由於技術條件的限制,目前大多數企業網,校園網,都採用了免費下載的ASP源程序,這些源程序使用雖然方便,但確存在的很多的安全隱患。當某種網站信息管理系統出現安全漏洞時,則所有采用該系統的網站都將面臨被攻擊的危險,服務器不幸被成功上傳ASP木馬並執行後,服務器中的所有數據完全暴露,黑客可以對服務器文件進行創建、修改、刪除、上傳、下載,服務器數據毫無安全可言,ASP木馬甚至可以運行命令行程序,創建用戶帳號,安裝後門程序,利用系統漏洞將用戶權限提升爲管理員權限,此時服務器徹底被黑客控制。由於ASP木馬與正常的ASP文件並無本質的不同,因此很容易進行僞裝、修改,混雜在普通ASP文件中難以分辨,並且ASP木馬也很容易被加密,一般殺毒軟件都不能徹底查殺,這也是不少網站管理人員頭疼不已的問題。鑑於ASP木馬入侵成功需要“上傳“和“執行”兩個步驟,筆者總結了防範ASP木馬的幾條要點,與各位同行交流。
要點一:及時更新安全補丁,避免“默認設置”
絕大部分的黑客都是利用各種安全漏洞入侵服務器成功的,所以更新各種補丁是每個網管人員的重要工作。猜測關鍵字也是黑客常利用的手段,所以網站程序、服務器設置,越是與衆不同,安全性就越高。網絡上有將Windows系統的 IIS服務僞裝成Linux系統的Apache服務的做法來迷惑非法入侵者,將數據庫中的數據表、字段命名爲不易猜到的名稱來有效防範SQL注入攻擊,及通過改變服務端口號以拒絕試探性的連接,以提高服務器的安全性。
要點二:限制Internet來賓帳戶的訪問權限
互聯網用戶一般都是以“Internet來賓帳戶”訪問我們的WEB站點的,因此嚴格控制Internet來賓帳戶的訪問權限也是非常重要的。一般來說,Internet來賓帳戶的訪問權限應該限制在web站點目錄內,且只具有讀取和運行的權限,需要給予寫入權限的文件、文件夾應單獨設置,若無特殊要求,不應該給網站目錄以外的其他目錄任何訪問權限。如將各個分區的根目錄設置爲拒絕“Internet來賓帳戶”任何權限時,ASP木馬運行後,將無法訪問各個分區的根目錄,從而保護了其他文件的安全。這在一臺服務器包含多個WEB站點時,即使一個站點被黑,仍可以保護其他站點的文件安全。爲使IIS服務在最低權限下運行,還需要考慮“啓動 IIS 進程帳號”的權限設置,以保證IIS服務的正常工作。訪問權限夠用就好,絕不多給。
要點三:仔細考慮站點目錄的執行權限
在WEB站點文件中包含ASP程序的目錄是必須給予執行權限的,否則ASP程序將不能執行,其他的目錄則都不應有執行權限,特別是可以寫入的目錄。原則上 “Internet來賓帳戶”具有寫入權限的目錄絕不能給予執行權限”。這要求網站目錄結構設計時就應該考慮。這樣黑客即使利用安全漏洞上傳了ASP木馬,但由於沒有執行權限而無法執行,同樣可以起到保護的作用。若按上文所說的方法設置“Internet來賓帳戶”訪問權限,即使ASP木馬運行,但由於網頁程序代碼文件都是隻讀的,ASP木馬也將無法修改網頁程序代碼而無法在被入侵網站上掛木馬病毒,同時無法訪問站點外的文件。
要點四:隱藏或刪除不必要的組件
爲防範ASP木馬對服務器操作系統的威脅,可以刪除或隱藏不安全的組件,ASP木馬利用的常用組件分別是:FileSystemObject組件、WScript.Shell組件、Shell.Application組件、WScript.Network組件等,對於不需要的組件可以用RegSrv32 /u命令卸載,在CMD命令行窗口中運行以下命令:regsvr32/u C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止ASP木馬通過wscript或shell.application執行命令以及使用ASP木馬查看服務器系統的一些敏感信息。需要的組件可以通過修改註冊表,將組件改名。如:修改註冊表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\爲FileSystemObject_ChangeName同時更改clsid值,以後調用的時候使用新名稱就可以正常調用此組件。
ASP木馬程序在嚴格細緻的權限控制之下,是可以防範的。及時更新安全補丁,限制“Internet來賓帳戶”的權限,大大阻止了ASP木馬的非法上傳,通過細緻的IIS站點目錄執行權限設置,又避免了大部分ASP木馬的執行,而不安全組件的隱藏、刪除,又將ASP木馬執行後的危害大大降低,嚴格、綜合、全面的權限體系將使黑客利用ASP木馬入侵WEB站點,傳播木馬病毒的陰謀無法輕易得手。
本文發表於: