ASP木馬是如何上傳及防範方法

 隨着ASP 技術的發展，網絡上基於ASP技術開發的網站越來越多，對ASP技術的支持可以說已經是windows系統IIS服務器的一項基本功能。但是基於ASP技術的木馬後門，也越來越多，而且功能也越來越強大。由於ASP它本身是服務器提供的一貢服務功能，所以這種ASP腳本的木馬後門，不會被殺毒軟件查殺。被黑客們稱爲“永遠不會被查殺的後門”。由於其高度的隱蔽性和難查殺性，對網站的安全造成了嚴重的威脅。因此針對ASP木馬的防範和清除，爲我們的網管人員提出了更高的技術要求. 特別是最近由dvbbs的upfile文件出現漏洞以來

幾個大的程序全部被發現存在上傳漏洞，小程序更是不計其數，讓asp木馬一下佔據了主流，得到廣泛的使用，想必如果你是做服務器的話，一定爲此頭疼不止吧，特別是虛擬主機的用戶都遇到過網頁被篡改、數據被刪除的經歷，事後除了對這種行徑深惡痛絕外，許多客戶又苦於沒有行之有效的防範措施。鑑於大部分網站入侵都是利用asp木馬完成的，特寫此文章以使普通虛擬主機用戶能更好地瞭解、防範asp木馬。也只有空間商和虛擬主機用戶共同做好防範措施纔可以有效防範asp木馬!

我們首先來說一下怎麼樣防範好了，說到防範我們自然要對asp木馬的原理了，大道理我也不講了，網上的文章有的是，簡單的說asp木馬其實就是用asp編寫的網站程序，甚至有些asp木馬就是由asp網站管理程序修改而來的。就比如說我們常見的asp站長助手，等等（圖2）


它和其他asp程序沒有本質區別，只要是能運行asp的空間就能運行它，這種性質使得asp木馬非常不易被發覺。它和其他asp程序的區別只在於asp木馬是入侵者上傳到目標空間，並幫助入侵者控制目標空間的asp程序。嚴重的從而獲取服務器管理員的權限，要想禁止asp木馬運行就等於禁止asp的運行，顯然這是行不通的，這也是爲什麼asp木馬猖獗的原因!有人要問了，是不是就沒有辦法了呢，不，有辦法的：

第一：從源頭入手，入侵者是怎麼樣上傳asp木馬的呢？一般喲幾種方法，通過sql注射手段，獲取管理員權限，通過備份數據庫的功能將asp木馬寫入服務器。或者進入後臺通過asp程序的上傳功能的漏洞，上傳木馬等等，當然正常情況下，這些可以上傳文件的asp程序都是有權限限制的，大多也限制了asp文件的上傳。(比如：可以上傳圖片的新聞發佈、圖片管理程序，及可以上傳更多類型文件的論壇程序等)，如果我們直接上傳asp木馬的話，我們會發現，程序會有提示，是不能直接上傳的，但由於存在人爲的asp設置錯誤及asp程序本身的漏洞，給了入侵者可乘之機，實現上傳asp木馬。


因此，防範asp木馬的重點就在於虛擬主機用戶如何確保自己空間中asp上傳程序的安全上，如果你是用別人的程序的話，儘量用出名一點的大型一點的程序，這樣漏洞自然就少一些，而且儘量使用最新的版本，並且要經常去官方網站查看新版本或者是最新補丁，還有就是那些數據庫默認路徑呀，管理員密碼默認呀，一定要改，形成習慣保證程序的安全性。

那麼如果你是程序員的話，我還想說的一點就是我們在網站程序上也應該儘量從安全的角度上編寫涉及用戶名與口令的程序最好封裝在服務器端，儘量少的在ASP文件裏出現，涉及到與數據庫連接地用戶名與口令應給予最小的權限; 需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。防止ASP主頁.inc文件泄露問題; 防止UE等編輯器生成some.asp.bak文件泄露問題等等特別是上傳功能一定要特別注意
上面的只是對客戶的一些要求，但是空間商由於無法預見虛擬主機用戶會在自己站點中上傳什麼樣的程序，以及每個程序是否存在漏洞，因此無法防止入侵者利用站點中客戶程序本身漏洞上傳asp木馬的行爲。空間商只能防止入侵者利用已被入侵的站點再次入侵同一服務器上其他站點的行爲。這也更加說明要防範asp木馬，虛擬主機用戶就要對自己的程序嚴格把關!

1、建議用戶通過ftp來上傳、維護網頁，儘量不安裝asp的上傳程序。
2、對asp上傳程序的調用一定要進行身份認證，並只允許信任的人使用上傳程序。
這其中包括各種新聞發佈、商城及論壇程序，只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定複雜性，不能過於簡單，還要注意定期更換。
4、到正規網站下載asp程序，下載後要對其數據庫名稱和存放路徑進行修改，數據庫文件名稱也要有一定複雜性。建議我公司的客戶使用.mdb的數據庫文件擴展名，因爲我公司服務器設置了.mdb文件防下載功能。
5、要儘量保持程序是最新版本。
6、不要在網頁上加註後臺管理程序登陸頁面的鏈接。
7、爲防止程序有未知漏洞，可以在維護後刪除後臺管理程序的登陸頁面，下次維護時再通過ftp上傳即可。
8、要時常備份數據庫等重要文件。
9、日常要多維護，並注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!
10、一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。
重新上傳文件前，所有asp程序用戶名和密碼都要重置，並要重新修改程序數據庫名稱和存放路徑以及後臺管理程序的路徑。
做好以上防範措施，您的網站只能說是相對安全了，決不能因此疏忽大意，因爲入侵與反入侵是一場永恆的戰爭!

那麼服務器管理員要做些什麼呢，通過一些資料，對於防範方法讓我們看一下它的代碼就知道了：
Set oscript = Server.CreateObject("Wscript.SHELL") ＂建立了一個名爲oscript的Wscript.SHELL對象，用於命令的執行＂
Set oscriptNet = Server.CreateObject("Wscript.NETWORK")
Set oFileSys = Server.CreateObject("scripting.FileSystemObject")　
上面三行代碼創建了Wscript.SHELL、Wscript.NETWORK、scripting.FileSystemObject三個對象我們可以看出asp木馬的運行原理就是通過調用組件對象等完成的。

通過分析一些asp木馬，我們看出主要是通過3個組件運行的，第一個是我們都知道的FSO, 需要FSO支持也就是"scripting.FileSystemObject"項的支持,那麼有人會說，是不是刪除這個組件就可以了呀 ，不可以的，因爲現在很多程序都是要用到FSO這個組件的，所以是覺得不能限制的，不然正常的程序也運行不了，現在網上有很多教程，告訴別人刪除或限制使用，這些方法都很極端，我不推薦大家使用，我們再說另外幾個組件"shell.application"、"Wscript.SHELL"等危險組件 ，一般的木馬都是要使用這幾個組件的 ，即使你把fso組件限制的話，你不去限制別的組件的的話，一樣不能起到效果的，對於fso組件之外的其他的幾個組件，我們平時是不太用的，所以我們可以直接在註冊表中的HKEY_CLASSES_ROOT中找到
找到"shell.application"、"Wscript.SHELL"等危險的腳本對象（因爲它們都是用於創建腳本命令通道的）進行改名或刪除，也就是限制系統對“腳本SHELL”的創建，ASP木馬也就成爲無本之木、無米之炊，運行不起來了。如果我們自己要使用的話，那麼我們就不要刪除直接改下名字，如果是改名，要改得複雜一點，不要讓別人猜到了，我們在要用的程序裏面直接把調用的名字改成我們剛纔修改的名字就可以了。

對組件進行限制之後，我們還應該對服務器的權限進行嚴格的設置，這裏我就不說了，由於篇幅問題，等下不知道要寫多久了，大家可以參考網上的一些安全權限設置， 我們對權限和組件等等設置完了之後，基本上就能防止asp木馬的危害了。

另外有一點應該注意，如果確實發現木馬了，查殺完之後，應該將具有管理權限的各類帳號都進行修改。包括論壇的帳號、數據庫帳號以及服務器操作系統帳號、FTP 帳號等，如果我們做到了這個幾點話，我們的服務器基本上是安全了，呵呵，爲什麼說是基本的呢，因爲這個世界上根本就沒有安全的服務器了，只不過我們剛纔說到的設置只是能夠防範大部分asp木馬的的侵害，不排除一些別的因素，比如說提限。說白了防範asp木馬就是要限制組件，設置嚴格的權限和保證asp程序的安全
哇，不知不覺寫了這麼多了，呵呵，我們下面說下怎麼樣查殺asp木馬了，我根據自己的一些經驗說幾種方法

1. 時間比較法

按時間順序找到最近被改動的asp文件 ，打開看下，是不是木馬呢，什麼，看不懂代碼, 那你就把不是你自己放的asp文件，名字看一眼就看的出的。比如說diy.ap.dm6.asp,angel.asp.shell.asp什麼的文件，可疑的asp文件不是你自己創建的刪除，或直接訪問下看下是不是木馬就可以了

2. 查找關鍵字，asp木馬都是有關鍵字的，也就像病毒的特徵碼，我們用windows自帶的搜索功能就能查找到 ，查找包含內容爲關鍵字的所有文件就可以了，找到以後看下就可以了，有時候能查找到一些asp的大文件，如果是虛擬主機的話，一般是數據庫文件改成asp的了，如果是一句話木馬的關鍵字就小心了，如果是大型木馬的關鍵字，咱們訪問一下看看，我不贊成把數據庫改成asp的，至於爲什麼，大家都知道吧，呵呵

我整理了一些特徵碼，現在給大家

gxgl
lcx
<script RUNAT=SERVER LANGUAGE=javascript>eval(Request.form(’#’)+’’)</script>

輸入馬的內容

session("b")

request("kker")

本文件絕對路徑

非常遺憾,您的主機不支持ADODB.Stream,不能使用本程序

傳至服務器已有虛擬目錄

微風滲透

二次密碼

省下2元錢買瓶可樂也好

警告:對非法使用此程序可能帶來的任何不良後果責任自負!請勿用於非法用途!!!

<%execute request("value")%>

ccopus

<%execute(request("＃"))%>

<script language="vbscript" runat=server>if reques(＃")<>"" then execute(request("＃"))</script>

("cmd.exe /c "&request.form("cmd")).

("cmd.exe /c "&request("cmd")).

("cmd.exe /c "&request("c")).

這些都是關鍵字了，全部是我從木馬裏面一個一個提取出來的，如果有這些特徵的話，一般都是木馬 ，不過大家最好打開看一下,不排除特殊情況。如果你的網站裏，有類似代碼：<iframe src="http://www.***.com" ></iframe> 估計可能是被加入的惡意連接，或着被掛馬了，好狠毒，那麼請在關鍵詞中搜索iframe src，

3. 大家也可以用明小子的asp木馬掃描的這個小工具拉，把我的關鍵字放進去，掃描一下，挺方便的，呵呵

4. 在網站結構清楚的情況下，瀏覽目錄法能快速確定木馬，在不該出現的地方出現的文件，管他是不是木馬都可以刪，比如說dvbbs下的 upfile這些文件夾裏是不應該出現asp文件的，我們一發現就刪除就是了 ，不過要求管理員對自己的網站目錄結構熟

5. 有一種方法可以試下，就是做好備份，一旦發現有人入侵，馬上還原，這樣什麼木馬也不怕了，不過要注意的是，把保證備份文件是安全的 ，要是備份文件裏也有木馬，讓就沒搞一樣的

6. 用asp木馬追捕的文件，查殺，網上有下載的，另外我們常用的殺毒軟件也有這樣的功能，我推薦大家採用卡巴斯機，效果非常好，幾乎能查殺如今所有流行的asp木馬

ASP木馬是如何上傳及防範方法
上面只是簡單的介紹了一下，asp木馬的一些查殺方法，當然這些只是亡養補牢了，我們最好對服務器系統進行嚴格的權限限制，讓黑客即使是上傳了木馬也沒有什麼用，這裏權限的限制我就不多說了等下不知道要寫多少，網上的資料也很全面的，大家可以自己去查找西。而且現在說來說去，asp木馬的隱藏方法確實是很高明，asp木馬代碼加密，圖片合併，文件時間修改，還有要命的系統漏洞利用等等這對於要百分之百查殺asp木馬的查殺，幾乎不可能，我們只有堵住木馬上傳的源頭 ，asp程序儘量用最新版本，網站中的上傳途徑自己應該特別注意，對於不需要腳本運行的文件夾在iis裏面設置，執行許可爲無，還有就是管理員要求有良好的安全意識，不然的話，談不上安全了，並且我們設置了權限之後， 傳了也是白傳 .