本文介绍了一款名为ASPxSpy的木马程序,并详细记录了其功能特点及潜在危害。作者通过具体步骤展示了如何在Windows环境下排查并清除该木马。
最近服务器老是在木马出没,网管查了又查,杀了又来,今天决定亲自认真查一下,很快,在服务器上找到一个aspxSpy,还是1.1版本的,网上搜索下,在作者主页,版本为2.0,看到如下说明:
1.开发环境VS2008 + C#,兼容FrameWork1.1/2.0,基本实现代码分离。
2.密码为32位MD5加密(小写) 默认为 admin.
3.全部采用POST方式提交数据,增强了隐蔽性。
4.增强了IIS探测功能,遍历IIS站点信息,绝对路径,多域名绑定,以及IIS账号密码。
5.增加了对指定文件的搜索功能。
6.修正了一些数据库操作的BUG。
7.增强了对注册表的读取,此部分由***完成,在此感谢。
8.修正了对端口的多线程扫描
9.增强了端口转发功能,参考了***的一些代码,在此感谢。
免责声明:此工具为安全检测工具,任何人使用此工具,做违法国家法律的事情,责任自负!
应该说,代码写的不赖,试用了下,果然破坏性相当恶劣,能上传文件,设置上传文件为RSHA,即系统隐藏文件,一般管理员搜索不出来,还有一些功能…………。
当然,对于有经验的windows管理员,比如像我(^_^)来说,是比较好办的,首先,重命名cmd文件,
再用改名过的CMD文件运行
<!-- <br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />-->cd c:\myweb
rem 存放网站的目录
c:
dir /S *.aspx /ah
rem 可以是其他任意后缀名的文件,比如asp,jsp等等。
可以搜索出隐藏系统文件了吧?
文件太多,怎么办?
修改一下最后一行命令
<!-- <br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />-->dir /S *.aspx /ah >> e:\20090820.txt
rem 将搜索结果保存到 e:\20090820.txt。
rem 其中>>为DOS为管道命令,我是在1994年了解这个命令的,那时候还是MSDOS 3.3和PSDOS 9.0并存的时代。呵呵。
搜索出文件,再进一步查下,是ftp的漏洞,还是iis,还是程序本身,或者外部组件(比如FCKeditor等)。当然,可能是内部出现问题,…………
继续跟踪木马中………………
助人等于自助! 3w@live.cn
扫一扫
6840
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
