使用冰刃删除global.asa等挂马隐藏文件
近期发现访问一些网站时,标题会莫名出现一些违规的内容,甚至有的出现直接访问正常,而通过搜索引擎连接访问就会出现违规内容,排查后发现,基本都是通过global.asa或global.asax文件来达到的。
Global.asa 文件是一个可选的文件,它可包含可被 ASP 应用程序中每个页面访问的对象、变量以及方法的声明。所有合法的浏览器脚本都能在 Global.asa 中使用。
Global.asa 文件可包含下列内容:
Application 事件
Session 事件
声明
TypeLibrary 声明
#include 指令
注释:Global.asa 文件须存放于 ASP 应用程序的根目录中,且每个应用程序只能有一个 Global.asa 文件。
所以当含有木马代码的global.asa传到根目录后,就会调用跳转命令从而实现跳转到违规网站。
下面是一段global.asa木马文件的代码:
因为global.asa 文件是网站启动的文件,当一个网站被用户访问的时候,会执行Application_Start代码段的内容,当一个当一个用户第一次访问时会执行Session_Start代码段的内容,所以此段代码的作用就是当访问的时候自动下载获取木马内容,上面遇到的就是跳转性作用的木马代码。
当用户从百度点击进来的时候,网站的会自动跳转到其他网站:比如色情站点和有病毒的网站。再就是百度site:自己的网站会发现收录了许多色情页面。
如果global.asa和global.asax可见,那么可以直接删除或者强制删除,但也会出现这两个文件不可见的情况,ftp无法查看到,服务器上将所有隐藏文件都设置成可见仍然无法看到这两个文件,但这两个文件就是真实存在的,可以使用冰刃来进行删除。
下载地址:IceSword122en.zip
在file中进入对应的路径,可以看到这两个文件,同时删除掉即可。
如果global.asa和global.asax可见,那么可以直接删除或者强制删除,但也会出现这两个文件不可见的情况,ftp无法查看到,服务器上将所有隐藏文件都设置成可见仍然无法看到这两个文件,但这两个文件就是真实存在的,可以使用冰刃来进行删除。
下载地址:IceSword122en.zip
在file中进入对应的路径,可以看到这两个文件,同时删除掉即可。
版权声明:如无特殊标注,文章均为本站原创,转载时请以链接形式注明文章出处。
评论