ASP木马的运行机制和防范方法探讨

2022-09-15

ASP是微软公司发布的动态网页的技术, 是基于服务器端运行的脚本编写环境, 具有开发简单、功能强大等优点。目前越来越多的人在使用ASP这项技术, 经营、维护自己的网站, 开发各种应用程序。ASP在带来方便的同时, 由于本身存在的一些安全漏洞, 也带来了一些安全隐患, 这些安全隐患稍不留心就会给黑客提供可乘之机。

1 ASP木马的入侵原理

ASP木马是用脚本语言编写的动态页面程序, 被黑客上传到ASP网站空间后, 通过它可以方便的对网站进行控制或破坏。ASP木马程序能管理对方资源, 如复制文件、删除文件、查看文件内容、上传文件、下载文件等。在获取对方服务器一定权限之后, ASP木马可以结合其他传统木马工具进一步的、直到完全控制目标计算机, 篡改网站页面, 删除空间数据, 甚至导致网站完全瘫痪。它和其它ASP页面程序并没有本质区别, 只要是能运行ASP的空间就能运行它, 这种性质使得它不易被察觉。即便是优秀的杀毒软件, 也未必能够判断出它到底是ASP木马还是正常的ASP网站程序。所以它被黑客们称为“永远不会被查杀的后门”。它和其他asp程序的区别只在于ASP木马是入侵者上传到目标空间, 并帮助入侵者控制目标空间的asp程序。

ASP木马入侵是要把ASP木马上传到目标空间。入侵者多是利用目标空间中已有的具有上传功能的ASP程序来实现。正常情况下, 这些可以上传文件的ASP程序大多限制了上传ASP扩展名的文件, 也存在人为的ASP设置错误及ASP程序本身的漏洞, 留下了入侵漏洞, 实现了上传ASP木马。ASP木马运行后可以使用各种DOS命令, 但是它的默认执行权限只是GUEST用户, 也就是I U S R_C O M P U T E R用户的执行权限。当然如果你把I U S R_C O M P U T E R用户加入管理员组, 那么你就有管理员权限了。这一类木马使用很方便, 几乎就相当于DOS命令行窗口操作一样, 但是如果服务器限制了FSO (无组件上传) , 那么它是没有办法使用了, 在服务器再增加的虚拟主机里也没有办法使用, 只能在“默认W e b站点”里使用, 所以它相对的适用范围较窄。还有的木马是通过创建S H E L L.A P P L I-C A T I O N对象来进行攻击的, 这类木马可以实现对文件的复制, 移动, 和执行程序, 功能虽然简单, 但它创建的“S H E L L.APPLICATION”对象。这个对象在任何虚拟主机上都适用, 不只限于默认站点, 这一点危害极大。由于木马适用于任何虚拟主机之中, 只要是服务器中的一个虚拟空间的用户, 就可以传这个木马上去, 并用它来修改其它任何用户的主页。所以如果那些提供虚拟空间的服务商没有打补丁的话, 是很危险的。目前很多一些中小型虚拟空间服务都没有打补丁, 这一漏洞可以轻易被黑客利用拿到虚拟空间服务器的管理员帐号。对于ASP后门木马的防范, 最重要的是在注册表中把“W S C R I P T.S H E L L”、“S H E L L.A P P L I C A T I O N”等危险的脚本对象进行改名或删除, 也就是限制系统对“脚本SHELL”的创建, ASP木马也就成为无本之木、无米之炊。这样即使黑客把木马上传到空间上也没办法让其执行。

2 ASP木马的防范措施

针对ASP木马的入侵原理, 除了以上方法外, 笔者总结了如下措施以防止木马被上传和执行, 希望对大家有所帮助。

首先, 要控制ASP木马的上传。一般的web程序为了提供诸如上传附件、图片等服务都开放了上传功能, 这些功能同样也为攻击者上传木马提供了便捷, 是潜在的安全隐患。为安全起见, 因此, 用户最好通过FTP方式来上传文件、维护网页, 尽量不安装ASP的上传程序。有些情况下须对ASP上传程序的调用设置严格的身份认证, 只允许信任的人使用上传程序。并对上传文件实行格式过滤, 禁止危险格式的文件上传到服务器。

其次, ASP木马主要通过FSO, SHELL等组件来实现目标服务器的控制, 只要我们在系统中禁用了这几种服务就可以彻底杜绝ASP木马的危害, 但是FSO, SHELL组件都是编程中常用的组件, 禁用这些组件并不是最理想的安全措施, 须在系统注册表中修改组件名称方式, 修改其调用方式。

第三, 在服务器端设置严格的安全权限, 这样即使黑客在采取种种手段突破防线后, 真的把木马上传到了服务器也没有权限执行木马, 使之成为木马僵尸。即使限制了上传目录的ASP的执行权限, 但也无法保证服务器的绝对安全。所以, 服务器上面也要进行一些设置。以Windows 2003为例, 要将磁盘转为N T F S格式。将默认的Administrator改名, 并设置足够位数的密码 (推荐12位以上) 。还可以另外建一个名为Administrator的账号, 并设置密码, 赋予最低权限, 以迷惑对方。由于网站做好后一般一段时间都不会随便对源代码进行修改, 所以可以对不需要进行修改的地方设置只读权限, 仅开放几个上传的文件夹的可写权限。对系统默认的Everyone的权限进行限制, 拒绝Everyone的删除以及修改权限。仅在我们需要对网站进行修改的时候, 才暂时将此限制去掉。再对网站里面的各个子文件夹进行设置, 拒绝一些网管对不需要修改的文件夹的更改、写入数据等权限。要注意的是, 供网站用户上传文件的文件夹, 要保留其写入的权限。由于Windows的用户组权限是拒绝优先, 所以设置好后要测试, 供上传的文件夹不能限制其写入权限。我们做好了这些权限的设置之后, 可以自己试着对网站的文件或者文件夹进行改名、删除等操作, 看看是否会提示拒绝访问或者没有这个权限。如果测试通过, 那么修改是成功的。

另外, 维护中要注意注意空间中是否有来历不明的asp文件, 周期性备份数据库等重要文件, 不要在网页上加注后台管理程序登陆页面的链接。asp程序要在正规网站下载, 下载后要对其数据库名称和存放路径进行修改, 数据库文件名称也要有一定复杂性。为防止程序有未知漏洞, 可以在维护后删除后台管理程序的登陆页面, 下次维护时再通过上传即可。一旦发现被入侵, 除非自己能识别出所有木马文件, 否则要删除所有文件。重新上传文件前, 所有asp程序用户名和密码都要重置, 并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

摘要：ASP木马具有很高的隐蔽性和难查杀性, 对网站的安全构成严重威胁。因此识别ASP木马并对其进行防范和清除, 是我们网站管理员必须要掌握熟悉的。本文从ASP木马的定义, 入侵原理, 并结合个人工作经验, 详细分析比较了一款典型的ASP木马的工作机制并给出了防范思路和方法, 希望对大家能够有所帮助。

关键词：ASP木马,网络攻击,防范措施