当前位置: 代码迷 >> ASP >> 高手来解释一下图片木马是如何工作的
  详细解决方案

高手来解释一下图片木马是如何工作的

热度:305   发布时间:2012-02-05 12:07:14.0
高手来解释一下图片木马是怎么工作的?
公司网站有上传文件接口,只对类型进行限制,可以传jpg/gif等图片.
没有对内容进行审查,总是被传入一大堆的各式各样的jpg/gif木马,
刚才没事干下下来两个看看,写的还真详细,什么功能都有.

我就很纳闷,这些人做这些功能如此复杂的木马传上来,怎么工作那?
jpg文件又不能执行,而且服务器整个图片目录都没有执行权限.
我想了半天只想出两个途径:
1就是复制到别的地方并改名,改成xx.asp在执行.
2就是在别的目录下的asp文件,里面include

可是我其它地方的程序基本上没有用到过fso,也大概没什么漏洞供他改名用,而第2种情况更不可能出现,在其它目录下怎么会出现asp文件那?除非他们有我ftp密码.

还好公司网站至今还是没有被黑过,不过每天传上来几十上百个木马的确有点...
高人给解释解释除了上面两种途径还有什么办法可以实用图片木马.

------解决方案--------------------
只要有上传 对网站来说都是一种威胁 就算你的上传页面没有问题 那些所谓的黑客也可以通过别的方法得到你网站的权限 比如 他们可以先上传jpg格式的木马到你的服务器上 再通过后台的一些功能把这个jpg格式的还原成asp的 好多后台有备份数据库 这个功能就可以使jpg木马还原成asp的 还有 如果你是2003的系统 只要你的文件夹名是 XXX.asp格式的 那无论这个文件夹下的文件是什么格式的 都会被asp.dll解析。 。。。 还有N多种情况。。。。。。。。
------解决方案--------------------
这样的工具不仅仅是单独使用的,往往都是通过windows操作系统和iis的漏洞来联合攻击的;
所以尽量不要给太多上传得功能给用户,这就是一个突破口
------解决方案--------------------
你应该查下这些 "图 "有没有挂接地址,如果有,应该注意一下了,他们的目标也许不是你们,而是 "借刀杀人 ".
------解决方案--------------------
图片木马是将自己伪装成为图片的格式一旦被浏览就会下载到机器当中,这个时候它还是安全的(机器不会自己“运行”一个图片),但同一个网页上还有一小段程序欺骗IE将木马还原,同时恶毒地将木马程序添加到启动项,直到这一刻都没有任何程序被“运行”,但你下一次启动机器的时候木马便会完成种植过程。

这个应该就是你想要的答案了吧.
------解决方案--------------------
自学了一个晚上的木马原理和制作,发现这个小东西越来越对我的胃口,很小的一个程序却能让人琢磨很久。

木马归根结底就是一个EXE可执行文件,根据目的不同可以达到各种效果,比如偷QQ,删除文件,破坏系统等等,功能强大哈!

偷QQ的小木马制作非常简单,所以就从QQ木马说起。

会编程的人自己可以编写个小程序,原理是对方执行这个木马程序的时候,木马记录下你QQ的号码和密码然后利用你的网络发信,把信息传到一个指定的邮箱,或者嫌麻烦的直接下个《啊拉QQ木马大盗》就可以。

程序制作好了就可以把这个木马发给对方了吗?当然不,几乎没有人会傻到不安防火墙的打开一个可执行文件,下面才是开始。

文件捆绑。把木马程序和另外一个文件捆绑,比如和一个图片文件用常见的文件捆绑机合并成一个文件,然后把新生成文件的图表改为jpg图片格式的,文件的名字改为XXXXX.JPG.EXE(XXXXX即随便起),因为WINDOWS XP的初始设置为不显示已知文件类型的扩展名,这样,别人看到的这个文件就是一个完完全全的图片文件了。

哈哈,第一步完成,木马已经有了迷惑人心的能力了,下面,该让它骗过防火墙和杀毒软件了。

木马加壳。其实这一步是最难,也是最有挑战性的一步。木马加壳就是赋予一个程序防护外壳,使没有相应许可证的程序无法对它进行修改或者调用等。加壳的原理也是多种多样的,我们都知道杀毒软件的工作原理是采集多种木马和病毒的源文件,将其中一段标志性代码提取出来,这样在查毒的时候只要搜索文件中是否有相应的代码就知道这个文件是否带毒了。

根据杀毒软件的作用原理,可以在木马程序中加入一小段程序,使杀毒软件阅读到木马命令之前直接跳过,或者是将木马程序改为十六位进制的编码。这样,木马程序只有在执行的时候,才会将编码还原后执行它的秘密使命。

常用的UPX加壳方式,我们可以下载Obsidium程序进行。



这样,我们可以通过QQ或者邮箱发给对方一个文件,对方看见的可能是一个图片,一个EXCEL表格,一条新闻甚至一个笑话,殊不知木马已经绕过他的杀毒软件偷偷的在后台运行了,嘿嘿,这时候只要对方一上QQ,过一会你就守着邮箱等着接管对方的QQ号吧。



千日做贼,却没有千日防贼的,所以做小偷也要防着被人偷,那我们就可以采取下面的措施。

根据电脑配置,安装两个或多个杀毒软件,比如卡巴斯基(我的最爱,而且免费还自动更新)、诺顿(杀内存中的病毒效果超好)、瑞星(功能强大,就是贵啊!)、Anti-Virus(杀毒效果不错),这样,病毒就是逃过一个杀毒软件最终也逃不掉。

不轻易的打开未知的EXE文件,当然,文件查看方式要设置成可以看到文件的扩展名,如果一个文件的扩展名为XXXXX.jpg.exe或者XXXXX.doc.exe,想都不用想就是病毒。

如果你打开了一个不敢保证安全的文件之后,过了一会QQ忽然莫名其妙的掉线,而网页或者网游都正常,这时候马上打开杀毒软件和木马杀客后,上线去改QQ密码。

密码的输入也是有学问的,网游老鸟自然知道,就是删减乱序输入法,输入密码的几个字符之后加入几个错误的字符,然后把错误的字符删除再继续把密码输完,或者利用CTRL+C/V/X命令,把开始刻意输入的顺序错乱的密码改为正确的密码,因为木马是无法记录下删除命令和选中命令的。



这是网上的东西,摘自http://tianjiageng88.bokee.com/
------解决方案--------------------

上传的时候 最好传到另外一个静态站点的目录里 这样就基本没有什么威胁了

比如 你的站点是www.***.com 把上传的文件放到images.***.com这个静态站里面

这样他上传了文件不能被执行 他也不知道静态站的目录位置 也就无法再复制利用了

我就经常用这个办法 可以借楼主参考下
------解决方案--------------------
其实改名不一定要通过FSO,呵呵。

我所知道的就还有一种方式,一般挂马没有多大技术含量。这种木马一般的杀毒软件和安全设置都能对付。

高手一般不会用这种方式,顶多临时使用了会帮你删除掉,不仔细查是不会让你发现的。
------解决方案--------------------
一般网上租用的空间被黑的可能性都很低,除非网站漏洞百出,让人拿走数据罢了。

资源丰富的自主服务器是首选,就算某些服务没有,有些大胆的会临时借用服务器做服务,呵呵。