使用動網論壇如何查殺和防範木馬

來源:互聯網
上載者:User

首先,在這裡感謝"駭客"們,動網發展的過程中確實抹不去他們的身影。這裡之所以打上引號,並沒有貶低的意思,而是指那些真正精通代碼的,憑自己精深的技術發現和利用程式漏洞的人,他們一般並不做什麼破壞,只是在研究中找到樂趣。我個人認為正是他們的存在促進了技術的快速發展。而對於普遍存在的"工具使用者"一族,他們大多數除了做些搗亂、破壞並自封為駭客等另人厭惡的事情外,似乎一無所長。

言歸正傳,最近一些駭客研究動網論壇代碼發現通過某種欺騙方式可以繞過程式上傳任意檔案,再利用上傳的惡意代碼幾乎可以做到他想做的一切事情。這個漏洞影響的動網論壇版本是7.0sp2以前的所有版本,同時理論上也影響任意使用了類似程式開發的所有網站。針對此漏洞,動網強烈建議您馬上升級到最新版本,相關地址如下:

http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=704362&page=1

如果你不幸已經中標,我根據經驗提供一些針對動網論壇的簡單的查殺惡意代碼(木馬)的方法,查殺的效果和你付出的細心程度是成正比的,準備好你的耐心,跟我一步步走。

俗話說知己知彼,百站百勝。要想查木馬,首先要瞭解自己的網站結構,其次要瞭解木馬大概的組成。一個好的網站結構能快速的確定非法的檔案,一個糟糕的結構會讓你自己都頭暈,簡單來說就是檔案分類歸放,及時刪除到期的和測試的檔案,這個話題不是我們今天的重點,有興趣的朋友請自行尋找。木馬的構成就複雜多變了,一般會根據功能的不同而以各種形式出現,小一點的用幾十個字元就可以搞定。要查木馬不需要很多工具,一個Ftp軟體加上Windows內建的搜尋功能,再有個文字編輯器如Windows帶的記事本就齊備了。Ftp軟體建議用FlashFXP,在查木馬方面他有些功能比較實用。

2004-5-26 21:10:36,小黑告訴我他的論壇首頁被人改了,我馬上登陸他的網站,發現論壇首頁檔案被改,找他要來Ftp帳號密碼,登陸Ftp仔細查看。他的空間只放了一個動網論壇,根據頁面被改的情況分析應該是被人上傳了木馬程式修改,於是我開啟FlashFxp,選擇工具,選擇在FTP伺服器上尋找檔案,圖1。

一般木馬應該是asp檔案,我在名稱那裡輸入*.asp,點立即尋找,圖2。

耐心等待了一會,結果出來了,我點了一下"於檔案夾"讓尋找的檔案以檔案夾方式排列。由於採用的是動網論壇,網站結構比較清晰,除了根目錄和INC目錄外,其它目錄不應該存在任何asp檔案,現在在UploadFace目錄下存在一個可疑檔案haha.asp,我又點了一下"修改時間"以最後修改時間排列,發現這個檔案是最新修改過的,確實非常可疑,為了不錯刪,於是我選中它,在選查看,用查看原始碼的方式確定它確實是個木馬程式,既然確定了就不要猶豫,刪!圖3。

想到IIS還映射了其它類型的檔案被asp.dll解釋,我就2般又搜尋了*.cer,*.cdx,*.asa,*.htr,這些檔案找到一個就刪一個,因為程式根本用不著他們。

嘿嘿,沒想到沒用2分鐘就解決了問題,我正在得意,突然想到如果駭客修改了正常的檔案增加了惡意代碼怎麼辦?檔案內容用Ftp可沒辦法查,只能全部下回來了查了,upload那幾個目錄有好幾百M,我就不下了,只要確保裡邊沒有asp等可執行檔就行,資料庫也不用下了,其它檔案都通通下回來。圖4。

小黑在催我了,他想論壇儘快開通,他用的是官方原版程式,我就先刪除老程式,圖5,
然後下載最新的動網論壇7.0sp2,還是將根目錄和剛才刪除的那些目錄的檔案上傳上去,不上傳資料庫,很快就傳完恢複了論壇,再三叮囑他不要安裝外掛程式或其它程式後,我專心研究下載回來的檔案去了。

開啟Windows的搜尋功能,要搜尋的檔案名稱寫*.asp,想到很多木馬都有這行代碼"LANGUAGE = VBScript.Encode",而動網論壇是不用這行代碼的,於是我輸入"VBScript.Encode"來尋找所有含有"VBScript.Encode"的asp檔案,嘿嘿,果然找到幾個,圖6。

當然,也不是所有木馬都一定要用這行代碼,繼續搜關鍵詞來判斷是否木馬。列出一些關鍵詞供參考。

我提供的關鍵詞不一定是最全的,希望有經驗的朋友繼續提供,我會隨時更新關鍵詞列表。

關鍵詞 可能性 解決方案 動網包含此
關鍵詞的檔案
VBScript.Encode 100% 刪除
海洋 100% 刪除
稻香 100% 刪除
冰點 100% 刪除
0D43FE01-F093-11CF-8940-00A0C9054228 100% 刪除
093FF999-1EA0-4079-9525-9614C3504B74 100% 刪除
72C24DD5-D70A-438B-8A42-98424B88AFB8 100% 刪除
CreateTextFile 100% 刪除
eval(r 100% 刪除
Execute request 100% 刪除或替換
一般是在正常檔案中加入如
execute request("x")
來執行非正常代碼
建議替換
Execute session 100% 刪除或替換 無,同上
OpenTextFile 100% 刪除
WriteLine 100% 刪除
WSCRIPT 100% 刪除
5xSoft 100% 刪除
Scripting.Dictionary 100% 刪除
Request.BinaryRead 100% 刪除
DeleteFile 90% 刪除或替換 admin_bbsface.asp
admin_data.asp
admin_postings.asp
admin_uploadlist.asp
admin_upUserface.asp
upfile.asp
MoveFile 90% 刪除或替換 reg.asp
Getfile 90% 刪除或替換 reg.asp
showimg.asp
viewfile.asp
=VBS 90% 刪除或替換 Dv_ubbcode.asp

如果您對伺服器有操作權,建議您再做如下設定:

進入網站屬性,選主目錄,點配置,將不需要的指令碼映射全部刪除,一般只保留.asp就可以了,其它的全部可以刪除,圖7。

在iis中選取Uploadface,屬性,將執行許可設定為無,還需要設定的還有uploadfile,previewimage這兩個目錄,如果你願意的話,可以將除了Inc目錄外的其它所有目錄可執行許可權都設定為無。

至此查木馬的工作可以告一段落了,再來總結歸納一下方法
1、在網站結構清楚的情況下,瀏覽目錄法能快速確定木馬,在不該出現的地方出現的檔案,管他是不是木馬都可以刪。

2、時間比較法,記住自己最後更新檔案的時間,出現在該時間以後的可執行指令碼一定有問題,但是注意,資料庫的更新時間總是最新的,不要誤刪哦。

3、對比法,此方法上邊沒做詳細說明,其實也就是本地保留一份完整備份,需要的時候使用Ftp工具的比較功能進行比對。

4、關鍵詞搜尋法,按照我提供的關鍵詞搜尋檔案,基本可以確定木馬。

說來說去,防更勝於殺,經常關注動網官方論壇 http://bbs.dvbbs.net ,及時打上最新補釘,盡量不安或少安外掛程式,才是保證你的論壇正常啟動並執行不二法則。

海口動網先鋒網路科技有限公司
2004-5-26

網友sigporsson補充:有一點應該注意,如果確實發現木馬了,處理完畢之後,應該將具有系統管理權限的各類帳號都進行修改。包括論壇的帳號、資料庫帳號以及伺服器作業系統帳號、FTP 帳號等~

網友netguest補充:如果你的論壇裡,有類似代碼:<iframe src="http://www.????.com" ></iframe> 估計可能是被加入的惡意串連,請在關鍵詞中搜尋iframe src

歡迎各位繼續補充說明。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.