猫窝私语 — Makumo's Blog

玛酷猫的温馨小窝,记录生活点点滴滴。

@玛酷猫12年前

05/24
14:49
病毒安全

一个伪装ASP.NET框架的挂马

前段时间朋友的服务器被挂马了,找我帮忙。登陆他的站点,发现所有页面尾部有2段IFRAME的挂马。远程登陆他的服务器,查看了他的原代码,并没有看到挂马代码。查了下资料,应该确定是 ISAPI扩展 出了问题。在主IIS上——右键属性——ISAPI,共有4个扩展:
1、ASP.NET_1.1.(版本号) 级别是低, 路径C:WINDOWSMicrosoft.NETFrameworkv1.1.xxxxxaspnet_filter.dll
2、ASP.NET_1.0.(版本号) 级别是高, 路径C:WINDOWSMicrosoft.NETFrameworkv1.0.xxxxxaspnet_filter.dll
3、RpcProxy
4、wanps.dll 级别是高, 路径c:windowshelpwanps.dll
很明显,最后一个就是挂马。
查看目录还包括另外2个文件:
wanps.ini内容为:

=GAG5=ABCDEFG
Redirector=C:windowshelpwanps.txt

wanps.txt内容为:

 
 
 
 
 

停止IIS,删掉有问题的ISAPI和相关文件,重启IIS,浏览网页,挂马少了一个,不过还有一个依旧存在。代码类似,只不过网页地址加密过。

继续在网上查资料,也考虑到中了其他病毒/木马,或者ARP欺骗挂马,但是用杀软检查已经ARP检测工具也没有发现相关病毒以及ARP攻击,系统目录下asp.dll文件也没有什么改动。没办法,又把目光回到IIS上,初看那另外3条ISAPI扩展好象没有什么问题。不过我记得WIN2003默认.NET版本是1.1的,怎么有个1.0的,检查了C:WINDOWSMicrosoft.NETFramework目录下各个版本的文件,发现问题所在,那个1.0的文件夹下面只有3个文件,除了aspnet_filter.dll还有另外2个DLL(删快了,忘记录文件名了),判定应该是这块问题。停止IIS,删除ISAPI以及文件,再重启,挂马解决。

最后总结下目前几种挂马:
1、最基本的网页添加挂马,可以在受害程序中查找到挂马代码。通过程序漏洞、系统漏洞的方式直接添加在原始程序的头尾或者中间部分。删除原始程序代码中木马部分,打上漏洞补丁既能解决 。
2、病毒、木马挂马。解决方法:查杀病毒、木马。
3、ISAPI扩展挂马 ,往往全站都被挂马,原始程序中无挂马部分。解决方法如上。
4、系统文件C:WINDOWSsystem32inetsrvasp.dll(特指ASP的站点,PHP站点应该也有类似的)被修改挂马,用MD5软件和正常asp.dll的MD5码对比即可鉴别,解决方法停止IIS用正常的覆盖问题文件,重启IIS即可。
5、ARP欺骗挂马,原理不多叙述了,可以google下关键字“ARP 挂马 原理”,有很多这方面说明,以及解决方法。
6、CDN挂马,这个我也不是很懂,出现的比较少,感觉这个就类似某些地区的ADSL上网会被强行插入广告或者跳转至114站点。

目前只知道这么多了,以后有新的在补充。

一个伪装ASP.NET框架的挂马

@玛酷猫12年前

05/21
16:33
WordPress 建站日志

更换了K2的汉化文件

  更换了K2的汉化MO文件,这下翻译看起来舒服多了。也比较符合中国人的说话习惯。文章的显示时间也去掉了TIME部分,只有日期了,简洁了很多。用PoEdit看了K2的PO文件,感觉还是很有意思的,可以根据需要调整翻译的词语顺序结构了。用文本编辑器修改页面代码,写入中文部分经常显示出来是乱码,用主题编辑器处理就能正确显示,比较费解,看起来都是文本编辑器,估计可能是编辑器代码选的不对。另外感觉可以写入特殊英文字段在用MO文件转下,有空去试试。

更换了K2的汉化文件

@玛酷猫12年前

05/21
15:42
计算机

.CC/.TV 域名注册商的陷阱

   近几年,一直有不少注册商向企业主大力推销.cc域名,而他们推销的手法也多大同小异,一般都称.CC是新的全球性国际顶级域名,其含义为“Commercial Company”(商业公司)或者是“Chinese Company”(中国公司)。许多注册商甚至推出了中文.cc的域名来吸引企业用户购买。

中国互联网协会网络域名专家王云指出,事实上注册商的这种推销手法其中存在多重误导成份。所谓.CC,其实是位于印度洋、人口仅636人CocosIslands(科科斯群岛)岛国的国家和地区顶级域名,国际域名管理组织ICANN从来没有设立过Commercial Company或Chinese Company这样的通用顶级域名。而中文.CC实际上也只不过是一个岛国的国家顶级域名为后缀的中文域名。至于所谓“Chinese Company”和“Commercial Company”,只是某些企业为了营利而进行的误导,有投机、套利的嫌疑。

类似于.cc这样情况的的顶级域名还有.la(老挝人民共和国)和.tv(图瓦卢)。这些国家由于经济落后和人口稀少等原因一般都将域名资源卖给了国外一些域名注册机构,而国内的一些不法注册商则利用大众对此事不甚了解的特点,蓄意曲解这些域名的含义并从中牟利。”一位业内人士透漏。

“作为一个和互联网接触不多的人,我应该怎么判断域名的好坏?” 自从今年年初互联网域名与地址管理机构ICANN宣布正式开始运营“.asia(亚洲)”顶级域名开始,互联网上的顶级域名已经达到了266种之多,许多大众面对数量如此庞大的顶级域名显得无所适从。而互联网域名作为一种虚拟财产,对其价值的估算并没有绝对权威的标准,更加深了人们的困惑。

业内专家介绍,尽管不存在绝对权威的标准,但Internet上最著名的域名交易商Greatdomains公布的域名估价模式还是具有很高的权威性和参考价值。

Greatdomains采用三个C来估计域名的价值,这三个C分别为Characters(域名长度),Commerce(商业价值)和.Com(所在的顶级域名)。Greatdomains对每个C的评估结果分为0到4星五个等级,而三个C综合起来就决定了域名的价值。就顶级域名而言,Greatdomains认为同样的域名下,.com的价值是.net的四倍,而所有其它顶级域名的价值都不超过.com的十分之一。

“对于域名投资,政府首先应该对域名注册行业进行清理整顿,对存在欺诈行为的注册商进行严厉的处罚,另一方面也需要企业主加强自我保护意识,域名投资有风险,入市需谨慎。”该专家表示。

(节选《财经时报》相关报道)

.CC/.TV 域名注册商的陷阱

@玛酷猫12年前

05/14
17:03
心情点滴 建站日志

猫窝私语开通啦!

    终于开通了,准备忙活了快几周,发现理论和实际,本机处理和服务器处理简直就是两个概念嘛。
    早就想弄个自己的站点,苦于一直工作繁忙,没什么时间,前段时间几个Q友纷纷下达命令,叫我去她们Q-ZONE里面灌水,增加人气。于是乎有空就去转转。初始感觉Q-ZONE挺不错,界面花哨,反正自己也有Q号,也开了个。开了才发现并不是想象中那么简单,系统反映慢,大部分花哨不实用,还要Q币。弄了一会就放弃了,时间基本都花费在寻找免费装饰以及装饰的搭配上了。看着别人漂亮的页面,心中不免感慨:那是有钱人的游戏呀。Q-ZONE还不能关闭,没办法,只有加密了。弄得前几天一朋友还责怪我居然加密,不让他去浏览。狂汗呀!
    无意中接触到WordPress,记不清最早找什么资料找到yskin大大的BLOG上了,不由得眼前一亮,整洁清爽的界面,主要还是被Extended Live Archives归类页、Snap Preview Anywhere快照和一些其他有意思的东东吸引了。于是乎查找许多WP的资料,准备有时间的时候也建个自己的BLOG。
    刚接触php+mysql有点晕,毕竟没弄过,以前只弄过asp+mssql。照着教程在本机上做了win2003+php+mysql+…的平台,照着教程居然做了3遍才做起来,之前不是IIS问题浏览不了php,就是数据库连不上。粗粗的研究下WP,感觉还是很有意思,从多插件补充,总体还是挺方便的。代码还不敢看,怕晕倒在显示器前,呵呵。就像按照默认设置来弄了。
    前几天开通的空间,一古脑把东东都弄了上去,一显示发现汉字居然是乱码,苦闷中。GOOGLE了一下,发现是MYSQL版本引发的问题,按照网上面修改步骤,一步一步处理。备份数据库的时候发现没有写权限提示,联系了下空间客服,现在终于正确显示中文了。
    目前暂时能正确运行了,先用着默认设置啦,有空慢慢在改设置、页面风格了。

猫窝私语开通啦!