如何搜索木马隐藏的系统文件(downmoon原创)

最近服务器老是在木马出没,网管查了又查,杀了又来,今天决定亲自认真查一下,很快,在服务器上找到一个aspxSpy,还是1.1版本的,在网上搜索下,在作者主页,版本为2.0,看到如下说明:
1.开发环境VS2008 + C#,兼容FrameWork1.1/2.0,基本实现代码分离。
2.密码为32位MD5加密(小写) 默认为 admin.
3.全部采用POST方式提交数据,增强了隐蔽性。
4.增强了IIS探测功能,遍历IIS站点信息,绝对路径,多域名绑定,以及IIS账号密码。
5.增加了对指定文件的搜索功能。
6.修正了一些数据库操作的BUG。
7.增强了对注册表的读取,此部分由***完成,在此感谢。
8.修正了对端口的多线程扫描
9.增强了端口转发功能,参考了***的一些代码,在此感谢。

免责声明:此工具为安全检测工具,任何人使用此工具,做违法国家法律的事情,责任自负!

应该说,代码写的不赖,试用了下,果然破坏性相当恶劣,能上传文件,设置上传文件为RSHA,即系统隐藏文件,一般管理员搜索不出来,还有一些功能…………。
当然,对于有经验的windows管理员,比如像我(^_^)来说,是比较好办的,首先,重命名cmd文件,
再用改名过的CMD文件运行
cd c:\myweb
rem 存放网站的目录
c:
dir /S *.aspx /ah  
rem 可以是其他任意后缀名的文件,比如asp,jsp等等。

可以搜索出隐藏系统文件了吧?

文件太多,怎么办?
修改一下最后一行命令
dir /S *.aspx /ah >> e:\20090820.txt
rem 将搜索结果保存到 e:\20090820.txt。
rem
 其中>>为DOS为管道命令,我是在1994年了解这个命令的,那时候还是MSDOS 3.3和PSDOS 9.0并存的时代。呵呵。


搜索出文件,再进一步查下,是ftp的漏洞,还是iis,还是程序本身,或者外部组件(比如FCKeditor等)。当然,可能是内部出现问题,…………

继续跟踪木马中………………
posted @ 2009-08-20 10:41  邀月  阅读(1920)  评论(1编辑  收藏  举报