前不久, 我朋友的一臺服務器慘遭所謂hacker入侵,植入無數只馬,不管大馬,小馬,還放了好幾只蟲子,并且管理員組多了好幾位新的朋友,朋友問我有何解決辦法,大清早才上去幫他瞅瞅.郁悶死. 原來他服務器的安全足夠可以自殺了.以前我跟他說過要如何如何,不聽勸,在服務器上安裝了各種各樣的服務,還說要做IDC, 暈死.此事姑且不表,近一年來個人都很少去處理安全的東西,只是一直忙于開發自己的產品SnSites,今天從他服務器揪出一條超級蟲進行相關剖析."為了中國的網絡安全事業",海洋頂端再怎么也得對不起一次了.嘿嘿.

  可以說,海洋此次新版,功能超級,超牛B, 我嘛,主要*寫小程序混飯吃,還能看得懂.

除了它以前經常使用的對象外,此次還加了可以讓管理員毛骨悚然的ADSI對象,要知道ADSI可是無所不能,在應用軟件編程里可以操縱WINNT的很多東西,比如添加管理員,用戶組,獲取遠程主機的......嚇壞了吧?廢話少說. 以下是進入海洋2006新版后的界面.

如下圖:

海陽頂端網ASP木馬@2006


--------------------------------------------------------------------------------

系統服務信息

服務器相關數據
(系統參數,系統磁盤,站點文件夾,終端端口&自動登錄)

服務器組件探針

系統用戶及用戶組信息

客戶端服務器交互信息

WScript.Shell程序運行器

Shell.Application程序運行器

FSO文件瀏覽操作器

Shell.Application文件瀏覽操作器

微軟數據庫查看/操作器

文件夾打包/解開器

文本文件搜索器

一些零碎的小東西

--------------------------------------------------------------------------------

Powered By Marcos 2005.02

打開源程序研究研究....

<object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></object>
<object runat="server" id="sa" scope="page" classid="clsid:13709620-C279-11CE-A49E-444553540000"></object>

開頭就來四個對象.

明眼人一看就知道是啥了吧?

第一個是:wscript.shell,第二個仍然是,只不過稍不同.wscript.network 好像是.不記得了.

第三個是fso,第四個是shell.application

有的人說,禁止FSO不就萬事大吉了?費這么多功夫做什么?

可以告訴你,不用FSO一樣可以寫入文件和創建文件,adodb.stream就可以做到.

更何況shell.application?

爽快地刪除了wscript.shell,wscript.network,shell.application這些個不安全對象.

FSO可以不用刪除.可保自身安全,也讓那些個不注重安全的網站用戶受受罪.

這就是"不同WEB不同低權限用戶"訪問方法.詳細設置方法請參考其他貼子.

當然了.看看海洋失效與否,肯定得一邊測試一邊來看效果了.

當其他的安全設置:升級FTP到6.X最新版,刪除mssql不安全存儲過程,加強本地安全策略,

限制本地連接端口等等, 再對IIS6.0(Win2003)進行一些比較安全的設置.

再次運行海洋2006, 以上界面所列功能除了一個其他已全部失效.唯有這個"系統用戶及用戶組信息 "還是可以運行,打開源程序.


Sub PageUserList()
Dim objUser, objGroup, objComputer

showTitle("系統用戶及用戶組信息查看")
Set objComputer = GetObject("WinNT://.")
objComputer.Filter = Array("User")
echo "<a href=javascript:showHideMe(userList);>User:</a>"
echo "<span id=userList><hr/>"
For Each objUser in objComputer
  echo "<li>" & objUser.Name & "</li>"
  echo "<ol><hr/>"
  getUserInfo(objUser.Name)
  echo "<hr/></ol>"
Next
echo "</span>"

echo "<br/><a href=javascript:showHideMe(userGroupList);>UserGroup:</a>"
echo "<span id=userGroupList><hr/>"
objComputer.Filter = Array("Group")
For Each objGroup in objComputer
  echo "<li>" & objGroup.Name & "</li>"
  echo "<ol><hr/>" & objGroup.Description & "<hr/></ol>"
Next
echo "</span><hr/>Powered By Marcos 2005.02"

End Sub

關鍵在于這句"Set objComputer = GetObject("WinNT://.")"

把這個對象給殺了不就完事了?對.正是如此.

但這是ADSI,這是WMI的對象.并不在注冊表里可以找得到的.

也就是它應該是一種服務,OK,我們到服務里找吧.

它對應的服務應該是WorkStation,停止此服務后,再次運行.

海洋2006基本上所列功能已失效.為什么說是基本上,因為我只測試了它列出的這些功能.

至于它有沒有隱藏的功能.請原諒我不知道.因為代碼有80K,

兄弟你去一行一行看.至少應該有四萬行代碼.

好像沒什么好說的了.就這樣了.對不起如下這N個兄弟們了.

Sub showTitle(str)
echo "<title>" & str & " - 海陽頂端網ASP木馬2006 - By Marcos & LCX</title>" & vbNewLine
echo "<meta http-equiv='Content-Type' content='text/html; charset=gb2312'>" & vbNewLine
echo "<!--" & vbNewLine
echo "=衷心感謝=====================================================" & vbNewLine
echo "網辰在線、化境編程、桂林老兵、冰狐浪子、藍屏、小路、wangyong、" & vbNewLine
echo "czy、allen、lcx、Marcos、kEvin1986、myth對海陽頂端網asp木馬所" & vbNewLine
echo "做的一切努力！" & vbNewLine
echo "==============================================================" & vbNewLine & vbNewLine
echo "=本版關于=====================================================" & vbNewLine
echo "程序編寫: Marcos" & vbNewLine
echo "聯系方式: QQ26696782" & vbNewLine
echo "發布時間: 2005.02.28" & vbNewLine
echo "出 品 人: Allen, lcx, Marcos" & vbNewLine
echo "官方發布: www.HIDIDI.NET(2) www.HAIYANGTOP.NET(1)" & vbNewLine
echo "==============================================================" & vbNewLine
echo "-->" & vbNewLine
PageOther()
End Sub

只是請所有擁有此版本的朋友們勿以入侵國內主機及服務器為好.

要黑或者要入侵可以去入侵國外.有機會帶上3cts.com,謝謝.

3cts.com 杜雪.Net

2005.05.05


1、卸載wscript.shell對象
regsvr32 WSHom.Ocx /u

2、卸載FSO對象
regsvr32.exe scrrun.dll /u

3、卸載stream對象
regsvr32 /u "C:\\Program Files\\Common Files\\System\\ado\\msado15.dll"

4、卸載Shell.Application對象
regsvr32.exe shell32.dll /u