Edit Down Del Copy Move
2009-4-19 1:01:11
结果出来了,不过似乎脚本被加密了,这样的一看就知道是木马,因为我们做网站这些动态网页我们根本不可能去加密,黑客加密它是为了防止被杀毒软件杀掉以起到免杀的目的。那是dama.asp和我自己上传的查网马的木马520.asp。除此之外xiaoma.asp的描述是“使用了FSO的CreateTextFile|OpenTextFile读写文件”,这是小马的特征。
网页木马就是通过FSO的CreateTextFile|OpenTextFile来创建打开网站上的文件的。当然不排除我们自己的网页也会有此功能,这就需要我们进去具体查看,当然还有捷径。大家看看不是列出了很多文件吧,那些东西怎么判断呢?看后面的创建修改时间,其他的文件都是4月19号的而其中三个是4月21号的,新建的,这就很容易判定是网马,其他的那些文件都是一些系统性的文件,不可能是新日期。
黑客还有一种手段就是往现有的网页中插入一句话木马,这个判断起来一样道理,就是一句话木马有执行功能一定会有execute函数,但是我们的网站后台文件也会有此功能,怎么区别呢?还是看时间,但是要是服务器权限设置的差劲到家了,可以被黑客利用起来运行EXE文件进行修改创建时间,这种情况我就不说了。因为要是那样的话,你可以马上转移服务器,暂停此时的风险投资了。
还有批量清马的问题,很多网页被挂马了,只要找出网马代码,然后点击 批量清马在要清的马后面的框框里填上找到的网页木马代码,点击开始执行,即可。如下所示
一般黑客在页面挂马都是通过调用iframe框架将宽和高还有边框之类的设置为0,即隐藏来达到挂马目的的。用这一招就可以让网马烟消云散了。
好了,这篇文章到此结束。如有疑问,可以向我询问。QQ:22622467。
本文标题:网站安检:网马亦“网”马之简谈(3)
