安科网

淘特ASP木马扫描器的代码

ASP编程

ASP编程

2017-01-06

关注 关注

+-----------------+

|淘特ASP木马扫描器|

+-----------------+

本程序可以扫描服务器上的所有指定类型(asp,cer,asa,cdx)的文件,查出可疑的木马程序。系统采用扫描程序与病毒库分离的形式,

以后升级只需像杀毒软件那样升级病毒库就可以了。目前可以查杀所有流行的ASP木马程序。

系统提供了全站扫描、按文件夹和指定文件扫描三种扫描方式,如果网站文件比较少的话,推荐使用"全站扫描",如果文件比较多,推荐

使用按文件夹扫描。扫描过程,系统会记录被扫描过的文件列表,同时对怀疑是木马程序的文件以列表的形式展现,为了便于比较最近有可能

被上传过ASP木马程序,系统特别对当前时间7日内修改、创建的文件以加红显示;系统会对怀疑是木马的文件作出"级别"判断,并加以颜色区分

;建议对级别为"一般"的程序作手动检查后,再作处理,对级别为"严重"的文件,可以点击"文件名称"下的文件链接,一般打开后木马程序都会

有一个登录提示,这时就点击"文件名称"下的"删除"链接,直接将文件从服务器中删除即可。如果担心会误删除,可以先点击"下载"将文件备份。

使用方法:

将本程序解压后的文件上传至服务器中。执行:http://你的网址/scan.asp

+-----------------+

|登录密码:totscan|

+-----------------+

virus_lib.asp

复制代码 代码如下:

<% dim virus(1,7),virus_Regx(1,4) '定义木马组件 virus(0,0)="WScript" virus(1,0)="级别:<font color=""green"">严重!</font><br>WScript 多为木马关键字" virus(0,1)="Shell" virus(1,1)="级别:<font color=""green"">严重!</font><br>Shell 多为木马关键字" virus(0,2)="Shell.Application" virus(1,2)="级别:<font color=""green"">严重!</font><br>asp 组件,一般多为木马所用" '海阳组件 virus(0,3)="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8" virus(1,3)="级别:<font color=""green"">严重!</font><br>asp WScript 组件,一般多为木马所用" virus(0,4)="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" virus(1,4)="级别:<font color=""green"">严重!</font><br>asp wscript 组件,一般多为木马所用" virus(0,5)="clsid:093FF999-1EA0-4079-9525-9614C3504B74" virus(1,5)="级别:<font color=""green"">严重!</font><br>asp net 组件,一般多为木马所用" virus(0,6)="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" virus(1,6)="级别:<font color=""green"">严重!</font><br>asp net 组件,一般多为木马所用" virus(0,7)="clsid:0D43FE01-F093-11CF-8940-00A0C9054228" virus(1,7)="级别:<font color=""green"">严重!</font><br>asp fso 组件,一般多为木马所用" '定义木马关键字 virus_Regx(0,0)="@\s*LANGUAGE\s*=\s*[""]?\s*(vbscript|jscript|javascript).encode\b" virus_Regx(1,0)="级别:<font color=""green"">严重!</font><br>脚本被加密了,一般ASP文件是不会加密的。" virus_Regx(0,1)="\bEval\b" virus_Regx(1,1)="级别:<font color=""gray"">一般!</font><br>eval()函数可以执行任意ASP代码,被一些后门利用。其形式一般是:ev"&"al(X)<br>但是javascript代码中也可以使用,有可能是误报。" virus_Regx(0,2)="[^.]\bExecute\b" virus_Regx(1,2)="级别:<font color=""gray"">一般!</font><br>execute()函数可以执行任意ASP代码,被一些后门利用。其形式一般是:ex"&"ecute(X)。" virus_Regx(0,3)="Server.(Execute|Transfer)([ \t]*|\()[^""]\)" virus_Regx(1,3)="级别:<font color=""gray"">一般!</font><br>不能跟踪检查Server.e"&"xecute()函数执行的文件。请管理员自行检查。" virus_Regx(0,4)="CreateObject[ |\t]*\(.*\)$[^adodb.recordset]" virus_Regx(1,4)="级别:<font color=""gray"">一般!</font><br>Crea"&"teObject函数使用了变形技术,仔细复查" %>

scan.asp

复制代码 代码如下:

<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <!--#include file="virus_lib.asp"--> <% server.ScriptTimeout =90000 dim act act=request.QueryString("act") Const PASSWORD = "totscan" if act="login" then     if request.Form("pwd") = PASSWORD then session("login")="ok" end if %> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> <title>Asp木马扫描器</title> <script language="JavaScript" type="text/JavaScript"> function ConfirmDel() {    if(confirm("确认删除?并且不能恢复!"))      return true;    else      return false; } </script> </head> <body> <div align="center"><h2>Asp木马扫描器</h2></div> <hr> <% If Session("login") <> "ok" then     call LoginForm() else     dim pathStr     if request("path")<>"" then         pathStr=request("path")     else         pathStr=server.MapPath("/")     end if     response.Write("<a href=""javascript:history.back();"">←返回</a><br>"&Chr(10))     if act="scan" then                 dim ScanFileType,Suspect,ScanFileNum,ScanFolderNum,BeginTime,EndTime,TmpPath,Report                 ScanFileType = "asp,cer,asa,cdx"         Suspect = 0         ScanFileNum = 0         ScanFolderNum =0                 BeginTime = timer         response.Write("<textarea name=""textarea"" style=""width:100%"" rows=""5"">"&Chr(10))         response.Write("扫描日志:"&vbcrlf)         if(request.QueryString("file")<>"") then             Call ScanFile(request.QueryString("file"),"")         else             Call ScanFolder(pathStr)         end if         response.Write("</textarea>")         Call ShowResult()         EndTime = timer                 response.write "<br><font size=""2"">执行时间:"&cstr(int(((EndTime-BeginTime)*10000 )+0.5)/10)&"毫秒</font>"         elseif act="del" then         Call DelFile(request.QueryString("file"))         response.Write("<br><a href="""&request.ServerVariables("HTTP_REFERER")&""">返回</a>")     elseif act="down" then         Call Download(request.QueryString("file"))     else         call FileList(pathStr)         call ScanForm()     end if end if %> <hr> </body> </html> <% Sub LoginForm %> <form name="form1" method="post" action="?act=login">   <div align="center">Password:      <input name="pwd" type="password" size="15">      <input type="submit" name="Submit" value="提交">   </div> </form> <% end Sub Sub ScanForm %> <form action="?act=scan" method="post">     <input type="submit" value=" 全站扫描 " style="background:#fff;border:1px solid #999;padding:2px 2px 0px 2px;margin:4px;border-width:1px 3px 1px 3px" /> </form> <% end sub '遍历处理path及其子目录所有文件 Sub FileList(Path)     Set FSO = CreateObject("Scripting.FileSystemObject")     if not fso.FolderExists(path) then exit sub     Set folders = FSO.GetFolder(Path)'目录下所有对象     Set files = folders.files     Set subfolders = folders.SubFolders     '列表文件夹     For Each fl in subfolders         response.Write("<a href=""?path="&Path&"\"&fl.name&"""><img src=""images/folder.gif"" border=""0"">"&fl.name&"</a>"&Chr(10))         response.Write("<a href=""?act=scan&path="&Path&"\"&fl.name&""">扫描</a><br>"&Chr(10))     Next     '列表文件     For Each file_f in files         response.Write("<img src=""images/file.gif"">"&file_f.name&""&Chr(10))         response.Write("<a href=""?act=scan&file="&Path&"\"&file_f.name&""">扫描</a><br>"&Chr(10))     Next     set folders=nothing     set files=nothing     set subfolders=nothing     Set FSO = Nothing End Sub Sub ShowResult %> <table width="100%" border="0" cellpadding="0" cellspacing="0" class="CContent">   <tr>     <td class="CPanel" style="padding:5px;line-height:170%;clear:both;font-size:12px">         扫描完毕!一共检查文件夹<font color="#FF0000"><%=ScanFolderNum%></font>个,文件<font color="#FF0000"><%=ScanFileNum%></font>个,发现可疑点<font color="#FF0000"><%=Suspect%></font>个     </td></tr></table> <table width="100%" border="0" cellpadding="0" cellspacing="1" style="padding:5px; background-color:#666666;line-height:18px;clear:both;font-size:12px">     <tr>         <td width="30%" bgcolor="#FFFFFF">文件名称</td>         <td width="20%" bgcolor="#FFFFFF">特征码</td>         <td width="30%" bgcolor="#FFFFFF">描述</td>         <td width="20%" bgcolor="#FFFFFF">创建/修改时间</td>     </tr>     <p>     <%=Report%>     <br/>     </p> </table> <% end Sub '遍历处理path及其子目录所有文件 Sub ScanFolder(Path)     dim folders,files,subfolders     ScanFolderNum = ScanFolderNum + 1     Set FSO = CreateObject("Scripting.FileSystemObject")     if not fso.FolderExists(path) then exit sub     Set folders = FSO.GetFolder(Path)     Set files = folders.files     For Each myfile in files         If CheckExt(FSO.GetExtensionName(path&"\"&myfile.name)) Then             Call ScanFile(Path&"\"&myfile.name, "")                     End If     Next     Set subfolders = folders.SubFolders     For Each f1 in subfolders         ScanFolder path&"\"&f1.name             Next     set folders=nothing     set files=nothing     set subfolders=nothing     Set FSO = Nothing End Sub '检测文件 Sub ScanFile(FilePath, InFile)     dim FSOs,ofile,filetxt,fileUri,vi     ScanFileNum = ScanFileNum + 1     response.Write("扫描文件:"&FilePath&vbcrlf)     response.Flush()     If InFile <> "" Then         Infiles = "该文件被<a href=""http://"&Request.Servervariables("server_name")&"\"&InFile&""" target=_blank>"& InFile & "</a>文件包含执行"     End If     Set FSOs = CreateObject("Scripting.FileSystemObject")     on error resume next     set ofile = fsos.OpenTextFile(FilePath)     filetxt = Lcase(ofile.readall())     If err Then Exit Sub end if     if len(filetxt)>0 then                 '特征码检查         fileUri = "<a href=""http://"&Request.Servervariables("server_name")&":"&Request.ServerVariables("SERVER_PORT")&"\"&replace(FilePath,server.MapPath("\")&"\","",1,1,1)&""" target=_blank>"&replace(FilePath,server.MapPath("\")&"\","",1,1,1)&"</a><br>"         fileUri=fileUri&"操作: <a href=""?act=del&file="&FilePath&""" onClick=""return ConfirmDel()"">删除</a>"         fileUri=fileUri&" <a href=""?act=down&file="&FilePath&""">下载</a>"         for vi=0 to ubound(virus,2)             If instr(filetxt, Lcase(virus(0,vi))) then                 Report = Report&"<tr bgcolor=""#FFFFFF""><td>"&fileUri&"</td><td>"&virus(0,vi)&"</td><td>"&virus(1,vi)&infiles&"</td><td>创建:"&GetDateCreate(filepath)&"<br>修改:"&GetDateModify(filepath)&"</td></tr>"                 Suspect = Suspect + 1             End if         next                     for vi=0 to ubound(virus_Regx,2)             Set regEx = New RegExp             regEx.IgnoreCase = True             regEx.Global = True             regEx.Pattern = virus_Regx(0,vi)             If regEx.Test(filetxt) Then                 Report = Report&"<tr bgcolor=""#FFFFFF""><td>"&fileUri&"</td><td>"&virus_Regx(0,vi)&"</td><td>"&virus_Regx(1,vi)&infiles&"</td><td>创建:"&GetDateCreate(filepath)&"<br>修改:"&GetDateModify(filepath)&"</td></tr>"                 Suspect = Suspect + 1             End If         next                 'Check include file         Set regEx = New RegExp         regEx.IgnoreCase = True         regEx.Global = True         regEx.Pattern = "<!--\s*#include\s*file\s*=\s*"".*"""         Set Matches = regEx.Execute(filetxt)         For Each Match in Matches                         tFile = Replace(Mid(Match.Value, Instr(Match.Value, """") + 1, Len(Match.Value) - Instr(Match.Value, """") - 1),"/","\")             If Not CheckExt(FSOs.GetExtensionName(tFile)) Then                 Call ScanFile( Mid(FilePath,1,InStrRev(FilePath,"\"))&tFile, replace(FilePath,server.MapPath("\")&"\","",1,1,1) )                 SumFiles = SumFiles + 1             End If         Next         Set Matches = Nothing         Set regEx = Nothing         'Check include virtual         Set regEx = New RegExp         regEx.IgnoreCase = True         regEx.Global = True         regEx.Pattern = "<!--\s*#include\s*virtual\s*=\s*"".*"""         Set Matches = regEx.Execute(filetxt)         For Each Match in Matches             tFile = Replace(Mid(Match.Value, Instr(Match.Value, """") + 1, Len(Match.Value) - Instr(Match.Value, """") - 1),"/","\")             If Not CheckExt(FSOs.GetExtensionName(tFile)) Then                 Call ScanFile( Server.MapPath("\")&"\"&tFile, replace(FilePath,server.MapPath("\")&"\","",1,1,1) )                             End If         Next         Set Matches = Nothing         Set regEx = Nothing         'Check Server&.Execute|Transfer         Set regEx = New RegExp         regEx.IgnoreCase = True         regEx.Global = True         regEx.Pattern = "Server.(Exec"&"ute|Transfer)([ \t]*|\()"".*"""         Set Matches = regEx.Execute(filetxt)         For Each Match in Matches             tFile = Replace(Mid(Match.Value, Instr(Match.Value, """") + 1, Len(Match.Value) - Instr(Match.Value, """") - 1),"/","\")             If Not CheckExt(FSOs.GetExtensionName(tFile)) Then                 Call ScanFile( Mid(FilePath,1,InStrRev(FilePath,"\"))&tFile, replace(FilePath,server.MapPath("\")&"\","",1,1,1) )                             End If         Next         Set Matches = Nothing         Set regEx = Nothing                  end if     set ofile = nothing     set fsos = nothing End Sub '检查文件后缀,如果与预定的匹配即返回TRUE Function CheckExt(FileExt)     If ScanFileType = "*" Then CheckExt = True     Ext = Split(ScanFileType,",")     For i = 0 To Ubound(Ext)         If Lcase(FileExt) = Ext(i) Then              CheckExt = True             Exit Function         End If     Next End Function '删除文件 Sub DelFile(FilePath)     Set fso = Server.CreateObject("Scripting.FileSystemObject")      if fso.FileExists(FilePath) then          fso.DeleteFile(FilePath)          Response.Write("<h2>成功删除文件:</h2>" &FilePath)     else         response.Write("<h2>删除失败!文件:"&FilePath&"没有找到!</2>")      end if      set fso=nothing end Sub '下载文件 sub Download(FilePath)     dim oStream     Set FSO = Server.CreateObject("Scripting.FileSystemObject")     if FSO.FileExists(FilePath) then         set oStream=Server.CreateObject("ADODB.Stream")         oStream.Type=1         oStream.Open         on error resume next         oStream.LoadFromFile(FilePath)         if Err.Number=0 then             Response.AddHeader "Content-Disposition", "attachment; filename=" & FSO.GetFileName(FilePath)             Response.AddHeader "Content-Length", oStream.Size             Response.ContentType="bad/type" 'yeu cau ie hien hop thoai save-as             Response.BinaryWrite oStream.Read         end if         oStream.Close         set oStream=nothing     end if     set FSO=nothing end sub Function GetDateModify(filepath)     dim s,days     Set fso = CreateObject("Scripting.FileSystemObject")     Set f = fso.GetFile(filepath)      s = f.DateLastModified      set f = nothing     set fso = nothing     days=DateDiff("d",Cdate(s),now())     if(days>-7 and days<7) then         s="<font color=""red"">"&s&"</font>"     end if     GetDateModify = s End Function Function GetDateCreate(filepath)     dim s,days     Set fso = CreateObject("Scripting.FileSystemObject")     Set f = fso.GetFile(filepath)      s = f.DateCreated      set f = nothing     set fso = nothing     days=DateDiff("d",Cdate(s),now())     if(days>-7 and days<7) then         s="<font color=""red"">"&s&"</font>"     end if     GetDateCreate = s End Function %>

asp virus

ASP编程

ASP编程

11 关注 2 粉丝 0 动态

关注 关注

相关推荐

Asp.Net Core 企业微信静默授权的实现

1)code只能消费一次,不能重复消费。比如说,是否存在多个服务器同时消费同一code情况。2)code需要在有效期间消费(5分钟),过期会自动失效。

柳峰 2020-10-07

创建一个ASP.NET MVC5项目的实现方法(图文)

创建第一个MVC项目。选择] ASP.NET Web应用程序

ALonWol 2020-09-18

深入浅析ASP在线压缩access数据库的方法

ASP在线压缩ACCESS数据库原理很简单:利用JRO.JetEngine的压缩功能建立一个新的数据库文件,然后把原来的删掉、替换!既然这样,压缩程序只需几行就ok了!把下面的代码保存为**.asp,数据库文件放在相同目录下,执行asp搞定!Compact

风之羽翼 2020-09-14

在 asp.net core 的中间件中返回具体的页面的实现方法

在 asp.net core 中,存在着中间件这一概念,在中间件中,我们可以比过滤器更早的介入到 http 请求管道,从而实现对每一次的 http 请求、响应做切面处理,从而实现一些特殊的功能。在使用中间件时,我们经常实现的是鉴权、请求日志记录、全局异常处

XuDanT 2020-09-16

ASP和PHP文件操作速度的对比

最近一个项目中,有一个读取某个文件夹下所有文件的功能。使用了ThinkPHP + layui,本地测试没有问题,到客户哪里发现速度奇慢,需要10秒以上才能读取完毕。经沟通发现一个文件夹有1000+ 个文件,客户之前有一套asp的老系统,1000多个 文件也

Nicolase 2020-09-16

精美前端UI(VUE)界面,ASP.NET通用工作流开发分享

工作流在IT领域算是一个老话题了,最早的工作流思想在上世纪60年代就有人提过,70年代有人开始了初步尝试,但是由于技术的限制,直到80年代才有第一批比较成功的工作流,随后工作流便逐步走向了爆发期,90年代便出现了很多类型的工作流,不过其主旨是不变的,那就是

anaction 2020-08-17

浅谈ASP.NET Core静态文件处理源码探究

静态文件等是Web程序的重要组成部分。传统的ASP.NET项目一般都是部署在IIS上,IIS是一个功能非常强大的服务器平台,可以直接处理接收到的静态文件处理而不需要经过应用程序池处理,所以很多情况下对于静态文件的处理程序本身是无感知的。ASP.NET Co

smithdoudou 2020-08-16

ASP.NET Core 奇淫技巧之伪属性注入的实现

开局先唠嗑一下,许久未曾更新博客,一直在调整自己的状态,去年是我的本命年,或许是应验了本命年的多灾多难,过得十分不顺,不论是生活上还是工作上。还好当我度过了所谓的本命年后,许多事情都在慢慢变好,我将会开始恢复更新博客,争取恢复到以前的速度上。在依赖注入时,

somyjun 2020-08-16

如何将asp.net core3.1项目部署到centos docker

新建一个 asp.netcore3.1 web项目,并将项目发布到centos系统中的docker容器里,实现方法如下:。点击按钮,发布完成后在本地发布的文件夹中添加一个Dockerfile的文本文件,此文件没有后缀。因为国内连接 Docker 的官方仓库

kuzilala 2020-07-26

JavaScript-Runoob-AJAX:ASP/PHP 实例

AJAX 用于创造动态性更强的应用程序。下面的例子将为您演示当用户在输入框中键入字符时,网页如何与 web 服务器进行通信: 请在下面的输入框中键入字母:。当用户在上面的输入框中键入字符时,会执行函数 "showHint()" 。该函数

坚持着执着 2020-07-16

Asp.Net Core Blazor之容器部署

  Docker作为开源的应用容器引擎,可以让我们很轻松的构建一个轻量级、易移植的容器,通过Docker方式进行持续交付、测试和部署,都是极为方便的,并且对于我们开发来说,最直观的优点还是解决了日常开发中的环境配置与部署环境配置上的差异所带来的种种疑难杂症

katanaFlower 2020-07-05

MediatR 框架在.Asp.net Core 中的应用

MediatR 支持The Command and Query Responsibility Segregation pattern. 下面我们具体会提到.ok,到此为止我们可以在Asp.net core web api 中使用MediatR .我们在根

TimeMagician 2020-06-28

CentOS 8 部署 ASP.NET Core 3.1 应用程序

系统安装:我采用的是 VMware Workstation 来安装 CentOS 8 虚拟机,虚拟机设置:内存 2G 以上,网络连接使用桥接模式。.NET Core 3.1 在 CentOS 8 的默认包存储库中有提供,直接使用下面命令安装 SDK:。安装

87901735 2020-06-27

【Docker】Asp.net core在docker容器中的端口问题

还记得一步步学习docker(三)——实战部署dotnetcore]中遇到的问题么?容器内部启动始终是80端口,并不由命令左右。所谓知其然就要知其所以然,浅尝辄止并不是个好习惯,主要是以下几个因素共通导致了这种情况。ASP.NET Core项目使用Kest

flyDeDog 2020-06-07

ASP.NET Core Blazor Webassembly 之 数据绑定

数据绑定技术以数据为主导来驱动UI界面,用户对数据的修改会实时提现在UI上,极大的提高了开发效率,让开发者从繁琐的dom操作中解脱出来。对于数据绑定.NET开发者并不会陌生,WPF里大量应用数据绑定技术,有过WPF开发经验的同学其实很容易理解前端的数据绑定

80337710 2020-06-05

ASP.NET MVC5 - 视图页URL地址传参与控制器接受

2- Home/Index?id1=88?id2=99 (Request三种接受方法)

闲来也无事 2020-06-04

ASP.NET Core 2.0中的HttpContext

ASP.NET Core 2.0中的HttpContext相较于ASP.NET Framework有一些变化,这边列出一些之间的区别。请求的唯一的ID:。// If no query parameter "key" used, valu

wallowyou 2020-05-20

asp.net core web api限制输入、模型验证

我想要在我的web api里限制一下模型的输入,例如我的一个模型有一个title属性,我不希望新创建title的长度超过20,我能想到的办法只有在Controller的Action里加if语句,但这样会让Controller非常难看,也不利于后面新功能的扩

xieyixiao 2020-04-23

Asp.ner Core-Blazor(MVVM)随手记

Blazor真的是微软开发的一个类似Vue.js & Angular.js的东西,不过感觉还是替代不了这两个js,主要是因为前端页面跑C#代码有点浪费资源的感觉。Blazor WebAssembly app就是专门用来把C#代码嵌入进Page里面的

89427412 2020-04-22

ASP.NET界面开发——DevExpress v19.2增强CardView

DevExpress ASP.NET Bootstrap Controls利用轻量级渲染、响应式布局和现代性能优化技术,扩展网站的受众范围并提高搜索排名。渲染的代码仅使用Bootstrap CSS组件,所有的控件都将适应任何屏幕的分辨率。DevExpres

HXCHUANG 2020-04-09
ASP编程

ASP编程

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号