

  如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如:regsvr32.exe %windir%/system32/scrrun.dll

  ④ 关于Webshell中利用set domainObject=GetObject("WinNT://.")来获取服务器的进程、服务以及用户等信息的防范,大家可以将服务中的Workstation[提供网络链结 和通讯]即Lanmanworkstation服务停止并禁用即可。此处理后,Webshell显示进程处将为空白。

  3 按照上1、2方法对ASP类危险组件进行处理后,用阿江的asp探针测试了一下,“服务器CPU详情”和“服务器操作系统”根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active无法创建对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了。

  当然服务器安全远远不至这些,这里为大家介绍的仅仅是本人在处理ASP木马、Webshell上的一些心得体会。在下一篇中将为大家介绍如何简简单单的防 止别人在服务器上执行如net user之类的命令,防溢出类攻击得到cmdshell,以及执行添加用户、改NTFS设置权限到终端登录等等的最简单有效的防范方法。

  一、木马生成

  asp木马代码加密,图片合并,文件时间修改,还有要命的系统漏洞利用

  ?

  图片和木马合并命令:

  copy 1.gif /b + asp.asp /a asp.gif

  ?

  二、木马上传

  如果后台没有类似数据库备份功能,可以生成新文件,或者直接修改文件。那么很难直接让木马运行,不过还是有一些方法,可以考虑。

  ? 1、如果后台数据库是以asp格式存储的。那么可以采用在数据库中插入一句话木马(<%execute request("1")%>),然后利用一句话木马上传一个完整木马。

  ? 2、如果网站后台允许修改网站联系信息等页面,而且页面也是也是以asp存储,那么可以利用asp的包含文件,巧妙的令jpg、bmp等格式木马得以运行。比如在其中插入

  ?

  ? 3、还可以看看网站上传类型是否有严格的过滤,如果仅仅是限制了asp文件,那么可以尝试上传asa、cer等等。

  

  ? 作为技术性问题,可以这样实现。

  ? 一般情况下,在留言板、个人注册等地方,需要个人信息。

  ? 而且在进行个人信息中的个人主页、邮件地址等信息,不会有太严格的过滤。这就为插入一句话木马提供了可能性。

  ? 举例说明:我给一个网站留言,我在填写我的“个人主页”或者“email”时,不输入真实信息。而输入一句话木马。这样,只要知道了asp数据库地址,那么提交一句话木马后,直接访问asp数据库就可运行木马了。

  ? 所以,很多人把acess数据库改名为asp以防止下载,岂不知危害照样存在,只不过换了一种方式而已。

  

  ?

  三、如何防护?

  ? 1、是的,对方猜出正确的数据库路径的几率和同一地点被雷集中两次几率几乎相同。但是需要注意的是在写连接数据库文件时,注意防止暴库

  ? 2、是的,而且如果你的数据库不是以asp存放,那么就无所谓了。

  ? 3、这个问题有点大。估计网上的讨论也没有停止过,个人认为也没有标准答案。不过,我认为安全是一个整体,必须从多个方面考虑,以分层次防御的方法无疑是一个好办法。

  ?

  ? 我自己通常是从两个层次进行防护,其一就是数据库改名(包括文件名和后缀名)最好改为你自己都记不住又长的那种。这样别猜测的可能性降到最低。这是从asp层面进行防护,也是现在最常用,最流行的方法

  ? 其二,如果你的数据库已经暴露(由于一些别的原因或者未知的漏洞),那么也还是有办法的,这就是第二层防护,从iis层面进行防护(但这有个要求,就是你要具有iis管理权限),方法如下,运用iis的url重定向功能。在iis配置中,将数据库文件永久重定向到某个固定的url(当然,你可以事先在这个url写好一些问候的页面)。这样所有从外部提交的请求都会被送到那个url而你的数据安然无恙,即使别人知道了数据库真实地址,也只能忘库兴叹。

  ?

么事是ASP木马源码?它实际上bai是用asp创作的网址du首要,zhi乃至部分daoasp木马就由asp官网操作程序编制产生的。它和种种asp步骤没有本质区别,只如若能运行asp的范围才能执行它,这一种特点让其ASP木马特别不易被发现。

它和种种asp情况的辨析只就在asp木马是入侵者上传入到理想场所,并救助入侵者操纵梦想场地的asp程序。

如果想要防止ASP木马执行就就是指不asp的开展,很显然这是行不通的,这因此为什么偏偏asp木马猖獗的理由!二、入侵哲理如果想侵犯,就要让ASP木马上传到计划空间,这很关键!

这么入侵者如何上传ASP木马加密呢?说来有些鄙视,入侵者多是凭据愿望空间中已经就有的具有上传作用的asp步骤来从而让的。

这就是差距都是在,这类东西建议上传文字的asp程序都是拥有权限阻力的,各家也难题了asp文字的上传。(就如:肯定可以上传最新免杀ASP木马上流行到目标空间,入侵者便能执行它,完成对希望的目标地方的牵制。