它是用ASP編寫的網站程式。它和其它ASP程式沒有本質區別,只要是能運行ASP的空間就能運行它,這種性質使得ASP木馬非常不易被發覺。就算是優秀的防毒軟體,也未必能夠檢測出它到底是ASP木馬還是正常的ASP網站程式。這也是為什麼ASP木馬猖獗的原因。
基本介紹
- 中文名:ASP木馬
- 猖獗原因:未必能夠檢測它是木馬
- 防範重點:儘量用出名一點的大型一點的程式
- 特點:隱蔽性和難查殺性
什麼是ASP木馬,隱蔽性和難查殺性,深惡痛絕的asp木馬,如何防範asp木馬,從源頭入手,防範asp木馬的重點,ASP木馬防範的原則,
什麼是ASP木馬
隱蔽性和難查殺性
由於ASP它本身是伺服器提供的一項服務功能,特別是最近由dvbbs的upfile檔案出現漏洞以來,其高度的隱蔽性和難查殺性,對網站的安全造成了嚴重的威脅。因此針對ASP木馬的防範和清除,為網管人員提出了更高的技術要求.
深惡痛絕的asp木馬
幾個大的程式全部被發現存在上傳漏洞,小程式更是不計其數,讓asp木馬一下占據了主流,得到廣泛的使用,想必如果你是做伺服器的話,一定為此頭疼不止吧,特別是虛擬主機的用戶都遇到過網頁被篡改、數據被刪除的經歷,事後除了對這種行徑深惡痛絕外,許多客戶又苦於沒有行之有效的防範措施。鑒於大部分網站入侵都是利用asp木馬完成的,特寫此文章以使普通虛擬主機用戶能更好地了解、防範asp木馬。也只有空間商和虛擬主機用戶共同做好防範措施才可以有效防範asp木馬!
如何防範asp木馬
我們首先來說一下怎么樣防範好了,說到防範我們自然要對asp木馬的原理了,大道理我也不講了,網上的文章有的是,簡單的說asp木馬其實就是用asp編寫的網站程式,甚至有些asp木馬就是由asp網站管理程式修改而來的。就比如說我們常見的asp站長助手,等等
它和其他asp程式沒有本質區別,只要是能運行asp的空間就能運行它,這種性質使得asp木馬非常不易被發覺。它和其他asp程式的區別只在於asp木馬是入侵者上傳到目標空間,並幫助入侵者控制目標空間的asp程式。嚴重的從而獲取伺服器管理員的許可權,要想禁止asp木馬運行就等於禁止asp的運行,顯然這是行不通的,這也是為什麼asp木馬猖獗的原因!有人要問了,是不是就沒有辦法了呢,不,有辦法的:
從源頭入手
第一:從源頭入手,入侵者是怎么樣上傳asp木馬的呢?一般有幾種方法,通過sql注射手段,獲取管理員許可權,通過備份資料庫的功能將asp木馬寫入伺服器。或者進入後台通過asp程式的上傳功能的漏洞,上傳木馬等等,當然正常情況下,這些可以上傳檔案的asp程式都是有許可權限制的,大多也限制了asp檔案的上傳。(比如:可以上傳圖片的新聞發布、圖片管理程式,及可以上傳更多類型檔案的論壇程式等),如果我們直接上傳asp木馬的話,我們會發現,程式會有提示,是不能直接上傳的,但由於存在人為的asp設定錯誤及asp程式本身的漏洞,給了入侵者可乘之機,實現上傳asp木馬。
防範asp木馬的重點
ASP木馬防範的原則
上面的只是對客戶的一些要求,但是空間商由於無法預見虛擬主機用戶會在自己站點中上傳什麼樣的程式,以及每個程式是否存在漏洞,因此無法防止入侵者利用站點中客戶程式本身漏洞上傳asp木馬的行為。空間商只能防止入侵者利用已被入侵的站點再次入侵同一伺服器上其他站點的行為。這也更加說明要防範asp木馬,虛擬主機用戶就要對自己的程式嚴格把關! 為此我總結了ASP木馬防範的十大原則供大家參考:
1、建議用戶通過ftp來上傳、維護網頁,儘量不安裝asp的上傳程式。
2、對asp上傳程式的調用一定要進行身份認證,並只允許信任的人使用上傳程式。
這其中包括各種新聞發布、商城及論壇程式,只要可以上傳檔案的asp都要進行身份認證!
3、asp程式管理員的用戶名和密碼要有一定複雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程式,下載後要對其資料庫名稱和存放路徑進行修改,資料庫檔案名稱稱也要有一定複雜性。
5、要儘量保持程式是最新版本。
6、不要在網頁上加注後台管理程式登入頁面的連結。
7、為防止程式有未知漏洞,可以在維護後刪除後台管理程式的登入頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要檔案。
9、日常要多維護,並注意空間中是否有來歷不明的asp檔案。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬檔案,否則要刪除所有檔案。
11、對不同目錄設定asp執行許可權,可以對常見的upload目錄禁止執行許可權,這要即便入侵者上傳了木馬也不可以執行。
12、對asp代碼檢查,儘可能減少注入類漏洞。
重新上傳檔案前,所有asp程式用戶名和密碼都要重置,並要重新修改程式資料庫名稱和存放路徑以及後台管理程式的路徑。
做好以上防範措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恆的戰爭!
