大家看到这个标题一定会很有感觉吧,是否有些疑惑呢?首先我来解释下标题的意思。
第一个“网马”指的是网页木马,就是黑客口中所谓的webshell。那什么又是webshell呢?其实wenshell说穿了就是黑客入侵一个网站之后在这个网站目录里留下的后门,不过这个后门是一个网页,webshell功能很强大,可以列出网站的所有目录,可以任意更改新建甚至删除网站上的文件。往往网站被挂马就是通过这种后门实现的,当然webshell还有其他更多强大的功能,比如扫描端口、连接数据库、甚至通过此后门拿到服务器最高权限等等。而标题上第二个“网马”的意思是网住木马,就是揪出网页木马的意思。
相信很多站长都有被挂马的经历吧,那是让人不齿的行为,更为所有站长所痛恨。被挂马确实是件令人头疼的事情。首页被挂马也就算了,最让人难以忍受的就是所有的网页都被挂马。难道要我们挨个去查找么。愚公移山的那种笨劲儿咱可不能有。接下来我就给大家讲讲如何通过网马(webshell)来揪出网站的后门木马。
曾经年少轻狂的我为追求黑客做出过巨大的努力,虽一事无成却也多少学了点东西。首先声明下,本人从未挂过马。切入正题吧。其实很简单,很多后门网马都有这么一个功能,就是批量清马和查找网马,本来黑客开发出这种木马是为了清除其他黑客留下的木马进而能够独占这个网站。而到我们站长手里就变成了清除所有网马的利器。
我就拿我的一个asp的网站做实验。首先我在根目录上传了两个网马,一个是大马(功能强大)一个小马(仅有上传功能),暂且命名为dama.asp和xiaoma.asp。这就是模拟一个黑客入侵你的网站后留下的后门。看我如何网住这两个木马。
我将一个网马(webshell,命名为520.asp)上传到网站上,并进入这个网页木马,如下所示
看到上面的功能没?有个查找文件-木马,点进去
直接点击 开始扫描,稍等片刻就会列出结果如下
文件相对路径 特征码 描述 创建/修改时间 D:\www\15946\520.ASP
Edit Down Del Copy Move (vbscript|jscript|javascript).Encode 似乎脚本被加密了 2009-4-21 12:40:39
2009-4-21 12:40:43 D:\www\15946\adminggb.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:04:48
2009-4-19 1:04:50 D:\www\15946\dama.asp
Edit Down Del Copy Move (vbscript|jscript|javascript).Encode 似乎脚本被加密了 2009-4-21 12:40:48
2009-4-21 12:40:55 D:\www\15946\xiaoma.asp
Edit Down Del Copy Move .CreateTextFile|.OpenTextFile 使用了FSO的CreateTextFile|OpenTextFile读写文件 2009-4-21 12:43:57
2009-4-21 12:43:58 -同上- CreateObject CreateObject函数使用了变形技术 2009-4-21 12:43:57
2009-4-21 12:43:58 D:\www\15946\class\dbconn.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:00:27
2009-4-19 1:00:27 D:\www\15946\class\upload.asp
Edit Down Del Copy Move .SaveToFile 使用了Stream的SaveToFile函数写文件 2009-4-19 1:00:37
2009-4-19 1:00:38 D:\www\15946\lang\admingg.asp
Edit Down Del Copy Move Execute execute()函数可以执行任意ASP代码
2009-4-19 1:00:50
2009-4-19 1:00:51 D:\www\15946\source\src_admin.asp
Edit Down Del Copy Move CreateObject CreateObject函数使用了变形技术 2009-4-19 1:01:02
2009-4-19 1:01:08 D:\www\15946\source\src_adminggb.asp
Edit Down Del Copy Move CreateObject CreateObject函数使用了变形技术 2009-4-19 1:01:09
2009-4-19 1:01:11
结果出来了,不过似乎脚本被加密了,这样的一看就知道是木马,因为我们做网站这些动态网页我们根本不可能去加密,黑客加密它是为了防止被杀毒软件杀掉以起到免杀的目的。那是dama.asp和我自己上传的查网马的木马520.asp。除此之外xiaoma.asp的描述是“使用了FSO的CreateTextFile|OpenTextFile读写文件”,这是小马的特征。
网页木马就是通过FSO的CreateTextFile|OpenTextFile来创建打开网站上的文件的。当然不排除我们自己的网页也会有此功能,这就需要我们进去具体查看,当然还有捷径。大家看看不是列出了很多文件吧,那些东西怎么判断呢?看后面的创建修改时间,其他的文件都是4月19号的而其中三个是4月21号的,新建的,这就很容易判定是网马,其他的那些文件都是一些系统性的文件,不可能是新日期。
黑客还有一种手段就是往现有的网页中插入一句话木马,这个判断起来一样道理,就是一句话木马有执行功能一定会有execute函数,但是我们的网站后台文件也会有此功能,怎么区别呢?还是看时间,但是要是服务器权限设置的差劲到家了,可以被黑客利用起来运行EXE文件进行修改创建时间,这种情况我就不说了。因为要是那样的话,你可以马上转移服务器,暂停此时的风险投资了。
还有批量清马的问题,很多网页被挂马了,只要找出网马代码,然后点击 批量清马在要清的马后面的框框里填上找到的网页木马代码,点击开始执行,即可。如下所示
一般黑客在页面挂马都是通过调用iframe框架将宽和高还有边框之类的设置为0,即隐藏来达到挂马目的的。用这一招就可以让网马烟消云散了。
好了,这篇文章到此结束。如有疑问,可以向我询问。QQ:22622467。