开启服务器日志
根据应用服务器的不同,有不同的日志开启方法,具体方法直接百度就行,比较简单。开启日志之后,用web扫描工具对网站进行扫描,利用文件上传漏洞进行挂马,然后我们可以查看日志,如果发现有未知页面被客户端访问,则可能发生了挂马行为,查找服务器有没有该木马文件,有就删掉。
apache-php开启日志方法
打开文件:
Apache/conf/httpd
找到:
#CustomLog "logs/access.log" combined
把井号注释去掉,保存,重启apache服务,日志就开启了。
用web扫描工具扫描一下,然后打开access.log文件查看日志:
可以看到网站有被扫描过的痕迹。
木马捆绑
工具:万能文件免杀捆绑器
用处:将木马文件伪装成正常文件诱导用户点击运行
这个工具没有免杀功能,免杀的话自己加壳效果才好。
点击添加文件,把木马文件和要捆绑的文件添加进来(选择释放运行),点击选择图标,选择文件它会自动把图标拉进来,最后点捆绑文件,就会生成捆绑后的文件。
把捆绑后的文件放到靶机上点击运行,被捆绑的文件和我们的木马文件都会运行。
木马清除
环境
样本木马:QQ盗号木马OSO.exe
工具:
1. IceSword(冰刃):禁止进程启动
2. Process Hacker:查看可疑进程
3. Autoruns:解决自动启动
如果上诉工具打不开的话需要对他们进行改名。
查看可疑进程
打开样本木马后,使用regedit无法打开注册表,然后我们打开Process Hacker查看到3个可疑进程:
删除任意一个进程都会使他们重启,解决办法就是三个进程同时杀掉,这样他们就不能相互唤醒了。
但当我们再次用regedit打开注册表的时候,有新的进程将他们唤醒:
解决镜像劫持(程序唤醒)
到这里,我们可以怀疑一下是镜像劫持导致的,用Autoruns的Image Hijacks工具,把所有镜像删掉:
可以看到,打开这些程序都会同时执行avipit.exe,然后这个exe文件会唤醒其他三个木马文件。
来自百度百科:所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger=”C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件,类似文件关联的效果。
这时候用regedit就能成功过打开注册表,同时不唤醒木马;但是重启电脑之后,木马文件又重新启动了,这时候我们用冰刃查看系统启动项:
解决开机自启
打开注册表,把这两个木马文件名的键删掉(直接用AutoRuns中的everything也可以找到这两个启动项,删掉即可):
彻底清除木马文件
在C://WINDOSW/System32下把木马文件删掉:
因为病毒做了文件隐藏,所以用冰刃中的文件管理来做这一步操作。
以下文件全都需要清除:
C:\WINDOWS\system32\drivers\conime.exe
C:\WINDOWS\system32\mmlucj.exe
C:\WINDOWS\system32\severe.exe
C:\windows\system32\drivers\avipit.exe