對(duì)待ASP網(wǎng)站的攻擊�,黑客一般會(huì)使用ASP木馬如海洋頂端ASP木馬進(jìn)行入侵�。其實(shí)我們只要采取一定的措施就能夠有效預(yù)防ASP網(wǎng)站被入侵事件的發(fā)生��。本文重點(diǎn)討論ASP網(wǎng)站如何防御ASP木馬�����。文中案例所使用的ASP網(wǎng)站平臺(tái)是在國內(nèi)有著廣泛用戶群的動(dòng)易網(wǎng)站管理系統(tǒng)免費(fèi)版以及動(dòng)網(wǎng)論壇免費(fèi)版����,具有一定的代表性。
適合讀者:網(wǎng)管��、安全愛好者
預(yù)備知識(shí):ASP編程
小知識(shí):什么是ASP木馬
它是用ASP編寫的網(wǎng)站程序���。它和其它ASP程序沒有本質(zhì)區(qū)別�,只要是能運(yùn)行ASP的空間就能運(yùn)行它�,這種性質(zhì)使得ASP木馬非常不易被發(fā)覺。就算是優(yōu)秀的殺毒軟件���,也未必能夠檢測(cè)出它到底是ASP木馬還是正常的ASP網(wǎng)站程序�����。這也是為什么ASP木馬猖獗的原因��。
ASP木馬入侵原理
要預(yù)防木馬的入侵���,就要先了解入侵的原理�。想通過ASP木馬入侵��,必須先將木馬上傳到目標(biāo)空間�����,然后直接在客戶端瀏覽器里面運(yùn)行木馬��,接著就可以進(jìn)行文件修改����、目錄刪除等等具有破壞性的工作����。
黑客入侵ASP網(wǎng)站一般使用兩種方式:
第一種是上傳木馬后,利用木馬以及操作系統(tǒng)漏洞在Windows啟動(dòng)項(xiàng)里添加一個(gè)批處理文件�����,用來添加管理員賬號(hào),然后用管理員賬號(hào)停止防火墻運(yùn)行和進(jìn)行文件修改刪除等操作����。
第二種是上傳木馬后,直接通過木馬刪除網(wǎng)站里面的目錄和文件�����。
找準(zhǔn)關(guān)鍵對(duì)癥下藥
通過分析可以發(fā)現(xiàn)���,我們提到的兩種入侵方式都是利用ASP網(wǎng)站的上傳功能����,先上傳木馬�,然后借助木馬對(duì)文件進(jìn)行修改刪除等操作。簡單說來��,要做的第一步就是阻止ASP文件的上傳�;其次,如果被上傳了ASP木馬����,就要杜絕木馬的運(yùn)行。
ASP木馬本身就是個(gè)ASP文件��。所以很關(guān)鍵的一點(diǎn)是限制ASP文件的上傳。一般ASP網(wǎng)站本身就有文件上傳功能�,并且默認(rèn)是限制了ASP文件的上傳,不過黑客能夠想方設(shè)法上傳他們的木馬文件�。
國內(nèi)較多見的就是使用桂林老兵網(wǎng)站上傳利用工具,可以先將木馬文件的擴(kuò)展名改為JPG或者GIF�����,進(jìn)行上傳����,然后再改回ASP文件���。針對(duì)這種方法我們?cè)撛趺崔k呢�����?
安全與便捷并行
要防患于未然���,一些前期工作必須先做好。首先就是養(yǎng)成及時(shí)備份的習(xí)慣���;其次�����,如果你的網(wǎng)站采用ACCESS數(shù)據(jù)庫�,那么要保證你網(wǎng)站的主數(shù)據(jù)庫不能以MDB為擴(kuò)展名,將擴(kuò)展名改成ASP�,這樣可以防止黑客直接下載到網(wǎng)站數(shù)據(jù)庫并猜解網(wǎng)站管理員密碼;第三�����,網(wǎng)站管理員密碼位數(shù)推薦超過12位��。
這樣即使不小心被下載到數(shù)據(jù)庫�,因?yàn)橐话愠墒斓腁SP網(wǎng)站數(shù)據(jù)庫密碼部分都會(huì)采用MD5碼加密,暴力破解也需要相當(dāng)長的時(shí)間�。這些基本的要求如果都做到了,那我們就來看看具體是如何防御ASP木馬的����。
限制ASP執(zhí)行權(quán)限
雖然無法通過殺毒軟件查殺ASP木馬,但可以采取其他方法進(jìn)行有效防范���。就知名的動(dòng)易網(wǎng)站管理系統(tǒng)或者動(dòng)網(wǎng)論壇來說�����,默認(rèn)是允許注冊(cè)用戶上傳文件的�����。黑客可以利用工具將ASP木馬偽裝后上傳至服務(wù)器�����。
關(guān)鍵就在于他們上傳文件所存放的目錄是固定的����,具體說就是通過網(wǎng)站上傳的文件只會(huì)出現(xiàn)在我們ASP網(wǎng)站程序所指定的目錄下。
如果要完全限制網(wǎng)站注冊(cè)用戶上傳文件的權(quán)限是不現(xiàn)實(shí)的���。所以,我們能做的第一步���,就是禁止ASP文件在此目錄的執(zhí)行權(quán)限�����。目的就是讓上傳來的ASP木馬無法執(zhí)行����。具體方法如下:
打開IIS,右鍵點(diǎn)擊網(wǎng)站里面供上傳的目錄�,點(diǎn)擊屬性,我們可以看到屬性窗口�����;將此目錄的"執(zhí)行權(quán)限"設(shè)置成"無"�����;用同樣的方法���,再將存放數(shù)據(jù)庫的文件夾以及其余幾個(gè)可供用戶上傳文件的文件夾的"執(zhí)行權(quán)限"全都設(shè)置成"無"�����。
服務(wù)器上的安全設(shè)置
即使限制了上傳目錄的ASP的執(zhí)行權(quán)限��,但也無法保證服務(wù)器的絕對(duì)安全����。所以�,服務(wù)器上面也要進(jìn)行一些設(shè)置。
服務(wù)器操作系統(tǒng)以Windows 2003為例�����,首先當(dāng)然是要將磁盤轉(zhuǎn)為NTFS格式。其次��,可以將默認(rèn)的Administrator改名�����,并設(shè)置足夠位數(shù)的密碼(推薦12位以上)��。為了欺騙黑客�����,還可以另外建一個(gè)名為Administrator的賬號(hào)�����,并設(shè)置密碼���,賦予最低權(quán)限。
在Windows 2003操作系統(tǒng)里面設(shè)置相應(yīng)文件夾的權(quán)限���。由于網(wǎng)站做好后一般一段時(shí)間都不會(huì)隨便對(duì)源代碼進(jìn)行修改���,所以可以對(duì)不需要進(jìn)行修改的地方設(shè)置只讀權(quán)限��,僅開放幾個(gè)上傳的文件夾的可寫權(quán)限����。對(duì)系統(tǒng)默認(rèn)的Everyone的權(quán)限進(jìn)行限制�,拒絕Everyone的刪除以及修改權(quán)限。僅在我們需要對(duì)網(wǎng)站進(jìn)行修改的時(shí)候�,才暫時(shí)將此限制去掉。具體操作過程如下:
對(duì)存放網(wǎng)站的文件夾點(diǎn)擊右鍵�����,點(diǎn)擊"共享和安全"����;在安全選項(xiàng)卡上,可以看到屬性窗口���;為限制Everyone的權(quán)限���,點(diǎn)擊下面的高級(jí)按鈕;在彈出的"高級(jí)安全設(shè)置"對(duì)話框中的"權(quán)限"選項(xiàng)卡上,點(diǎn)擊"添加"����;在"選擇用戶或組"底下的框中輸入名稱"Everyone",再點(diǎn)擊"確定"��;
在出現(xiàn)的對(duì)話框中勾選"創(chuàng)建文件/寫入數(shù)據(jù)"��、"創(chuàng)建文件夾/附加數(shù)據(jù)"�����、"刪除子文件夾及文件"�、"刪除"、"更改權(quán)限"的拒絕權(quán)限���,并設(shè)置將它應(yīng)用到"該文件夾及文件"����。
同樣的方法�����,再對(duì)網(wǎng)站里面的各個(gè)子文件夾進(jìn)行設(shè)置�����,拒絕一些網(wǎng)管對(duì)不需要修改的文件夾的更改�����、寫入數(shù)據(jù)等權(quán)限��。要注意的是��,供網(wǎng)站用戶上傳文件的文件夾��,要保留其寫入的權(quán)限���。
由于Windows的用戶組權(quán)限是拒絕優(yōu)先�,所以設(shè)置好后要測(cè)試��,供上傳的文件夾不能限制其寫入權(quán)限�。
我們做好了這些權(quán)限的設(shè)置之后,可以自己試著對(duì)網(wǎng)站的文件或者文件夾進(jìn)行改名��、刪除等操作����,看看是否會(huì)提示拒絕訪問或者沒有這個(gè)權(quán)限。如果測(cè)試通過,那么修改是成功的���。
以上是筆者在實(shí)踐中總結(jié)出的經(jīng)驗(yàn)��,雖然不能百分百保證網(wǎng)站的安全���,不過應(yīng)該說通過這些設(shè)置,網(wǎng)站的總體安全性有了很大的提高�����。在修改了這些權(quán)限設(shè)置之后�,就算黑客上傳了幾個(gè)木馬文件,但上傳了也無法運(yùn)行�,不會(huì)造成什么后果。
該文章在 2011/3/14 15:29:44 編輯過
400 186 1886
