Quanto você sabe sobre o programa para encontrar asp Trojans? Amigos interessados em asp Trojans, siga o editor da Foxin para conferir o conteúdo específico. Espero que seja útil para você.
Código -fonte, salve como um arquivo ASP para usar:
<%@Idioma = vBScriptCodePage = 936%>
<%
'Defina a senha
Senha = segurança
dimreport
ifRequest.QueryString (ACT) = LOGINTHEN
ifRequest.form (pwd) = senhaThensession (pig) = 1
endif
%>
<%IfSession (porco) <> 1Then%>
Senha:
<%
outro
ifRequest.QueryString (ACT) <> ScanThen
%>
Preencha o caminho que deseja verificar:
*O caminho relativo para o diretório raiz do site, preencha/ isto é, verifique o site inteiro;. É o diretório em que o programa está localizado
O que você vai fazer:
Verifique os Trojans Asp
Procure arquivos que atendam aos critérios
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Encontre conteúdo:
*Se você quiser encontrar a string, basta verificar a data se não a preencher.
Data da modificação:
tamanho = 20>
* Use várias datas; Separe, preencha tudo em qualquer data
Tipo de arquivo:
* Separe entre tipos, * significa todos os tipos
<%
outro
Server.scriptTimeout = 600
ifRequest.form (caminho) = então
Response.Write (Nohack)
Response.end ()
endif
ifRequest.form (caminho) =/então
Tmppath = server.mappath (/)
elseifrequest.form (caminho) =. Então
Tmppath = server.mappath (.)
outro
Tmppath = server.mappath (/) &/& request.form (caminho)
endif
Timer1 = Timer
Sol = 0
Sumfiles = 0
Sumfolders = 1
IfRequest.form (radiobutton) = swsthen
DIMFILEEXT = ASP, CER, ASA, CDX
Callshowallfile (tmppath)
Outro
IfRequest.form (path) = orrequest.form (search_date) = orrequest.form (search_fileext) = então
Response.write (as condições de prisão não estão completas, não poderei obedecer à minha vida
Por favor volte para entrar novamente)
Response.end ()
Endif
DimfileExt = request.form (Search_fileExt)
Callshowallfile2 (tmppath)
Endif
%>
Scanwebshell-ASSCURACTERHACHACHING
A digitalização está completa! Verifique um total de arquivos <%= SumFolders%> e encontre pontos suspeitos.
<%Ifrequest.form (radiobutton) = swsthen%>
Arquivo Caminho relativo
Código de recursos
descrever
Tempo de criação/modificação
<%else%>
Arquivo Caminho relativo
Tempo de criação de arquivos
Tempo de modificação
<%endif%>
<%= Relatório%>
<%
Timer2 = Timer
thEtime = cstr (int (((timer2-timer1)*10000) +0,5)/10)
Response.Write
Esta página foi executada em um compartilhado & tetime & ms
endif
endif
%>
Este programa é retirado do ASP Trojan Search e Suspeatious Pesquisa de Arquivos Funções de Leiketu ASP Webmaster Security Assistant
PowerEdBylake2 (Build20060615)
<%
'Viaje e processe todos os arquivos do caminho e seus subdiretos
Subshowallfile (caminho)
Setfso = createObject (script.filesystemObject)
ifnotfso.Polderexists (PATH) ThenExitsub
Setf = fso.getFolder (caminho)
Setfc2 = f.files
ForeachmyfileInfc2
IfChecKext (fso.geTextionName (Path &/& myfile.name)) então
CallScanfile (Path & Temp &/& myfile.name,)
Sumfiles = Sumfiles+1
Endif
Próximo
Setfc = f.subFolders
Foreachf1infc
ShowallfilePath &/& f1.name
SumFolders = SumFolders+1
Próximo
Setfso = nada
Endsub
'Arquivo de detecção
Subscanfile (filepath, infil
Ifinfile <> então
Infiles = este arquivo é executado por & Infile & File contendo
Endif
SetFSOs = CreateObject (script.filesystemoBject)
OnErrorReSumenext
SETOFILE = FSOS.OPENTEXTFILE (FILEPATH)
filetxt = lcase (ofile.readall ())
Iferrthenexitsubendif
iflen (filetxt)> 0then
'Verificação do código de recursos
filetxt = vbcrlf & filetxt
Temp = & Substituir (filepath, server.mappath (/) &/,, 1,1,1) &
'Checkwscr & domybest & ipt.shell
Ifinstr (filetxt, lcase (WSCR & DOMYBEST & IPT.SHELL)) ORINSTR (FILETXT, LCASE (CLSID: 72C24DD5-D70A & DOMYBEST & -438B-8A42-98424B88AFB8)) então
Relatório = Relatório && Temp & WSCR & DomyBest & ipt.shell ou clsid: 72C24DD5-D70A & DOMYBEST & -438B-8A42-98424B88AFB8 componentes perigosos são geralmente usados por asp Trojans & Infiles && GetDATCREATE (
& GetDatemodify (filepath) &
Sol = Sol+1
Endif
'Checkshe & Domybest & ll.Application
Ifinstr (filetxt, lcase (ela & domybest & ll.application)) orinstr (filetxt, lcase (clsid: 13709620-c27 & domybest & 9-11ce-a49e-4444553540000)) então
Relatório = Relatório && Temp & She & DomyBest & ll.Application ou CLSID: 13709620-C27 & DOMYBEST & 9-11CE-A49E-444553540000 componentes perigosos, geralmente usados por ASP Trojans & Infiles && GetDatereate (filepath) &
& GetDatemodify (filepath) &
Sol = Sol+1
Endif
'Check.encode
SetRegex = newRegexp
regex.IGNORECASE = true
regex.global = true
regex.pattern =/blanguage/s*=/s*[]?/s*(vbscript | jscript | javascript) .encode/b
Ifregex.test (filetxt) Então
Relatório = Relatório && temp & (VbScript | JScript | JavaScript) .Encode parece estar criptografado e infilos && getDateCreate (filepath) &
& GetDatemodify (filepath) &
Sol = Sol+1
Endif
'CheckMyAspackDoor :(
regex.pattern =/bev & al/b
Ifregex.test (filetxt) Então
Relatório = Relatório && Temp & Ev & Ale & Val () A função pode executar qualquer código ASP e é usado por alguns backdoors. Sua forma é geralmente: Ev & al (x)
Mas também pode ser usado no código JavaScript, que pode ser falso positivo. & Infiles && getDatecreate (filepath) &
& GetDatemodify (filepath) &
Sol = Sol+1
Endif
'CHECKEXE & CARFEBACKDOOR
regex.pattern = [^.]/bexe & fofo/b
Ifregex.test (filetxt) Então
Relatório = Report && Temp & Exec & Ute & Xecute () Função pode executar qualquer código ASP e é usado por alguns backdoors. Sua forma é geralmente: Ex & Ecute (x)
& Infiles && getDatecreate (filepath) &
& GetDatemodify (filepath) &
Sol = Sol+1
Endif
'-----------------------------------------------------------------------------------------------------------------------------------
'Check.create & textfileand.opentext & arquivo
regex.pattern =/. (Abra | Criar) TextFile/B.
Ifregex.test (filetxt) Então
Relatório = Relatório && Temp & .CreateTextFile | .OpentExtFile Usa a Função CreateTextFile | OpenExtFile da FSO para ler e escrever arquivos e infiles && getDateCreate (filepath) &
& GetDatemodify (filepath) &
Sol = Sol+1
Endif
'Check.savet & ofile
regex.pattern =/. Savetofile/b
Ifregex.test (filetxt) Então
Relatório = Relatório && Temp & .Savetofile usa a função SaveTofile do Stream para escrever arquivos e infiles && getDatecreate (filepath) &
& GetDatemodify (filepath) &
Sol = Sol+1
Endif
'Verifique. & Salvar
regex.pattern =/. Salvar/b
Ifregex.test (filetxt) Então
Relatório = Relatório && Temp & .Save usa a função XMLHTTP SALVE para escrever arquivos e infilos && getDatecreate (filepath) &
& GetDatemodify (filepath) &
Sol = Sol+1
Endif
'---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Setregex = nada
'Checkincludefile
SetRegex = newRegexp
regex.IGNORECASE = true
regex.global = true
regex.pattern =
O exposto acima é o programa para encontrar asp Trojans. Você aprendeu?