由于技术条件的限制,目前大多数企业网,校园网,都采用了免费下载的ASP源程序,这些源程序使用虽然方便,但确存在的很多的安全隐患。当某种网站信息管理系统出现安全漏洞时,则所有采用该系统的网站都将面临被攻击的危险,服务器不幸被成功上传ASP木马并执行后,服务器中的所有数据完全暴露,黑客可以对服务器文件进行创建、修改、删除、上传、下载,服务器数据毫无安全可言,ASP木马甚至可以运行命令行程序,创建用户帐号,安装后门程序,利用系统漏洞将用户权限提升为管理员权限,此时服务器彻底被黑客控制。由于ASP木马与正常的ASP文件并无本质的不同,因此很容易进行伪装、修改,混杂在普通ASP文件中难以分辨,并且ASP木马也很容易被加密,一般杀毒软件都不能彻底查杀,这也是不少网站管理人员头疼不已的问题。鉴于ASP木马入侵成功需要“上传“和“执行”两个步骤,笔者总结了防范ASP木马的几条要点,与各位同行交流。
要点一:及时更新安全补丁,避免“默认设置”
绝大部分的黑客都是利用各种安全漏洞入侵服务器成功的,所以更新各种补丁是每个网管人员的重要工作。猜测关键字也是黑客常利用的手段,所以网站程序、服务器设置,越是与众不同,安全性就越高。网络上有将Windows系统的 IIS服务伪装成Linux系统的Apache服务的做法来迷惑非法入侵者,将数据库中的数据表、字段命名为不易猜到的名称来有效防范SQL注入攻击,及通过改变服务端口号以拒绝试探性的连接,以提高服务器的安全性。
要点二:限制Internet来宾帐户的访问权限
互联网用户一般都是以“Internet来宾帐户”访问我们的WEB站点的,因此严格控制Internet来宾帐户的访问权限也是非常重要的。一般来说,Internet来宾帐户的访问权限应该限制在web站点目录内,且只具有读取和运行的权限,需要给予写入权限的文件、文件夹应单独设置,若无特殊要求,不应该给网站目录以外的其他目录任何访问权限。如将各个分区的根目录设置为拒绝“Internet来宾帐户”任何权限时,ASP木马运行后,将无法访问各个分区的根目录,从而保护了其他文件的安全。这在一台服务器包含多个WEB站点时,即使一个站点被黑,仍可以保护其他站点的文件安全。为使IIS服务在最低权限下运行,还需要考虑“启动 IIS 进程帐号”的权限设置,以保证IIS服务的正常工作。访问权限够用就好,绝不多给。
要点三:仔细考虑站点目录的执行权限
在WEB站点文件中包含ASP程序的目录是必须给予执行权限的,否则ASP程序将不能执行,其他的目录则都不应有执行权限,特别是可以写入的目录。原则上 “Internet来宾帐户”具有写入权限的目录绝不能给予执行权限”。这要求网站目录结构设计时就应该考虑。这样黑客即使利用安全漏洞上传了ASP木马,但由于没有执行权限而无法执行,同样可以起到保护的作用。若按上文所说的方法设置“Internet来宾帐户”访问权限,即使ASP木马运行,但由于网页程序代码文件都是只读的,ASP木马也将无法修改网页程序代码而无法在被入侵网站上挂木马病毒,同时无法访问站点外的文件。
要点四:隐藏或删除不必要的组件
为防范ASP木马对服务器操作系统的威胁,可以删除或隐藏不安全的组件,ASP木马利用的常用组件分别是:FileSystemObject组件、WScript.Shell组件、Shell.Application组件、WScript.Network组件等,对于不需要的组件可以用RegSrv32 /u命令卸载,在CMD命令行窗口中运行以下命令:regsvr32/u C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止ASP木马通过wscript或shell.application执行命令以及使用ASP木马查看服务器系统的一些敏感信息。需要的组件可以通过修改注册表,将组件改名。如:修改注册表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\为FileSystemObject_ChangeName同时更改clsid值,以后调用的时候使用新名称就可以正常调用此组件。
ASP木马程序在严格细致的权限控制之下,是可以防范的。及时更新安全补丁,限制“Internet来宾帐户”的权限,大大阻止了ASP木马的非法上传,通过细致的IIS站点目录执行权限设置,又避免了大部分ASP木马的执行,而不安全组件的隐藏、删除,又将ASP木马执行后的危害大大降低,严格、综合、全面的权限体系将使黑客利用ASP木马入侵WEB站点,传播木马病毒的阴谋无法轻易得手。
本文发表于:
94
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
