續:從GOOGLE挖出一堆被破台的台灣網站

相關資料1:從GOOGLE挖出一堆被破台的台灣網站
相關資料2:資訊鐵胃...再多木馬都塞的下？ - roamer - Yahoo!奇摩部落格

今天閑著沒事繼續用關鍵字找那個asp webshell,結果有了個意外的發現

居然有一個站點直接show asp原始碼出來..

先看一下他的架構..是apache的server..

居然把asp丟到apache上,難怪原始碼整個show出來.

再來就研究這隻asp的原始碼了.

雖然有用VBScript.Encode加密,不過這可難不倒google大神

先找出登入相關的部份的原碼

請google大神找出VBScript.Encode解碼器.

把那段加密代碼貼進去

解出來就發現裡面有帳號密碼資訊..

(帳號密碼我這把它蓋掉了,以免有無聊人士亂try.不過有點概念的人照這個思路去找自己也找的出來)

接下來就用找出來的帳號密碼來找個被他破台站點登入試試看

肯....這樣就給他進去了.....

一開始看到的就是檔案管理介面.不過權限被限制住了.

這帳號進去只能看幹不了什麼

我也懶得再花時間去玩它了..



再來就是瞧瞧這些被破台的機器是誰的..

把他們host name放進whois去查查

第一位苦主 knrglass.com IP是61.66.28.117(SPARQ的IP)

反查IP出來的DNS反解是w17.12.com.tw

w17.12.com.tw是戰X策的虛擬主機在用的

另一位苦主 chungshih.com

IP反解出來也是戰X策公司的虛擬主機.

看來這間戰X策的虛擬主機淪陷了不只一台..

這幾支ASPSHELL程式GOOGLE都幫他們找出來了.

戰X策還沒警覺..對照網友roamer寫的這篇
資訊鐵胃...再多木馬都塞的下？ - roamer - Yahoo!奇摩部落格

只能說這是最大的諷刺....

從GOOGLE挖出一堆被破台的台灣網站

在GOOGLE上輸入 教主&copy2005 教主專用Asp後門

PS:沒事不要亂點進去..除非做好必要的防護工作

沒把握的就看看圖算了.

台灣地區的網站出現47筆

都是屬於被入侵後埋入WEBSHELL管理介面的機器..

當然這些被侵入的網站有絕大部分的正常首頁都被埋進了惡意連結.

像是這裡..

該網站首頁原始碼最下面被埋了一段SCRIPT

還有這裡

有些首頁沒被植入或是被管理員發現清掉了,不過只要WEBSHELL的ASP存在,基本上那台機器就等於是完全淪陷了.

其實那些放WEBSHELL的傢伙都有個習慣,會把ASP程式放在一般人比較不太會注意的地方,像是image圖片目錄或是JS目錄底下.

而這堆中標的網站中有些站瀏覽量超少,少到就算在首頁植入木馬放個一年可能也沒幾個人能被感染,所以他們通常也會順便在系統內植入跳板或反向通道,作為其他攻擊/入侵的中繼站.

之前也在管的機器上抓到過一隻webshell,分析ASP原始碼後發現介面功能很齊,經過提升權限後可以開檔讀檔寫檔,執行cmd,存取資料庫.同時還能更改檔案時間,所以單純用檔案最後修改時間來搜尋近期異動檔案不見得找的到那些有問題的東西.
通常他們第一個目標就是打開web.config看看,有些人習慣把DB存取設定寫在那.只要一打開DB就算是淪陷了

至於WEBSHELL的原理&防範方法,GOOGLE上找WEBSHELL就可以找到一堆了,在這就不囉唆了.

PS:其實用這教主專用Asp後門關鍵字找出來的受害者只是九牛一毛,對岸發展出來的WEBSHELL種類繁多,而且有各種變種.WebMaster只要一個疏忽不小心就可能被埋這玩意進去.而且不見得每套防毒/防木馬的軟體都擋的住.

TW 網站淪陷資料庫 這也有列出不少的受害者.