猫窝私语 — Makumo's Blog

玛酷猫的温馨小窝,记录生活点点滴滴。

@玛酷猫11年前

05/24
14:49
病毒安全

一个伪装ASP.NET框架的挂马

前段时间朋友的服务器被挂马了,找我帮忙。登陆他的站点,发现所有页面尾部有2段IFRAME的挂马。远程登陆他的服务器,查看了他的原代码,并没有看到挂马代码。查了下资料,应该确定是 ISAPI扩展 出了问题。在主IIS上——右键属性——ISAPI,共有4个扩展:
1、ASP.NET_1.1.(版本号) 级别是低, 路径C:WINDOWSMicrosoft.NETFrameworkv1.1.xxxxxaspnet_filter.dll
2、ASP.NET_1.0.(版本号) 级别是高, 路径C:WINDOWSMicrosoft.NETFrameworkv1.0.xxxxxaspnet_filter.dll
3、RpcProxy
4、wanps.dll 级别是高, 路径c:windowshelpwanps.dll
很明显,最后一个就是挂马。
查看目录还包括另外2个文件:
wanps.ini内容为:

=GAG5=ABCDEFG
Redirector=C:windowshelpwanps.txt

wanps.txt内容为:

 
 
 
 
 

停止IIS,删掉有问题的ISAPI和相关文件,重启IIS,浏览网页,挂马少了一个,不过还有一个依旧存在。代码类似,只不过网页地址加密过。

继续在网上查资料,也考虑到中了其他病毒/木马,或者ARP欺骗挂马,但是用杀软检查已经ARP检测工具也没有发现相关病毒以及ARP攻击,系统目录下asp.dll文件也没有什么改动。没办法,又把目光回到IIS上,初看那另外3条ISAPI扩展好象没有什么问题。不过我记得WIN2003默认.NET版本是1.1的,怎么有个1.0的,检查了C:WINDOWSMicrosoft.NETFramework目录下各个版本的文件,发现问题所在,那个1.0的文件夹下面只有3个文件,除了aspnet_filter.dll还有另外2个DLL(删快了,忘记录文件名了),判定应该是这块问题。停止IIS,删除ISAPI以及文件,再重启,挂马解决。

最后总结下目前几种挂马:
1、最基本的网页添加挂马,可以在受害程序中查找到挂马代码。通过程序漏洞、系统漏洞的方式直接添加在原始程序的头尾或者中间部分。删除原始程序代码中木马部分,打上漏洞补丁既能解决 。
2、病毒、木马挂马。解决方法:查杀病毒、木马。
3、ISAPI扩展挂马 ,往往全站都被挂马,原始程序中无挂马部分。解决方法如上。
4、系统文件C:WINDOWSsystem32inetsrvasp.dll(特指ASP的站点,PHP站点应该也有类似的)被修改挂马,用MD5软件和正常asp.dll的MD5码对比即可鉴别,解决方法停止IIS用正常的覆盖问题文件,重启IIS即可。
5、ARP欺骗挂马,原理不多叙述了,可以google下关键字“ARP 挂马 原理”,有很多这方面说明,以及解决方法。
6、CDN挂马,这个我也不是很懂,出现的比较少,感觉这个就类似某些地区的ADSL上网会被强行插入广告或者跳转至114站点。

目前只知道这么多了,以后有新的在补充。

一个伪装ASP.NET框架的挂马