由于技术条件的限制,目前大多数企业网、校园网、个人网站都采用了免费下载的源程序,这些源程序使用虽然方便,但却存在很多的安全隐患。
当服务器被上传ASP木马并执行后,黑客可以对文件进行创建、修改、删除、上传、下载,服务器数据毫无安全可言。ASP木马甚至可以运行命令行程序,创建用户账号,安装后门程序,利用系统漏洞可将用户权限提升为管理员权限,此时服务器被完全控制,彻底沦为"肉鸡"。
由于ASP木马不同于普通的可执行程序木马,它与正常的ASP文件并无本质不同,只是程序代码具有恶意性,因此很容易进行伪装、修改,夹杂在正常ASP文件中难以分辨,并且ASP木马也很容易被加密,一般杀毒软件都不能彻底查杀,这也是不少网站管理人员头疼不已的问题。从ASP木马入侵需要上传和执行两个步骤出发,笔者总结了一些防范ASP木马的经验和大家分享。
及时更新 避免"默认"
计算机、服务器之所以存在众多的安全问题,很重要的原因是可供服务器选择安装的操作系统种类较少。Windows、Linux、FreeBSD等,一旦某系统出现新的安全漏洞,则所有安装此系统的服务器都面临威胁,只有及时更新补丁才能解决问题。
网站信息管理系统同样存在这样的问题,当一种网站信息管理系统出现安全漏洞时,所有采用该系统的网站也将面临被攻击的危险,所以更新补丁是每个网管人员的必做工作。动态网页代码与操作系统一样,越是与众不同,安全性就越高,对安全性要求特别高的网站服务如网上银行,则绝对需要专门开发系统。
代码保密的网络上有将Windows系统的IIS服务伪装成Linux系统Apache服务的做法来迷惑非法入侵者,以提高安全性,将数据库中的数据表、字段命名为不易猜到的名称来有效防范SQL注入攻击,及通过改变服务端口号以拒绝试探性的连接,以提高服务的安全性。服务设置应尽量避免"默认设置"。
严控访问权限
互联网用户一般都以"Internet来宾账户"访问我们的Web站点,因此严格控制Internet来宾账户的访问权限是非常重要的。一般来说,Internet来宾账户的访问权限应该限制在Web站点目录内,且只具有读取和运行的权限,需要给予写入权限的文件、文件夹应单独设置。
若无特殊要求,不应该给网站目录以外的其他目录访问权限,如将各个分区的根目录设置为拒绝"Internet来宾账户"权限时,ASP木马运行后,将无法访问各个分区的根目录,从而保护了其他文件的安全。
这在一台服务器包含多个Web站点时,即使一个站点被黑,仍可以保护其他站点的文件安全。当然也可以为每个站点设置不同的Internet访问账户,同样可以起到这样的保护作用。为使IIS服务在最低权限下运行,还需要考虑"启动IIS进程账号"的权限设置,以保证IIS服务的正常工作。访问权限够用就好,决不多给。
在Web站点文件中包含程序代码的目录必须给予执行权限,否则网页程序将不能运行,其他的如图片目录则都不应有执行权限,原则上应该是"Internet来宾账户"具有写入权限的目录绝不能给予执行权限,这要求网站目录结构设计时就应该考虑。这样黑客即使利用安全漏洞上传了ASP木马,但由于没有执行权限而无法运行,同样可以起到保护的作用。
隐藏或删除无关组件
为防范ASP木马对服务器操作系统的入侵,可以删除或隐藏不安全的组件,ASP木马利用的常用组件分别是:FileSystemObject组件、WScript.Shell组件、Shell.Application组件、WScript.Network组件等,对于不需要的组件可以用RegSrv32/u命令删除。需要的组件可以通过修改注册表,将组件改名,或利用用户权限来控制"Internet来宾账户"对这些组件文件的访问。
ASP木马程序在管理员严格的权限控制之下,是可以防范的。及时更新补丁,严格控制"Internet来宾帐户"访问权限,可以尽可能避免ASP木马被非法上传,通过细致的网站目录执行权限控制,可以避免大部分ASP木马的运行,而不安全组件的隐藏、删除及访问权限设置,又可以将ASP木马运行后的危害大大降低。严格、综合、全面的权限体系将使黑客利用ASP木马入侵Web站点的阴谋无法轻易得手。