如何通过webshell找出网站的后门木马
网页木马webshell就是入侵一个网站之后在这个网站目录里留下的后门,不过这个后门是一个网页,webshell功能很强大,可以列出网站的所有目录,可以任意更改新建甚至删除网站上的文件。往往网站被挂马就是通过这种后门实现的,当然webshell还有其他更多强大的功能,比如扫描端口、连接数据库、甚至通过此后门拿到服务器最高权限等等。
但是webshell可以批量清马和查找网马,清除黑客留下的木马.如果在网站根目录有两个网马,一个是大马(功能强大)一个小马(仅有上传功能),比如MUMA.asp和VMUMA.asp。这是黑客入侵你的网站后留下的后门。下面是查找这两个木马的方法。
1.将一个网马(webshell,命名为111.asp)上传到网站上,并进入这个网页木马,有个查找文件-木马,点进去直接点击 开始扫描,稍等片刻就会列出结果
文件相对路径 特征码 描述 创建/修改时间
D:\www\15946\111.ASP
Edit Down Del Copy Move (vbscript|jscript|javascript).Encode 似乎脚本被加密了 2009-4-21 12:40:39
2009-4-21 12:40:43
D:\www\15946\adminggb.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:04:48
2009-4-19 1:04:50
D:\www\15946\MUMA.asp
Edit Down Del Copy Move (vbscript|jscript|javascript).Encode 似乎脚本被加密了 2009-4-21 12:40:48
2009-4-21 12:40:55
D:\www\15946\VMUMA.asp
Edit Down Del Copy Move .CreateTextFile|.OpenTextFile 使用了FSO的CreateTextFile|OpenTextFile读写文件 2009-4-21 12:43:57
2009-4-21 12:43:58
-同上- CreateObject CreateObject函数使用了变形技术 2009-4-21 12:43:57
2009-4-21 12:43:58
D:\www\15946\class\dbconn.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:00:27
2009-4-19 1:00:27
D:\www\15946\class\upload.asp
Edit Down Del Copy Move .SaveToFile 使用了Stream的SaveToFile函数写文件 2009-4-19 1:00:37
2009-4-19 1:00:38
D:\www\15946\lang\admingg.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:00:50
2009-4-19 1:00:51
D:\www\15946\source\src_admin.asp
Edit Down Del Copy Move CreateObject CreateObject函数使用了变形技术 2009-4-19 1:01:02
2009-4-19 1:01:08
D:\www\15946\source\src_adminggb.asp
Edit Down Del Copy Move CreateObject CreateObject函数使用了变形技术 2009-4-19 1:01:09
2009-4-19 1:01:11
结果出来了,不过似乎脚本被加密了,这样的一看就知道是木马,因为做网站这些动态网页我们根本不可能去加密,黑客加密它是为了防止被杀毒软件杀掉以起到免杀的目的。那是MUMA.asp和我自己上传的查网马的木马111.asp。除此之外VMUMA..asp的描述是“使用了FSO的CreateTextFile|OpenTextFile读写文件”,这是小马的特征。
网页木马就是通过FSO的CreateTextFile|OpenTextFile来创建打开网站上的文件的。当然不排除我们自己的网页也会有此功能,这就需要我们进去具体查看,当然还有捷径。列出的很多文件,只要看后面的创建修改时间,其他的文件都是4月19号的而其中三个是4月21号的,新建的,这就很容易判定是网马,其他的那些文件都是一些系统性的文件,不可能是新日期。
黑客有时往现有的网页中插入一句话木马,这个判断起来一样道理,就是一句话木马有执行功能一定会有execute函数,但是我们的网站后台文件也会有此功能,怎么区别呢?还是看时间,但是要是服务器权限设置的差劲到家了,可以被黑客利用起来运行EXE文件进行修改创建时间,如果出现这种情况可以马上转移服务器。
黑客在页面挂马都是通过调用iframe框架将宽和高还有边框之类的设置为0,即隐藏来达到挂马目的的。如果很多网页被挂马了,只要找出网马代码,然后点击批量清马在要清的马后面的框框里填上找到的网页木马代码,点击开始执行,就可以了.
但是webshell可以批量清马和查找网马,清除黑客留下的木马.如果在网站根目录有两个网马,一个是大马(功能强大)一个小马(仅有上传功能),比如MUMA.asp和VMUMA.asp。这是黑客入侵你的网站后留下的后门。下面是查找这两个木马的方法。
1.将一个网马(webshell,命名为111.asp)上传到网站上,并进入这个网页木马,有个查找文件-木马,点进去直接点击 开始扫描,稍等片刻就会列出结果
文件相对路径 特征码 描述 创建/修改时间
D:\www\15946\111.ASP
Edit Down Del Copy Move (vbscript|jscript|javascript).Encode 似乎脚本被加密了 2009-4-21 12:40:39
2009-4-21 12:40:43
D:\www\15946\adminggb.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:04:48
2009-4-19 1:04:50
D:\www\15946\MUMA.asp
Edit Down Del Copy Move (vbscript|jscript|javascript).Encode 似乎脚本被加密了 2009-4-21 12:40:48
2009-4-21 12:40:55
D:\www\15946\VMUMA.asp
Edit Down Del Copy Move .CreateTextFile|.OpenTextFile 使用了FSO的CreateTextFile|OpenTextFile读写文件 2009-4-21 12:43:57
2009-4-21 12:43:58
-同上- CreateObject CreateObject函数使用了变形技术 2009-4-21 12:43:57
2009-4-21 12:43:58
D:\www\15946\class\dbconn.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:00:27
2009-4-19 1:00:27
D:\www\15946\class\upload.asp
Edit Down Del Copy Move .SaveToFile 使用了Stream的SaveToFile函数写文件 2009-4-19 1:00:37
2009-4-19 1:00:38
D:\www\15946\lang\admingg.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:00:50
2009-4-19 1:00:51
D:\www\15946\source\src_admin.asp
Edit Down Del Copy Move CreateObject CreateObject函数使用了变形技术 2009-4-19 1:01:02
2009-4-19 1:01:08
D:\www\15946\source\src_adminggb.asp
Edit Down Del Copy Move CreateObject CreateObject函数使用了变形技术 2009-4-19 1:01:09
2009-4-19 1:01:11
结果出来了,不过似乎脚本被加密了,这样的一看就知道是木马,因为做网站这些动态网页我们根本不可能去加密,黑客加密它是为了防止被杀毒软件杀掉以起到免杀的目的。那是MUMA.asp和我自己上传的查网马的木马111.asp。除此之外VMUMA..asp的描述是“使用了FSO的CreateTextFile|OpenTextFile读写文件”,这是小马的特征。
网页木马就是通过FSO的CreateTextFile|OpenTextFile来创建打开网站上的文件的。当然不排除我们自己的网页也会有此功能,这就需要我们进去具体查看,当然还有捷径。列出的很多文件,只要看后面的创建修改时间,其他的文件都是4月19号的而其中三个是4月21号的,新建的,这就很容易判定是网马,其他的那些文件都是一些系统性的文件,不可能是新日期。
黑客有时往现有的网页中插入一句话木马,这个判断起来一样道理,就是一句话木马有执行功能一定会有execute函数,但是我们的网站后台文件也会有此功能,怎么区别呢?还是看时间,但是要是服务器权限设置的差劲到家了,可以被黑客利用起来运行EXE文件进行修改创建时间,如果出现这种情况可以马上转移服务器。
黑客在页面挂马都是通过调用iframe框架将宽和高还有边框之类的设置为0,即隐藏来达到挂马目的的。如果很多网页被挂马了,只要找出网马代码,然后点击批量清马在要清的马后面的框框里填上找到的网页木马代码,点击开始执行,就可以了.
姓名
字典
天气
黄历
身份
五子棋
邮编
手机
IP地址