防范ASP木马的十大基本原则强列建议看下

由于ASP它本身是服务器提供的一项服务功能,特别是最近由dvbbs的upfile文件出现漏洞以来,其高度的隐蔽性和难查杀性,对网站的安全造成了严重的威胁。因此针对ASP木马的防范和清除,为网管人员提出了更高的技术要求.

  几个大的程序全部被发现存在上传漏洞,小程序更是不计其数,让asp木马一下占据了主流,得到广泛的使用,想必如果你是做服务器的话,一定为此头疼不止吧,特别是虚拟主机的用户都遇到过网页被篡改、数据被删除的经历,事后除了对这种行径深恶痛绝外,许多客户又苦于没有行之有效的防范措施。鉴于大部分网站入侵都是利用asp木马完成的,特写此文章以使普通虚拟主机用户能更好地了解、防范asp木马。也只有空间商和虚拟主机用户共同做好防范措施才可以有效防范asp木马!

  我们首先来说一下怎么样防范好了,说到防范我们自然要对asp木马的原理了,大道理我也不讲了,网上的文章有的是,简单的说asp木马其实就是用asp编写的网站程序,甚至有些asp木马就是由asp网站管理程序修改而来的。就比如说我们常见的asp站长助手,等等

  它和其他asp程序没有本质区别,只要是能运行asp的空间就能运行它,这种性质使得asp木马非常不易被发觉。它和其他asp程序的区别只在于asp木马是入侵者上传到目标空间,并帮助入侵者控制目标空间的asp程序。严重的从而获取服务器管理员的权限,要想禁止asp木马运行就等于禁止asp的运行,显然这是行不通的,这也是为什么asp木马猖獗的原因!有人要问了,是不是就没有办法了呢,不,有办法的:

  第一:从源头入手,入侵者是怎么样上传asp木马的呢?一般有几种方法,通过sql注射手段,获取管理员权限,通过备份数据库的功能将asp木马写入服务器。或者进入后台通过asp程序的上传功能的漏洞,上传木马等等,当然正常情况下,这些可以上传文件的asp程序都是有权限限制的,大多也限制了asp文件的上传。(比如:可以上传图片的新闻发布、图片管理程序,及可以上传更多类型文件的论坛程序等),如果我们直接上传asp木马的话,我们会发现,程序会有提示,是不能直接上传的,但由于存在人为的asp设置错误及asp程序本身的漏洞,给了入侵者可乘之机,实现上传asp木马。

  因此,防范asp木马的重点就在于虚拟主机用户如何确保自己空间中asp上传程序的安全上,如果你是用别人的程序的话,尽量用出名一点的大型一点的程序,这样漏洞自然就少一些,而且尽量使用最新的版本,并且要经常去官方网站查看新版本或者是最新补丁,还有就是那些数据库默认路径呀,管理员密码默认呀,一定要改,形成习惯保证程序的安全性。

  那么如果你是程序员的话,我还想说的一点就是我们在网站程序上也应该尽量从安全的角度上编写涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限; 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。防止ASP主页.inc文件泄露问题; 防止UE等编辑器生成some.asp.bak文件泄露问题等等特别是上传功能一定要特别注意

  上面的只是对客户的一些要求,但是空间商由于无法预见虚拟主机用户会在自己站点中上传什么样的程序,以及每个程序是否存在漏洞,因此无法防止入侵者利用站点中客户程序本身漏洞上传asp木马的行为。空间商只能防止入侵者利用已被入侵的站点再次入侵同一服务器上其他站点的行为。这也更加说明要防范asp木马,虚拟主机用户就要对自己的程序严格把关! 为此我总结了ASP木马防范的十大原则供大家参考:

  1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。

  2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。

  这其中包括各种新闻发布、商城及论坛程序,只要可以上传文件的asp都要进行身份认证!

  3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。

  4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。建议我公司的客户使用.mdb的数据库文件扩展名,因为我公司服务器设置了.mdb文件防下载功能。

  5、要尽量保持程序是最新版本。

  6、不要在网页上加注后台管理程序登陆页面的链接。

  7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。

  8、要时常备份数据库等重要文件。

  9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!

  10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。

  重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

  做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!

(0)

相关推荐

  • 服务器XMLHTTP(Server XMLHTTP in ASP)基础知识

    相对于 Ajax,服务端 XMLHTTP 就是在服务端使用 XMLHttpRequest 对象了.虽然说,在服务端使用异步请求是比较不方便的,但是做为可以服务端发送 HTTP 请求的组件,学习一下也是没有坏处的. 这里,我讲的是在 ASP 环境中使用服务端 XMLHttpRequest,并以 JScript 做为演示代码的语言,因此,你需要了解 ASP 以及 JScript. 服务端 XMLHTTP,通常会用在获取远程主机的网页或者其他内容,新闻聚合系统一般就是使用服务端 XMLHTTP 对象来

  • 从零开始学ASP.NET-基础篇第1/7页

    第一天 学习目的: 掌握最基本的Label.TextBox.Button控件用法 掌握用StringBuider类连接字符串 理解服务器的环境变量 StringBuilder类: 命名空间是:System.Text. StringBuilder类是个高效的类,StringBuilder.Append连接字符串的方法是非常快的.用于连接大量的字符串,其速度的优越性就会体现出来. 先举几个例子: 在cs或vb文件的头部加上 [C#]using System.Text; [VB]Imports Sys

  • ASP.NET笔记之Session、http、web开发原则、xss漏洞的详细介绍

    1.Session 2.验证码 YZM.ashx 复制代码 代码如下: <%@ WebHandler Language="C#" Class="YZM" %> using System;using System.Web; public class YZM : IHttpHandler, System.Web.SessionState.IRequiresSessionState{ public void ProcessRequest (HttpContex

  • ASP新手必备的基础知识

    我们都知道,ASP是Active Server Page的缩写,意为"动态服务器页面".ASP是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单.方便的编程工具.下面介绍一些基本知识,供大家参考. 一.数据库连接 以下为引用的内容: <% set conn=server.createobject("adodb.connection") conn.open "driver={microsoft access dr

  • ASP编码必备的8条原则

    ASP是Active Server Page的缩写,意为"动态服务器页面".ASP是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单.方便的编程工具.在这里仅就代码优化进行一些简单讨论. 1.声明VBScript变量 在ASP中,对vbscript提供了强劲的支持,能够无缝集成vbscript的函数.方法,这样给扩展ASP的现有功能提供了很大便利.由于ASP中已经模糊了变量类型的概念,所以,在进行ASP与vbscript交互的过程中,很多程序员也

  • asp对复杂json的解析一定要注意要点

    这是本人写的第一篇文章,其实网上有很多类似的文章,我刚开始也是照着网上的文章来做的实验. 但是他的文章中的json还是挺简单的,我按照他的方法只解析出第一层,后面的死活试了大半天才测试出来,这里还是对json格式的数据不是太熟悉,也是对asp不熟悉.下面贴上我的代码,解释一下,也算对我做的东西留个备份. 我的json数据,是从http接口中得到的: 复制代码 代码如下: {"data":{"0":{"Productinfo":{"id&

  • ASP.NET中实现文件的保护性下载基础篇

    一.文件保护性下载的需求 如果我们需要在站点上出售数字形式的商品,如电子书.数字油画等,那么如何在供授权用户正常下载的同时又阻止非授权用户非法下载您的产品呢? 通过Forms身份验证,只能使这个问题得到部分解决.本文中,我将讲解如何防止某些用户访问站点上的某些文件;即使这些文件能够被这些用户直接浏览. 解决这个问题的方法有多种,但是有些方法本身就有问题.本文中,我们将考察软件供应厂商常用的一些技术,然后再介绍一种新的解决方案.需要注意的是,这里介绍的是针对ASP.net站点的. 二.常见的文件保

  • Jquery Autocomplete 结合asp.net使用要点

    问题1:从webserver或者一般应用处理程序(.ashx)程序得到json字符串时不能自动识别,被解释成了string类型的.其实解决这个问题不是很难,只需要重载一个方法即可,下面把部分代码贴出来:标红的部分需要注意. 复制代码 代码如下: $("#txt").autocomplete("/Asmx/ExecutePlan.ashx", { extraParams:{hosid:HosID,profid:ProfID}, minChars: 0, max: 70

  • 防范ASP木马的十大基本原则强列建议看下

    由于ASP它本身是服务器提供的一项服务功能,特别是最近由dvbbs的upfile文件出现漏洞以来,其高度的隐蔽性和难查杀性,对网站的安全造成了严重的威胁.因此针对ASP木马的防范和清除,为网管人员提出了更高的技术要求. 几个大的程序全部被发现存在上传漏洞,小程序更是不计其数,让asp木马一下占据了主流,得到广泛的使用,想必如果你是做服务器的话,一定为此头疼不止吧,特别是虚拟主机的用户都遇到过网页被篡改.数据被删除的经历,事后除了对这种行径深恶痛绝外,许多客户又苦于没有行之有效的防范措施.鉴于大部

  • 如何防范ASP木马

    修改三个组件来达到防asp木马攻击.FileSystemObject组件---对文件进行常规操作.WScript.Shell组件---可以调用系统内核运行DOS命令.Shell.Application组件--可以调用系统内核运行DOS命令. 一.使用FileSystemObject组件 1.可以通过修改注册表,将此组件改名,来防止此类木马的危害. HKEY_CLASSES_ROOT\Scripting.FileSystemObject\改名为其它的名字,如:改为FileSystemObject_

  • 非常不错的封杀网络木马病毒十大绝招第1/2页

    木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你.有人说,既然木马这么厉害,那我离它远一点不就可以了! 然而这个木马实在是"淘气",它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你"家"中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在"家"中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题.下面就是木马潜伏的诡招,看了以后不要忘记

  • asp木马代码解密的随机加密webshell

    随机加密webshell,解密还不错,应当免杀 加密源码 复制代码 代码如下: <%@ LANGUAGE = VBScript.Encode %> <%#@~^3A4CAA==@#@& jdDhl/k'r1v2FX!ZFE~,PP,~P,@#@&sHC:'r随机加密 J~P~~@#@&jkDnj"SxE4YY2lJzAhS 4l^0+MRmK:r~P,P~P,P~@#@&ZWazDbotDxEbUn木马随机加密器 rP~P~~,P~P,~P,

  • 十大求职陷阱公布 骗子敢用真信息欺诈求职者

    请擦亮你的双眼,在求职跳槽高峰期的这段日子里,看清这世界形形色色职场"陷阱".昨天,根据连日来700多网友的积极投票,市劳动和社会保障局所属的上海公共招聘网发布了"我最需防范的十大求职陷阱". 1.试用陷阱 以新招人员替代试用期满人员  [经典案例]吴先生应聘某汽车销售服务公司的汽车驾驶员岗位.单位承诺3个月试用,录用后发现,该单位仍在进行汽车驾驶员招聘工作.吴先生按约定做满3个月,却接到了单位的辞退通知. 2.培训陷阱 以招聘为名为培训学校拉生源 [经典案例]张小

  • 网上保障隐私十大秘技

    互联网是一把两刃利剑,一方面为日常生活带来便利,另一方面又为黑客入侵电脑系统开放更多渠道.一般网友应如何防范?请看下面能保障你隐私的十大秘技:  1. 采用匿名方式浏览,因为许多网站利用cookies跟踪网友的互联网活动,从而确定网友喜好.你可以在使用浏览器时关闭电脑接收cookie的选项,避免受到 cookies的追踪.  2. 进行任何网上交易或发送电邮前,切记阅读网站的隐私保护政策,因为有些网站会将你的个人资料卖给第三方.  3. 安装个人防火墙,以防止个人资料和财务数据被窃取.及时升级是

  • 防止ASP木马在服务器上运行

    如果您的服务器正在受ASP木马的困扰,那么希望这篇文章能帮您解决您所面临的问题. 目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作. 一.使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作 可以通过修改注册表,将此组件改名,来防止此类木马的危害. HKEY_CLASSES_ROOT\Scripting.FileSystemObject\改名为其它的名字,如:改为FileSystemObject_ChangeName 自己以后调用的时候

  • 让你变成ASP木马高手

    1.名称:如何制作图片ASP木马 (可显示图片)  建一个asp文件,内容为<!--#i nclude file="ating.jpg"-->  找一个正常图片ating.jpg,插入一句话木马(比如冰狐的),用ultraedit进行hex编译,插入图片里,为  了运行成功,还要搜索<%和%>,将其变为00,(不要替换自己asp的),再把jpg文件开头加入  <SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(

  • jQuery 3.0十大新特性最终版发布

    jQuery 3.0 最终版发布了.jQuery 3.0将是jQuery的未来.但如果你需要IE6-8支持,您可以继续使用最新版本1.12. jQuery 3.0在日前发布了最终的全新版本.从2014年10月,jQuery团队对这个主要大版本进行维护开始,web开发者社区便一直在期待着这一刻的到来,终于在2016年6月他们迎来了这一个最终版www.lampbrother.net. 通过jQuery 3.0的版本更新说明,我们看到了一个保持着向后兼容的更轻便,更快速的jQuery.在本文中,我们将

  • jQuery 3.0十大新特性

    jQuery 3.0在日前发布了最终的全新版本.从2014年10月,jQuery团队对这个主要大版本进行维护开始,web开发者社区便一直在期待着这一刻的到来,终于在2016年6月他们迎来了这一个最终版. 通过jQuery 3.0的版本更新说明 ,我们看到了一个保持着向后兼容的更轻便,更快速的jQuery.在本文中,我们将介绍一些令人眼前一亮的jQuery 3.0全新特性. 开始前的说明 如果你想要下载jQuery 3.0进行亲自实验,可以通过 该页面 进行下载.另外, 升级指南 和 源代码 也值

随机推荐