在GOOGLE上輸入 教主©2005 教主專用Asp後門
PS:沒事不要亂點進去..除非做好必要的防護工作
當然這些被侵入的網站有絕大部分的正常首頁都被埋進了惡意連結.
像是這裡..
該網站首頁原始碼最下面被埋了一段SCRIPT
還有這裡
有些首頁沒被植入或是被管理員發現清掉了,不過只要WEBSHELL的ASP存在,基本上那台機器就等於是完全淪陷了.
其實那些放WEBSHELL的傢伙都有個習慣,會把ASP程式放在一般人比較不太會注意的地方,像是image圖片目錄或是JS目錄底下.
而這堆中標的網站中有些站瀏覽量超少,少到就算在首頁植入木馬放個一年可能也沒幾個人能被感染,所以他們通常也會順便在系統內植入跳板或反向通道,作為其他攻擊/入侵的中繼站.
之前也在管的機器上抓到過一隻webshell,分析ASP原始碼後發現介面功能很齊,經過提升權限後可以開檔讀檔寫檔,執行cmd,存取資料庫.同時還能更改檔案時間,所以單純用檔案最後修改時間來搜尋近期異動檔案不見得找的到那些有問題的東西.
通常他們第一個目標就是打開web.config看看,有些人習慣把DB存取設定寫在那.只要一打開DB就算是淪陷了
至於WEBSHELL的原理&防範方法,GOOGLE上找WEBSHELL就可以找到一堆了,在這就不囉唆了.
PS:其實用這教主專用Asp後門關鍵字找出來的受害者只是九牛一毛,對岸發展出來的WEBSHELL種類繁多,而且有各種變種.WebMaster只要一個疏忽不小心就可能被埋這玩意進去.而且不見得每套防毒/防木馬的軟體都擋的住.
TW 網站淪陷資料庫 這也有列出不少的受害者.
沒有留言:
張貼留言