【干货】查杀WIN2003服务器webshell与恶意链接的VBS脚本

过客

保存为OOXX.vbs，然后运行即可。

PS.看到这个脚本里一些熟悉的WEB后门程序（webshell），想起了许多许多。。。

1. '本程序可以直接双击，主要作用是扫描网站中的木马、病毒程序，发现后会对其自动更名为xxx.w3bak，或将指定的内容替换为空。
   
2. '2011-7-19
   
3. On Error Resume Next
   
4. Dim ScanType,FolderPath,fso,virCode,isScanSub,logfile
   
5. Set fso=createobject("scripting.filesystemobject")
   
6. Set objShell = CreateObject("Shell.Application")
   
7. set WshShell = CreateObject("wscript.Shell"):init
   
8. S_MixSize = 0 : S_MaxSize = 200                '扫描文件大写限制
   
9. Dim iframeCode(20)                                        '这个表示替换为空的部分，自己可添
   
10. iframeCode(0)=""
    
11. iframeCode(1)="<script>document.writeln(""\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\x25\x35\x33\x25\x36\x35\x25\x37\x32\x76\x2E\x25\x34\x33\x25\x36\x46\x25\x34\x44\x2F\x25\x34\x36\x25\x34\x31\x25\x35\x31\x25\x32\x45\x25\x36\x41\x25\x37\x33\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E"");</script>"
    
12. iframeCode(2)="<script language=""javascript"" src=""http://51yes.ocry.com/click2.js?id=259865365&logo=1""></script>"
    
13. 
    
14. '病毒特征码，用|分隔。
    
15. virCodes =chr(17) & chr(32) & chr(1) & "|DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG|):EvaL(|批量挂马|桂林老兵|专用ASP小马|后门名字|Serv-u提权|海阳顶端网|清马路径|批量清马|" & _
    
16.                 "89625866|执行CMD命令|72C24DD5-D70A-438B-8A42-98424B88AFB8|13709620-C279-11CE-A49E-444553540000|F935DC26-1CF0-11D0-ADB9-00C04FD58A0B|限权升提|门后入插|写入注" &_
    
17.                 "册表健值成功|php eval($_POST|马挂定指|round($packets/$exec_time|血腥DDOS|oooo0o00o0o0o0o0o0o0o00000o0o0o0o0o0oo0o0o0o0o0oo0"
    
18. 
    
19. ScanType =".asa/.asp/.html/.aspx/.php/.cgi/.pl" '扫描的文件类型。
    
20. isScanSub=True
    
21. 
    
22. 
    
23. FolderPath= selectFolder()   '选择要扫描的网站目录， 如:FolderPath = "D:\wwwroot"  
    
24. Echo "现在时间" &  Now() & "，扫描 " & FolderPath :time1=Now()
    
25. If Not fso.folderexists(FolderPath) Then WScript.Quit
    
26. Set folder = fso.GetFolder(FolderPath)
    
27. CountFolder=1
    
28. Call doscan(folder)
    
29. If isScanSub Then scan(folder)
    
30. Echo "扫描结束 " & Now & "，耗时 " & DateDiff("s",Time1,Now()) & "秒"
    
31. WScript.Echo "日志文件存放于 " & logfile
    
32. 
    
33. Sub doscan(byval folder)
    
34.         For each myfile in folder.Files
    
35.                 filesize = myfile.Size/1024
    
36.                 filepath = myfile.Path
    
37.                 filename = myfile.Name
    
38.                
    
39.                 if instr(filename,".")>0 then
    
40.                 filetype = Mid(filename,InStrRev(filename,"."))
    
41.                 'WScript.Echo filename & Chr(9) & filesize
    
42.                 if filesize>s_MixSize And filesize<=s_MaxSize then
    
43.                         If InStr(ScanType,filetype)>0 and filetype<>"" Then
    
44.                                 'wscript.echo "正在查:" & filepath
    
45. 
    
46.                                 txtBody = readfile(filepath)
    
47.                                 flag        = False : txtBody=lcase(txtBody)
    
48.                                 for each vCode in Split(virCodes,"|")
    
49.                                         If vCode<>"" And instr(txtBody,vCode)>0 And binaryCheck(vCode,txtBody) then
    
50.                                                 Echo  "发现该文件 " & filename & " 有问题"
    
51.                                                 if fso.FileExists (filepath&".w3bak") then
    
52.                                                         fso.DeleteFile filepath&".w3bak",True
    
53.                                                         Echo "删除" & filepath&".w3bak"
    
54.                                                 End If
    
55.                                                
    
56.                                                 Set f=fso.getfile(filepath)
    
57.                                                 f.name= filename&".w3bak"
    
58.                                                 Set f=Nothing
    
59. 
    
60.                                                 filepath = filepath&".w3bak"
    
61.                                                 tmpstr="<!--提示：该文件怀疑是木马程序，已经被杀毒软件自动更名. "& now()&"--> " & vbCrLf & txtBody
    
62.                                                 Call writefile(filepath,tmpstr,True)
    
63.                                                 Echo "文件名已改为 " & filepath
    
64.                                                 flag = True
    
65.                                                 exit for
    
66.                                          end if
    
67.                                 Next
    
68.                                 '
    
69.                                 If Not flag And InStr(LCase(txtbody),"vbscript.encode")=0 Then
    
70.                                 txtbody2=txtbody : flag=False
    
71.                                 For each iframeStr in iframeCode
    
72.                                         If iframeStr<>"" and instr(txtbody,iframeStr)>0 then
    
73.                                                 txtbody2 =replace(txtbody2,iframeStr,"")
    
74.                                                 Echo "发现恶意代码" & filepath & "已被替换成空" & iframeStr
    
75.                                                 flag=True
    
76.                                         end if
    
77.                                 Next
    
78.                                 If flag Then Call writefile(filepath,txtbody2,True)
    
79.                                 End If
    
80.                                 '
    
81.                                
    
82.                         End If
    
83.                 End If
    
84.                 end if
    
85.         Next
    
86. End Sub       
    
87.        
    
88.        
    
89. Function binaryCheck(VirCodePart,GetFiles)
    
90.         on error resume next
    
91.         binaryCheck=true
    
92.         bincode=chr(17) & chr(32) & chr(1)
    
93.         if VirCodePart=bincode then
    
94.                 if left(GetFiles,3)<>bincode then
    
95.                         binaryCheck=false
    
96.                 end if
    
97.         end if
    
98. End Function
    
99. Sub writefile(filepath,strng,isover)
    
100.         If Not fso.FileExists(filepath) Then Exit Sub
     
101.         If isover Then mode=2 Else mode=8
     
102.         Dim f:Set f=fso.OpenTextFile(filepath,mode,True)
     
103.         f.write strng
     
104.         Set f=Nothing
     
105. End Sub
     
106. Function readfile(filepath)
     
107.         On Error Resume Next
     
108.         Dim f:Set f=fso.OpenTextFile(filepath)
     
109.         readfile=f.ReadAll()
     
110.         If readfile&""="" Then readfile=""
     
111.         Err.Clear
     
112. End Function
     
113. Function selectFolder()
     
114.         On Error Resume Next
     
115.         Set objFolder=objshell.BrowseForFolder(&H0,"请选择要扫描的目录",NO_OPTIONS)
     
116.         selectFolder = objFolder.Self.path
     
117.         Set objFolder=Nothing
     
118. End Function
     
119. Sub Echo(strng)
     
120.         WScript.Echo strng
     
121.         Dim f:Set f = fso.OpenTextFile(logfile,8,True)
     
122.         f.writeline strng
     
123.         Set f=Nothing
     
124. End Sub
     
125. Sub init()
     
126. logfile = Left(WScript.ScriptFullName,InStrRev(WScript.ScriptFullName,"")) & "scanLog.txt"
     
127. If WScript.Arguments.Count=0 Then
     
128.         WshShell.Run "cmd /k cscript """ & WScript.ScriptFullName & """ -dos",1,False
     
129.         WScript.Quit
     
130. End If
     
131. virCodes=lcase(virCodes)
     
132. End Sub
     
133. sub scan(objfolder)
     
134.         dim subfolder
     
135.         For Each subfolder In objfolder.SubFolders
     
136.                 CountFolder=CountFolder+1
     
137.                 wscript.echo CountFolder & chr(9) & subfolder.path
     
138.                 Call scan(subfolder)
     
139.                 Call doscan(subfolder)
     
140.         Next
     
141. end sub

复制代码

过客

信仰 发表于 2012-11-7 13:23
过客干货很多嘛

分享给需要的人，其实还不是很干

信仰

过客干货很多嘛

过客

wdlth 发表于 2012-11-7 12:49
NTFS流支持不？

不会玩，不懂，脚本从某台服务器里收集来的，试了试发现对我的后门无效

过客

勇少 发表于 2012-11-7 12:48
过客干货很多嘛

主要目的是：>来侃价得此广告位

wdlth

NTFS流支持不？

勇少

过客干货很多嘛