我想通过这个图片你已经看到了这个木马的强大之处了,服务器上的所有资源一览无余,各种操作,各种骚……你懂得!
aspxspy.aspx文件下载地址【仅供学习,不得用于破坏,后果自负】:http://download.csdn.net/download/cplvfx/10229067
关于ASP.NET木马ASPXSPY的初步处理研究
文章连接:http://blog.csdn.net/etzrp/article/details/6737132
-------------------------------------------------------------------
前段时间服务器中了木马了,经过排查,截获了ASPXSPY木马。该木马是用ASP.NET写的,为了知己知彼,就将木马拷到本地运行研究,发现功能真的很强大,自认为服务器设置有一定经验的我在默认情况下对此木马都大门敞开。
我的基本设置:每个Web设置有专门用户,而每个用户都只是Guest组帐号,仅对Web目录具有访问权。应用程序池全部都是Network service帐号运行。结果发现给木马所有功能都能正常运行。如下图所示。
![]()
![]()
文件(夹)管理,默认木马所在网站目录,如果你的其他站点设置了users权限,那么恭喜你中奖了。它几乎能够自由操作你的整个服务器硬盘。
cmd命令:执行各种命令,能够干些什么全看操作木马的人功底了。一般来说cmd.exe默认设置了users权限就可以运行。
IIS探测:可以将所有的IIS站点列出来,最恐怖的是可以将IIS用户密码列出来,这点上真的很怀疑.net的安全体系。
系统进程:不仅能够获得系统运行的进程,还能够结束进程。
系统服务:显示系统所有服务
用户组信息:查看用户信息
系统信息:显示系统的基本信息,能够通过搜索注册表显示远程桌面端口,能够获得驱动信息和网卡信息。
文件搜索:搜索指定后缀的文件并且替换,挂马主要使用此功能
Server-U提权:Server-U存在较大漏洞,非必要不要安装。
注册表查询:功能几乎和regedit一样。
端口扫描:扫描指定端口,得到端口的开关状态
数据库管理:能够看到网站的文件,自然就能读取web.config,自然能够获得数据库密码,如果你是用的Sa,那将进一步中奖。
端口映射:这个功能似懂非懂,不知于局域网路由器端口映射是不是一个道理,没试成功。
看到这些功能,我相信为数不少的服务器在被上传了该木马后都得防线崩溃。那么亡羊补牢,应该怎么处理呢?
防止文件(夹)管理功能/文件搜索:禁止所有不该具有运行脚本的目录,比如Images/js/css,还有各种上传目录。另外将每个站点设置一个用户,应用程序的标识也设置为这个用户,将用户去除所有用户组,只保留IIS_WPG组。该用户仅能访问web目录。但是要给这个用户Modify及以下权限,不然会报app_domain创建失败的错误。这个能尽量防止木马传入,如果已经传入,也将损失降低到最小。
防止cmd命令:将cmd.exe的权限只保留Adminstrators和System.
防止IIS探测:将"%SystemRoot%/system32/activeds.dll/"%SystemRoot%/system32/activeds.tlb文件只保留Aministrators和System权限(详见参考1)。这是也能够找到的几篇文章中唯一关于处理该木马的方法,
不过我看有的人指出这样设置重启后可能导致网站无法打开,系统无法远程连接,我是托管服务器,不敢试,所以请慎重设置。
防止查看系统进程:有文章指出通过禁用性能计数器可以达到此目的.(详见参考2)。
用户(组)信息:注意C盘的权限设置,(详见参考3 windows2003如何设置C盘权限)
系统信息/注册表查询:基本信息无法避免.net本来就可以获取,但是唯一注意C盘权限,不允许读取注册表就行。
数据库管理:数据库用户最好只针对当前应用,也就是一个应用一个帐号。
aspxspy作为一个木马来无疑是危害巨大的,最主要是保护好该木马上传的路径,这才是根本。另外一个角度说,aspxspy作为一个asp.net程序是一个很好的学习典范,实现了很多较难的功能,对于研究asp.net安全等很重要,现在就初步研究到这里,以后有时间慢慢读代码进一步研究。
如何防止ASP.NET木马ASPXSPY的正常执行
作者:
gelivable007
文章连接:http://blog.csdn.net/gelivable007/article/details/7048674
-------------------------------------------------------------------
这几天一个朋友的服务器中了木马了,经过排查,获取了ASPXSPY木马。该木马是用ASP.NET写的,为了知己知彼,就将木马拷到本地运行研究,发现功能真的很强大。我的基本设置:每个Web设置有专门用户,而每个用户都只是Guest组帐号,仅对Web目录具有访问权。应用程序池全部都是Network service帐号运行。结果发现给木马所有功能都能正常运行。
该木马具有如下功能:
文件(夹)管理,默认木马所在网站目录,如果你的其他站点设置了users权限,那么恭喜你中奖了。它几乎能够自由操作你的整个服务器硬盘。
cmd命令:执行各种命令,能够干些什么全看操作木马的人功底了。一般来说cmd.exe默认设置了users权限就可以运行。
IIS探测:可以将所有的IIS站点列出来,最恐怖的是可以将IIS用户密码列出来,这点上真的很怀疑.net的安全体系。
系统进程:不仅能够获得系统运行的进程,还能够结束进程。
系统服务:显示系统所有服务
用户组信息:查看用户信息
系统信息:显示系统的基本信息,能够通过搜索注册表显示远程桌面端口,能够获得驱动信息和网卡信息。
文件搜索:搜索指定后缀的文件并且替换,挂马主要使用此功能
Server-U提权:Server-U存在较大漏洞,非必要不要安装。
注册表查询:功能几乎和regedit一样。
端口扫描:扫描指定端口,得到端口的开关状态
数据库管理:能够看到网站的文件,自然就能读取web.config,自然能够获得数据库密码,如果你是用的Sa,那将进一步中奖。
端口映射:这个功能似懂非懂,不知于局域网路由器端口映射是不是一个道理,没试成功。
看到这些功能,我相信为数不少的服务器在被上传了该木马后都得防线崩溃。那么亡羊补牢,应该怎么处理呢?
防止文件(夹)管理功能/文件搜索:禁止所有不该具有运行脚本的目录,比如Images/js/css,还有各种上传目录。另外将每个站点设置一个用户,应用程序的标识也设置为这个用户,将用户去除所有用户组,只保留IIS_WPG组。该用户仅能访问web目录。但是要给这个用户Modify及以下权限,不然会报app_domain创建失败的错误。这个能尽量防止木马传入,如果已经传入,也将损失降低到最小。
防止cmd命令:将cmd.exe的权限只保留Adminstrators和System.
防止IIS探测:将”%SystemRoot%/system32/activeds.dll/”%SystemRoot%/system32/activeds.tlb文件只保留Aministrators和System权限(详见参考1)。这是也能够找到的几篇文章中唯一关于处理该木马的方法,不过我看有的人指出这样设置重启后可能导致网站无法打开,系统无法远程连接,我是托管服务器,不敢试,所以请慎重设置。
“%SystemRoot%/ServicePackFiles/i386/activeds.dll
“%SystemRoot%/system32/activeds.dll
“%SystemRoot%/system32/activeds.tlb
防止查看系统进程:有文章指出通过禁用性能计数器可以达到此目的.(详见参考2)。
用户(组)信息:注意C盘的权限设置,(详见参考3 windows2003如何设置C盘权限)
系统信息/注册表查询:基本信息无法避免.net本来就可以获取,但是唯一注意C盘权限,不允许读取注册表就行。
数据库管理:数据库用户最好只针对当前应用,也就是一个应用一个帐号。
aspxspy作为一个木马来无疑是危害巨大的,最主要是保护好该木马上传的路径,这才是根本。另外一个角度说,aspxspy作为一个asp.net程序是一个很好的学习典范,实现了很多较难的功能,对于研究asp.net安全等很重要,想查看你的服务器是否安全,就把这个木马上传到服务器测试一下,由于这个木马网上很多,随便搜索一下就能下下,这里就不提供下载地址了。
另外几个安全的知识也写到这里,以后遇到的时候好参考:
1.windows2003如何设置C盘权限
建批处理文档,运行一下代码:
echo Y|cacls c:\ /c /g administrators:f system:f
echo Y|cacls d:\ /c /g administrators:f system:f
echo Y|cacls e:\ /c /g administrators:f system:f
echo Y|cacls f:\ /c /g administrators:f system:f
echo Y|cacls ‘C:\wmpub’ /c /t /g administrators:f system:f
echo Y|cacls ‘C:\Documents and Settings’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Documents and Settings\All Users’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Program Files’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\cacls.exe’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\net.exe’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\net1.exe’ /c /g administrators:f system:f
echo Y|cacls ‘%SystemRoot%\system32\cmd.exe’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\tftp.exe’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\netstat.exe’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\regedt32.exe’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\at.exe’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\shell32.dll’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\format.com’ /c /g administrators:f system:f
echo Y|cacls ‘C:\Windows\System32\wshom.ocx’ /c /g administrators:f system:f
echo Y|cacls ‘c:\windows\system32\shell32.dll’ /c /g administrators:f system:f
echo Y|cacls ‘C:\WINDOWS\System32\activeds.tlb’ /c /g administrators:f system:f
RD C:\Inetpub /S /Q
2.asp程序最近碰到一个上传图片,但如果上传图片的文件夹给了IIS可执行脚本的权限,那么他上传.jpg的图片也一样能够执行ASP木马。
上传的格式为:xxx.asp;_200.jpg
注意他是用.jpg的格式上传,但中间有.asp,这样也能执行脚本,应该也是IIS的BUG。
解决方法:
一、能上传的目录给IIS不允许执行脚本的权限。
二、利用其它带文件防护功能的软件防止*.asp;*.jpg写入文件。
三、所有目录允许读取,只要是写入的文件夹在IIS里请将脚本改为无。如果没有服务器的朋友,那被传马那也没办法了,除非你可以协调空间商帮你做这些操作。
文章来源 http://www.errorgo.com/aspnet-aspxspy.html
扫一扫
1618
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
