讲到ASP木马, 无论网站程序设计者, 虚拟主机用户抑或是空间商, 无不谈之色变, 尤其那些用ASP程序编写的网站, 更是深受其害, 俨然, ASP木马已成为入侵网站的主力军, 因此, 不管是网站程序设计者, 普通虚拟主机用户, 或者是空间商, 都有必要真正认清什么是ASP木马, 以及如何防范和治理A S P木马。
1 什么是ASP木马
ASP木马其实就是用ASP程序编写的网站程序, 甚至有些ASP木马本身就是由ASP网站管理程序修改而来的。它和其他ASP程序并没有存在本质区别, 只要是能够运行ASP的空间就能运行它, 这种特性使得A S P木马非常不易被发觉。它和其他ASP程序的区别仅仅在于ASP木马是入侵者上传到目标空间, 并帮助入侵者控制目标空间的ASP程序。[1]因此, 用户要想在自己的空间禁止ASP木马运行, 就等于禁止了其它所有的ASP程序运行, 显然这是行不通的, 即使使用优秀的杀毒软件, 也未必能够检测出它到底是ASP木马, 还是正常的A S P网站程序, 这也是A S P木马猖獗的原因!
2 如何防范ASP木马
ASP木马的入侵原理。入侵者是怎么样上传A S P木马的呢?大多数入侵者是通过sql注射手段, 获取管理员权限, 通过备份数据库的功能将A S P木马写入服务器。或者进入后台通过A S P程序的上传功能的漏洞, 上传木马等等, 当然正常情况下, 这些可以上传文件的ASP程序都是有权限限制的, 大多也限制了ASP文件的上传。如果我们直接上传ASP木马的话, 我们会发现, 程序会有提示, 是不能直接上传的, 但由于存在人为的ASP设置错误及ASP程序本身的漏洞, 给了入侵者可乘之机, 实现ASP木马的上传。
因此, 防范ASP木马的重点就在于虚拟主机用户如何确保自己空间中ASP上传程序的安全上。如果用的不是自己编写的网站程序, 就要注意尽量保持程序版本的更新, 对于那些默认的数据库路径和默认的管理员密码等, 一定要改, 形成习惯, 保证程序的安全性。
如果是自己编写的程序程序, 那就应该尽量从安全的角度上编写涉及用户名与口令的程序最好封装在服务器端, 尽量少的在ASP文件里出现, 涉及到与数据库连接地用户名与口令应给予最小的权限;需要经过验证的ASP页面, 可跟踪上一个页面的文件名, 只有从上一页面转进来的会话才能读取这个页面。防止ASP主页.inc文件泄露问题;防止UE等编辑器生成some.ASP.bak文件泄露问题等等, 特别要注意其上传功能[2]。
上面所述只是对用户的一些要求, 但是空间商由于无法预见虚拟主机用户会在自己站点中上传什么样的程序, 以及每个程序是否存在漏洞, 因此无法防止入侵者利用站点中客户程序本身漏洞上传ASP木马的行为。空间商只能防止入侵者利用已被入侵的站点再次入侵同一服务器上其他站点的行为。这也更加说明要防范ASP木马, 虚拟主机用户就要对自己的程序严格把关!为此我总结了ASP木马防范的九大原则供大家参考。
(1) 建议用户通过ftp来上传、维护网页, 尽量不安装ASP的上传程序。
(2) 对ASP上传程序的调用一定要进行身份认证, 并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程序, 只要可以上传文件的ASP都要进行身份认证!
(3) ASP程序管理员的用户名和密码要有一定复杂性, 不能过于简单, 还要注意定期更换。
(4) 到正规网站下载ASP程序, 下载后要对其数据库名称和存放路径进行修改, 数据库文件名称也要有一定复杂性。建议我公司的客户使用.mdb的数据库文件扩展名, 因为我公司服务器设置了.mdb文件防下载功能。
(5) 要尽量保持程序是最新版本。
(6) 不要在网页上加注后台管理程序登陆页面的链接。
(7) 为防止程序有未知漏洞, 可以在维护后删除后台管理程序的登陆页面, 下次维护时再通过ftp上传即可。
(8) 要时常备份数据库等重要文件。
(9) 日常要多维护, 并注意空间中是否有来历不明的ASP文件。记住:一分汗水, 换一分安全!
3 如何清除ASP木马
早期的ASP木马是能被杀病毒软件正常检测并查杀的, 不过随着ASP木马的发展, 目前很多ASP木马都处于隐藏状态, 一般的杀毒软件已经难已将他们查杀了, 这就需要靠我们手工清除。下面就介绍一下手工清除ASP木马的方法。
第一步:一般黑客都会通过更改ASP脚本的启动权限使ASP木马能够以最高权限运行, 这就给我们提供了一个查找ASP木马的捷径。我们只要在命令提示符下输入“cd c:inetpubadminscripts”, 然后执行“adsutil.vbs get w3svc/inprocessisapiapps”, 就能够得到以system权限启动的DLL文件。而在默认情况下, ASP.dll是不会出现在其中的, 如果出现了ASP.dll, 那么服务器必定感染了A S P木马。
第二步:根据自己网站的结构从根据目录开始搜索ASP文件, 这点需要网络管理员清楚地知道网站文件的分布情况, 当在与网页存放目录不相干的目录中搜索到ASP文件时, 这个文件肯定就是A S P木马了。
第三步:在“Internet服务管理器”里面去掉一些用不着的映射 (比如*.cer, *.cdx, *.htr之类的映射) , 然后在网站跟目录开始搜索*.cer, *.cdx, *.htr文件, 将所有搜索出来的文件都彻底删除掉。
第四步:我们再看看正常文件有没有被写入恶意代码, 从网站最初的目录 (根目录) 开始, 在搜索对话框里输入“*.ASP”, 在包含文字中输入“VBS cript.Encode”或“iframe src”之类的关键字后开始搜索, 搜索到ASP文件后将相应代码清除掉即可。
第五步:如果检测到了ASP木马, 那么在清理完木马之后, 就需要尽快做亡羊补牢的工作了。
做好防范措施, 我们的空间和网站只能说是相对安全了, 但是我们决不能因此疏忽大意, 要知道, ASP木马同其他所有病毒一样, 也是会发展更新的, 一时的安全不等于永久的安全, 我们对ASP木马的认知和防范治理措施同样要不断更新, 打好这场入侵与反入侵的持久战。
摘要:Internet的奇妙世界里, 形形色色的网站俨然是主角, 然而, 这些光鲜的网站背后, 却不断受到各种各样的病毒的侵扰, ASP木马病毒就是基中一种, 大部分网站入侵可以说都是利用ASP木马完成的。本文从ASP木马的概述和防治入手, 通过简短介绍, 旨在让普通虚拟主机用户能更好地了解、防范、清除ASP木马。
关键词:ASP木马,网站安全,防范
参考文献
[1] 万立夫.木马攻防全攻略[M].电脑报电子音像出版社, 2009.
[2] 彭文波.ASP网站安全解决方案[J].计算机安全, 2006 (13) .