.net木馬目前很強(qiáng)的，

此木馬是一個(gè).NET程序制作，如果你的服務(wù)器支持.NET那就要注意了，，進(jìn)入木馬有個(gè)功能叫：IIS Spy

，點(diǎn)擊以后可以看到所有站點(diǎn)所在的物理路徑。以前有很多人提出過(guò)，但一直沒有人給解決的答案。。

防御方法：

"%SystemRoot%/ServicePackFiles/i386/activeds.dll
"%SystemRoot%/system32/activeds.dll
"%SystemRoot%/system32/activeds.tlb

搜索這兩個(gè)文件，把USER組和POWERS組去掉，只保留administrators和system權(quán)限。。如果還有其它組

請(qǐng)全部去掉。。這樣就能防止這種木馬列出所有站點(diǎn)的物理路徑。。。


asp程序最近碰到一個(gè)上傳圖片，但如果上傳圖片的文件夾給了IIS可執(zhí)行腳本的權(quán)限，那么他上傳.jpg

的圖片也一樣能夠執(zhí)行ASP木馬。呵呵
上傳的格式為：xxx.asp;_200.jpg
注意他是用.jpg的格式上傳，但中間有.asp，這樣也能執(zhí)行腳本，應(yīng)該也是IIS的BUG。

解決方法：
一、能上傳的目錄給IIS不允許執(zhí)行腳本的權(quán)限。
二、利用其它帶文件防護(hù)功能的軟件防止*.asp;*.jpg寫入文件。
三、所有目錄允許讀取，只要是寫入的文件夾在IIS里請(qǐng)將腳本改為無(wú)。如果沒有服務(wù)器的朋友，那被傳

馬那也沒辦法了，除非你可以協(xié)調(diào)空間商幫你做這些操作。

把ASP木馬改成后綴名字為JPG的文件，上傳到網(wǎng)站，然后以通過(guò)備份數(shù)據(jù)庫(kù)的方法，恢復(fù)JPG格式為ASP木馬。從而控制網(wǎng)站。通常如果只是上傳JPG格式的ASP木馬，是起不到破壞作用的。
如果大家關(guān)注了近期新聞的話一定會(huì)發(fā)現(xiàn)有一個(gè)漏洞的上鏡頻率多了起來(lái)。沒錯(cuò)，它就是微軟最新的JPEG圖片漏洞(Ms04-028)。

　　大家可別誤解是JPEG文件出了問題，其實(shí)并不是JPEG格式本身有問題，只能怪微軟的程序員，竟然讓人在操作系統(tǒng)的GDI+組件上發(fā)現(xiàn)一個(gè)解析畸形JPEG文件的緩沖區(qū)溢出的問題。該漏洞的涉及面非常廣，危害極大。用戶通過(guò)各種方式瀏覽圖片時(shí)受感染，同時(shí)又使自己機(jī)器可以運(yùn)行其它惡意代碼，包括各種病毒、非法控件的代碼，造成木馬病毒、蠕蟲病毒非法侵入本地計(jì)算機(jī)。

　　下面我就教大家如何利用JPEG漏洞制作一個(gè)圖片木馬，用它可以將圖片木馬發(fā)到論壇上，只要?jiǎng)e人瀏覽了帖子就會(huì)中木馬。只有了解了攻擊的原理，我們的防范才能做到有條不紊。

　　首先向大家推薦一個(gè)較為簡(jiǎn)單的制作圖片木馬的工具——JPG木馬生成器（JPEG Downloader）。在制作之前我們要先用木馬服務(wù)端生成一個(gè)配置文件，上傳到自己的主頁(yè)。

　　直接執(zhí)行JPG木馬生成器，會(huì)彈出一個(gè)對(duì)話框叫你輸入一個(gè)文件名，這個(gè)文件就是我們剛才配置的木馬文件。選擇自己配置好的木馬文件點(diǎn)擊生成，這樣就在本目錄下生成了一個(gè)名為MyPicture.jpg的文件，它就是我們的主角。

　　然后隨便選擇一個(gè)論壇，選擇發(fā)帖子，在內(nèi)容中加入（當(dāng)然是你自己的主頁(yè)空間里的文件地址了），再起個(gè)有誘惑力的名字，接下來(lái)就等著別人自投羅網(wǎng)吧。

　　后記

　　經(jīng)過(guò)測(cè)試JPEG漏洞只對(duì)Windows XP SP1和Windows 2003有效果，對(duì)于Windows 2000的各個(gè)版本來(lái)說(shuō)絲毫不起作用。

微軟官方漏洞修補(bǔ)方案http://www.microsoft.com/china/security/Bulletins/200409_jpeg.mspx

最新評(píng)論