ASP木馬猖獗基於ASP的網站時時處於危險之中要讓網站的安全隨時得到保障需要我們的服務器管理員要做些什麼呢如何防范ASP木馬呢?要防范ASP木馬那麼我們就需要知道它的運行原理和機制下面我們看一段代碼
Set oscript = ServerCreateObject("WscriptSHELL") "建立了一個名為oscript的WscriptSHELL對象用於命令的執行"
Set oscriptNet = ServerCreateObject("WscriptNETWORK")
Set oFileSys = ServerCreateObject("scriptingFileSystemObject")
上面三行代碼創建了WscriptSHELLWscriptNETWORKscriptingFileSystemObject三個對象我們可以看出asp木馬的運行原理就是通過調用組件對象等完成的
通過分析一些asp木馬我們看出主要是通過個組件運行的第一個是我們都知道的FSO 需要FSO支持也就是"scriptingFileSystemObject"項的支持那麼有人會說是不是刪除這個組件就可以了呀 不可以的因為現在很多程序都是要用到FSO這個組件的所以是覺得不能限制的不然正常的程序也運行不了現在網上有很多教程告訴別人刪除或限制使用這些方法都很極端我不推薦大家使用我們再說另外幾個組件"shellapplication""WscriptSHELL"等危險組件 一般的木馬都是要使用這幾個組件的 即使你把fso組件限制的話你不去限制別的組件的的話一樣不能起到效果的對於fso組件之外的其他的幾個組件我們平時是不太用的所以我們可以直接在注冊表中的HKEY_CLASSES_ROOT中找到
找到"shellapplication""WscriptSHELL"等危險的腳本對象(因為它們都是用於創建腳本命令通道的)進行改名或刪除也就是限制系統對“腳本SHELL”的創建ASP木馬也就成為無本之木無米之炊運行不起來了如果我們自己要使用的話那麼我們就不要刪除直接改下名字如果是改名要改得復雜一點不要讓別人猜到了我們在要用的程序裡面直接把調用的名字改成我們剛才修改的名字就可以了
對組件進行限制之後我們還應該對服務器的權限進行嚴格的設置這裡我就不說了由於篇幅問題等下不知道要寫多久了大家可以參考網上的一些安全權限設置 我們對權限和組件等等設置完了之後基本上就能防止asp木馬的危害了
另外有一點應該注意如果確實發現木馬了查殺完之後應該將具有管理權限的各類帳號都進行修改包括論壇的帳號數據庫帳號以及服務器操作系統帳號FTP 帳號等如果我們做到了這個幾點話我們的服務器基本上是安全了呵呵為什麼說是基本的呢因為這個世界上根本就沒有安全的服務器了只不過我們剛才說到的設置只是能夠防范大部分asp木馬的的侵害不排除一些別的因素比如說提限說白了防范asp木馬就是要限制組件設置嚴格的權限和保證asp程序的安全
我們下面說下怎麼樣查殺asp木馬了我根據自己的一些經驗說幾種方法
時間比較法
按時間順序找到最近被改動的asp文件 打開看下是不是木馬呢什麼看不懂代碼 那你就把不是你自己放的asp文件名字看一眼就看的出的比如說diyapdmaspangelaspshellasp什麼的文件可疑的asp文件不是你自己創建的刪除或直接訪問下看下是不是木馬就可以了
查找關鍵字asp木馬都是有關鍵字的也就像病毒的特征碼我們用windows自帶的搜索功能就能查找到 查找包含內容為關鍵字的所有文件就可以了找到以後看下就可以了有時候能查找到一些asp的大文件如果是虛擬主機的話一般是數據庫文件改成asp的了如果是一句話木馬的關鍵字就小心了如果是大型木馬的關鍵字咱們訪問一下看看我不贊成把數據庫改成asp的至於為什麼大家都知道吧
我整理了一些特征碼現在給大家
gxgl
lcx
<script RUNAT=SERVER LANGUAGE=JAVAscript>eval(Requestform(’#’)+’’)</script>
輸入馬的內容
session("b")
request("kker")
非常遺憾您的主機不支持ADODBStream不能使用本程序
傳至服務器已有虛擬目錄
警告:對非法使用此程序可能帶來的任何不良後果責任自負!請勿用於非法用途!!!
<%execute request("value")%>
ccopus
<%execute(request("#"))%>
<script language="vbscript" runat=server>if reques(#")<>"" then execute(request("#"))</script>
("cmdexe /c "&requestform("cmd"))
("cmdexe /c "&request("cmd"))
("cmdexe /c "&request("c"))
這些都是關鍵字了全部是我從木馬裡面一個一個提取出來的如果有這些特征的話一般都是木馬 不過大家最好打開看一下不排除特殊情況如果你的網站裡有類似代碼<iframe src="***com" ></iframe> 估計可能是被加入的惡意連接或著被掛馬了好狠毒那麼請在關鍵詞中搜索iframe src
大家也可以用明小子的asp木馬掃描的這個小工具拉把我的關鍵字放進去掃描一下挺方便的呵呵
在網站結構清楚的情況下浏覽目錄法能快速確定木馬在不該出現的地方出現的文件管他是不是木馬都可以刪比如說dvbbs下的 upfile這些文件夾裡是不應該出現asp文件的我們一發現就刪除就是了 不過要求管理員對自己的網站目錄結構熟
有一種方法可以試下就是做好備份一旦發現有人入侵馬上還原這樣什麼木馬也不怕了不過要注意的是把保證備份文件是安全的 要是備份文件裡也有木馬讓就沒搞一樣的
用asp木馬追捕的文件查殺網上有下載的另外我們常用的殺毒軟件也有這樣的功能我推薦大家采用卡巴斯機效果非常好幾乎能查殺如今所有流行的asp木馬
上面只是簡單的介紹了一下asp木馬的一些查殺方法當然這些只是亡養補牢了我們最好對服務器系統進行嚴格的權限限制讓黑客即使是上傳了木馬也沒有什麼用這裡權限的限制我就不多說了等下不知道要寫多少網上的資料也很全面的大家可以自己去查找西而且現在說來說去asp木馬的隱藏方法確實是很高明asp木馬代碼加密圖片合並文件時間修改還有要命的系統漏洞利用等等這對於要百分之百查殺asp木馬的查殺幾乎不可能我們只有堵住木馬上傳的源頭 asp程序盡量用最新版本網站中的上傳途徑自己應該特別注意對於不需要腳本運行的文件夾在iis裡面設置執行許可為無還有就是管理員要求有良好的安全意識不然的話談不上安全了並且我們設置了權限之後 傳了也是白傳
From:http://tw.wingwit.com/Article/program/net/201311/14099.html
