国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

 隨著ASP 技術(shù)的發(fā)展，網(wǎng)絡(luò)上基于ASP技術(shù)開發(fā)的網(wǎng)站越來越多，對ASP技術(shù)的支持可以說已經(jīng)是windows系統(tǒng)IIS服務(wù)器的一項基本功能。但是基于ASP技術(shù)的木馬后門，也越來越多，而且功能也越來越強大。由于ASP它本身是服務(wù)器提供的一貢服務(wù)功能，所以這種ASP腳本的木馬后門，不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。由于其高度的隱蔽性和難查殺性，對網(wǎng)站的安全造成了嚴重的威脅。因此針對ASP木馬的防范和清除，為我們的網(wǎng)管人員提出了更高的技術(shù)要求. 特別是最近由dvbbs的upfile文件出現(xiàn)漏洞以來

幾個大的程序全部被發(fā)現(xiàn)存在上傳漏洞，小程序更是不計其數(shù)，讓asp木馬一下占據(jù)了主流，得到廣泛的使用，想必如果你是做服務(wù)器的話，一定為此頭疼不止吧，特別是虛擬主機的用戶都遇到過網(wǎng)頁被篡改、數(shù)據(jù)被刪除的經(jīng)歷，事后除了對這種行徑深惡痛絕外，許多客戶又苦于沒有行之有效的防范措施。鑒于大部分網(wǎng)站入侵都是利用asp木馬完成的，特寫此文章以使普通虛擬主機用戶能更好地了解、防范asp木馬。也只有空間商和虛擬主機用戶共同做好防范措施才可以有效防范asp木馬!

我們首先來說一下怎么樣防范好了，說到防范我們自然要對asp木馬的原理了，大道理我也不講了，網(wǎng)上的文章有的是，簡單的說asp木馬其實就是用asp編寫的網(wǎng)站程序，甚至有些asp木馬就是由asp網(wǎng)站管理程序修改而來的。就比如說我們常見的asp站長助手，等等（圖2）


它和其他asp程序沒有本質(zhì)區(qū)別，只要是能運行asp的空間就能運行它，這種性質(zhì)使得asp木馬非常不易被發(fā)覺。它和其他asp程序的區(qū)別只在于asp木馬是入侵者上傳到目標空間，并幫助入侵者控制目標空間的asp程序。嚴重的從而獲取服務(wù)器管理員的權(quán)限，要想禁止asp木馬運行就等于禁止asp的運行，顯然這是行不通的，這也是為什么asp木馬猖獗的原因!有人要問了，是不是就沒有辦法了呢，不，有辦法的：

第一：從源頭入手，入侵者是怎么樣上傳asp木馬的呢？一般喲幾種方法，通過sql注射手段，獲取管理員權(quán)限，通過備份數(shù)據(jù)庫的功能將asp木馬寫入服務(wù)器?；蛘哌M入后臺通過asp程序的上傳功能的漏洞，上傳木馬等等，當(dāng)然正常情況下，這些可以上傳文件的asp程序都是有權(quán)限限制的，大多也限制了asp文件的上傳。(比如：可以上傳圖片的新聞發(fā)布、圖片管理程序，及可以上傳更多類型文件的論壇程序等)，如果我們直接上傳asp木馬的話，我們會發(fā)現(xiàn)，程序會有提示，是不能直接上傳的，但由于存在人為的asp設(shè)置錯誤及asp程序本身的漏洞，給了入侵者可乘之機，實現(xiàn)上傳asp木馬。


因此，防范asp木馬的重點就在于虛擬主機用戶如何確保自己空間中asp上傳程序的安全上，如果你是用別人的程序的話，盡量用出名一點的大型一點的程序，這樣漏洞自然就少一些，而且盡量使用最新的版本，并且要經(jīng)常去官方網(wǎng)站查看新版本或者是最新補丁，還有就是那些數(shù)據(jù)庫默認路徑呀，管理員密碼默認呀，一定要改，形成習(xí)慣保證程序的安全性。

那么如果你是程序員的話，我還想說的一點就是我們在網(wǎng)站程序上也應(yīng)該盡量從安全的角度上編寫涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限; 需要經(jīng)過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面。防止ASP主頁.inc文件泄露問題; 防止UE等編輯器生成some.asp.bak文件泄露問題等等特別是上傳功能一定要特別注意
上面的只是對客戶的一些要求，但是空間商由于無法預(yù)見虛擬主機用戶會在自己站點中上傳什么樣的程序，以及每個程序是否存在漏洞，因此無法防止入侵者利用站點中客戶程序本身漏洞上傳asp木馬的行為?？臻g商只能防止入侵者利用已被入侵的站點再次入侵同一服務(wù)器上其他站點的行為。這也更加說明要防范asp木馬，虛擬主機用戶就要對自己的程序嚴格把關(guān)!

1、建議用戶通過ftp來上傳、維護網(wǎng)頁，盡量不安裝asp的上傳程序。
2、對asp上傳程序的調(diào)用一定要進行身份認證，并只允許信任的人使用上傳程序。
這其中包括各種新聞發(fā)布、商城及論壇程序，只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定復(fù)雜性，不能過于簡單，還要注意定期更換。
4、到正規(guī)網(wǎng)站下載asp程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進行修改，數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性。建議我公司的客戶使用.mdb的數(shù)據(jù)庫文件擴展名，因為我公司服務(wù)器設(shè)置了.mdb文件防下載功能。
5、要盡量保持程序是最新版本。
6、不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞，可以在維護后刪除后臺管理程序的登陸頁面，下次維護時再通過ftp上傳即可。
8、要時常備份數(shù)據(jù)庫等重要文件。
9、日常要多維護，并注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!
10、一旦發(fā)現(xiàn)被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。
重新上傳文件前，所有asp程序用戶名和密碼都要重置，并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施，您的網(wǎng)站只能說是相對安全了，決不能因此疏忽大意，因為入侵與反入侵是一場永恒的戰(zhàn)爭!

那么服務(wù)器管理員要做些什么呢，通過一些資料，對于防范方法讓我們看一下它的代碼就知道了：
Set oscript = Server.CreateObject("Wscript.SHELL") ＂建立了一個名為oscript的Wscript.SHELL對象，用于命令的執(zhí)行＂
Set oscriptNet = Server.CreateObject("Wscript.NETWORK")
Set oFileSys = Server.CreateObject("scripting.FileSystemObject")　
上面三行代碼創(chuàng)建了Wscript.SHELL、Wscript.NETWORK、scripting.FileSystemObject三個對象我們可以看出asp木馬的運行原理就是通過調(diào)用組件對象等完成的。

通過分析一些asp木馬，我們看出主要是通過3個組件運行的，第一個是我們都知道的FSO, 需要FSO支持也就是"scripting.FileSystemObject"項的支持,那么有人會說，是不是刪除這個組件就可以了呀 ，不可以的，因為現(xiàn)在很多程序都是要用到FSO這個組件的，所以是覺得不能限制的，不然正常的程序也運行不了，現(xiàn)在網(wǎng)上有很多教程，告訴別人刪除或限制使用，這些方法都很極端，我不推薦大家使用，我們再說另外幾個組件"shell.application"、"Wscript.SHELL"等危險組件 ，一般的木馬都是要使用這幾個組件的 ，即使你把fso組件限制的話，你不去限制別的組件的的話，一樣不能起到效果的，對于fso組件之外的其他的幾個組件，我們平時是不太用的，所以我們可以直接在注冊表中的HKEY_CLASSES_ROOT中找到
找到"shell.application"、"Wscript.SHELL"等危險的腳本對象（因為它們都是用于創(chuàng)建腳本命令通道的）進行改名或刪除，也就是限制系統(tǒng)對“腳本SHELL”的創(chuàng)建，ASP木馬也就成為無本之木、無米之炊，運行不起來了。如果我們自己要使用的話，那么我們就不要刪除直接改下名字，如果是改名，要改得復(fù)雜一點，不要讓別人猜到了，我們在要用的程序里面直接把調(diào)用的名字改成我們剛才修改的名字就可以了。

對組件進行限制之后，我們還應(yīng)該對服務(wù)器的權(quán)限進行嚴格的設(shè)置，這里我就不說了，由于篇幅問題，等下不知道要寫多久了，大家可以參考網(wǎng)上的一些安全權(quán)限設(shè)置， 我們對權(quán)限和組件等等設(shè)置完了之后，基本上就能防止asp木馬的危害了。

另外有一點應(yīng)該注意，如果確實發(fā)現(xiàn)木馬了，查殺完之后，應(yīng)該將具有管理權(quán)限的各類賬號都進行修改。包括論壇的賬號、數(shù)據(jù)庫賬號以及服務(wù)器操作系統(tǒng)賬號、FTP 賬號等，如果我們做到了這個幾點話，我們的服務(wù)器基本上是安全了，呵呵，為什么說是基本的呢，因為這個世界上根本就沒有安全的服務(wù)器了，只不過我們剛才說到的設(shè)置只是能夠防范大部分asp木馬的的侵害，不排除一些別的因素，比如說提限。說白了防范asp木馬就是要限制組件，設(shè)置嚴格的權(quán)限和保證asp程序的安全
哇，不知不覺寫了這么多了，呵呵，我們下面說下怎么樣查殺asp木馬了，我根據(jù)自己的一些經(jīng)驗說幾種方法

1. 時間比較法

按時間順序找到最近被改動的asp文件 ，打開看下，是不是木馬呢，什么，看不懂代碼, 那你就把不是你自己放的asp文件，名字看一眼就看的出的。比如說diy.ap.dm6.asp,angel.asp.shell.asp什么的文件，可疑的asp文件不是你自己創(chuàng)建的刪除，或直接訪問下看下是不是木馬就可以了

2. 查找關(guān)鍵字，asp木馬都是有關(guān)鍵字的，也就像病毒的特征碼，我們用windows自帶的搜索功能就能查找到 ，查找包含內(nèi)容為關(guān)鍵字的所有文件就可以了，找到以后看下就可以了，有時候能查找到一些asp的大文件，如果是虛擬主機的話，一般是數(shù)據(jù)庫文件改成asp的了，如果是一句話木馬的關(guān)鍵字就小心了，如果是大型木馬的關(guān)鍵字，咱們訪問一下看看，我不贊成把數(shù)據(jù)庫改成asp的，至于為什么，大家都知道吧，呵呵

我整理了一些特征碼，現(xiàn)在給大家

gxgl
lcx
<script RUNAT=SERVER LANGUAGE=javascript>eval(Request.form(’#’)+’’)</script>

輸入馬的內(nèi)容

session("b")

request("kker")

本文件絕對路徑

非常遺憾,您的主機不支持ADODB.Stream,不能使用本程序

傳至服務(wù)器已有虛擬目錄

微風(fēng)滲透

二次密碼

省下2元錢買瓶可樂也好

警告:對非法使用此程序可能帶來的任何不良后果責(zé)任自負!請勿用于非法用途!!!

<%execute request("value")%>

ccopus

<%execute(request("＃"))%>

<script language="vbscript" runat=server>if reques(＃")<>"" then execute(request("＃"))</script>

("cmd.exe /c "&request.form("cmd")).

("cmd.exe /c "&request("cmd")).

("cmd.exe /c "&request("c")).

這些都是關(guān)鍵字了，全部是我從木馬里面一個一個提取出來的，如果有這些特征的話，一般都是木馬 ，不過大家最好打開看一下,不排除特殊情況。如果你的網(wǎng)站里，有類似代碼：<iframe src="http://www.***.com" ></iframe> 估計可能是被加入的惡意連接，或著被掛馬了，好狠毒，那么請在關(guān)鍵詞中搜索iframe src，

3. 大家也可以用明小子的asp木馬掃描的這個小工具拉，把我的關(guān)鍵字放進去，掃描一下，挺方便的，呵呵

4. 在網(wǎng)站結(jié)構(gòu)清楚的情況下，瀏覽目錄法能快速確定木馬，在不該出現(xiàn)的地方出現(xiàn)的文件，管他是不是木馬都可以刪，比如說dvbbs下的 upfile這些文件夾里是不應(yīng)該出現(xiàn)asp文件的，我們一發(fā)現(xiàn)就刪除就是了 ，不過要求管理員對自己的網(wǎng)站目錄結(jié)構(gòu)熟

5. 有一種方法可以試下，就是做好備份，一旦發(fā)現(xiàn)有人入侵，馬上還原，這樣什么木馬也不怕了，不過要注意的是，把保證備份文件是安全的 ，要是備份文件里也有木馬，讓就沒搞一樣的

6. 用asp木馬追捕的文件，查殺，網(wǎng)上有下載的，另外我們常用的殺毒軟件也有這樣的功能，我推薦大家采用卡巴斯機，效果非常好，幾乎能查殺如今所有流行的asp木馬

ASP木馬是如何上傳及防范方法
上面只是簡單的介紹了一下，asp木馬的一些查殺方法，當(dāng)然這些只是亡養(yǎng)補牢了，我們最好對服務(wù)器系統(tǒng)進行嚴格的權(quán)限限制，讓黑客即使是上傳了木馬也沒有什么用，這里權(quán)限的限制我就不多說了等下不知道要寫多少，網(wǎng)上的資料也很全面的，大家可以自己去查找西。而且現(xiàn)在說來說去，asp木馬的隱藏方法確實是很高明，asp木馬代碼加密，圖片合并，文件時間修改，還有要命的系統(tǒng)漏洞利用等等這對于要百分之百查殺asp木馬的查殺，幾乎不可能，我們只有堵住木馬上傳的源頭 ，asp程序盡量用最新版本，網(wǎng)站中的上傳途徑自己應(yīng)該特別注意，對于不需要腳本運行的文件夾在iis里面設(shè)置，執(zhí)行許可為無，還有就是管理員要求有良好的安全意識，不然的話，談不上安全了，并且我們設(shè)置了權(quán)限之后， 傳了也是白傳 .