IIS如何防ASP木马
由于技術(shù)條件的限制,目前大多數(shù)企業(yè)網(wǎng),校園網(wǎng),都采用了免費下載的ASP源程序,這些源程序使用雖然方便,但確存在的很多的安全隱患。當(dāng)某種網(wǎng)站信息管理系統(tǒng)出現(xiàn)安全漏洞時,則所有采用該系統(tǒng)的網(wǎng)站都將面臨被攻擊的危險,服務(wù)器不幸被成功上傳ASP木馬并執(zhí)行后,服務(wù)器中的所有數(shù)據(jù)完全暴露,黑客可以對服務(wù)器文件進行創(chuàng)建、修改、刪除、上傳、下載,服務(wù)器數(shù)據(jù)毫無安全可言,ASP木馬甚至可以運行命令行程序,創(chuàng)建用戶帳號,安裝后門程序,利用系統(tǒng)漏洞將用戶權(quán)限提升為管理員權(quán)限,此時服務(wù)器徹底被黑客控制。由于ASP木馬與正常的ASP文件并無本質(zhì)的不同,因此很容易進行偽裝、修改,混雜在普通ASP文件中難以分辨,并且ASP木馬也很容易被加密,一般殺毒軟件都不能徹底查殺,這也是不少網(wǎng)站管理人員頭疼不已的問題。鑒于ASP木馬入侵成功需要“上傳“和“執(zhí)行”兩個步驟,筆者總結(jié)了防范ASP木馬的幾條要點,與各位同行交流。
要點一:及時更新安全補丁,避免“默認設(shè)置”
絕大部分的黑客都是利用各種安全漏洞入侵服務(wù)器成功的,所以更新各種補丁是每個網(wǎng)管人員的重要工作。猜測關(guān)鍵字也是黑客常利用的手段,所以網(wǎng)站程序、服務(wù)器設(shè)置,越是與眾不同,安全性就越高。網(wǎng)絡(luò)上有將Windows系統(tǒng)的 IIS服務(wù)偽裝成Linux系統(tǒng)的Apache服務(wù)的做法來迷惑非法入侵者,將數(shù)據(jù)庫中的數(shù)據(jù)表、字段命名為不易猜到的名稱來有效防范SQL注入攻擊,及通過改變服務(wù)端口號以拒絕試探性的連接,以提高服務(wù)器的安全性。
要點二:限制Internet來賓帳戶的訪問權(quán)限
互聯(lián)網(wǎng)用戶一般都是以“Internet來賓帳戶”訪問我們的WEB站點的,因此嚴格控制Internet來賓帳戶的訪問權(quán)限也是非常重要的。一般來說,Internet來賓帳戶的訪問權(quán)限應(yīng)該限制在web站點目錄內(nèi),且只具有讀取和運行的權(quán)限,需要給予寫入權(quán)限的文件、文件夾應(yīng)單獨設(shè)置,若無特殊要求,不應(yīng)該給網(wǎng)站目錄以外的其他目錄任何訪問權(quán)限。如將各個分區(qū)的根目錄設(shè)置為拒絕“Internet來賓帳戶”任何權(quán)限時,ASP木馬運行后,將無法訪問各個分區(qū)的根目錄,從而保護了其他文件的安全。這在一臺服務(wù)器包含多個WEB站點時,即使一個站點被黑,仍可以保護其他站點的文件安全。為使IIS服務(wù)在最低權(quán)限下運行,還需要考慮“啟動 IIS 進程帳號”的權(quán)限設(shè)置,以保證IIS服務(wù)的正常工作。訪問權(quán)限夠用就好,絕不多給。
要點三:仔細考慮站點目錄的執(zhí)行權(quán)限
在WEB站點文件中包含ASP程序的目錄是必須給予執(zhí)行權(quán)限的,否則ASP程序?qū)⒉荒軋?zhí)行,其他的目錄則都不應(yīng)有執(zhí)行權(quán)限,特別是可以寫入的目錄。原則上 “Internet來賓帳戶”具有寫入權(quán)限的目錄絕不能給予執(zhí)行權(quán)限”。這要求網(wǎng)站目錄結(jié)構(gòu)設(shè)計時就應(yīng)該考慮。這樣黑客即使利用安全漏洞上傳了ASP木馬,但由于沒有執(zhí)行權(quán)限而無法執(zhí)行,同樣可以起到保護的作用。若按上文所說的方法設(shè)置“Internet來賓帳戶”訪問權(quán)限,即使ASP木馬運行,但由于網(wǎng)頁程序代碼文件都是只讀的,ASP木馬也將無法修改網(wǎng)頁程序代碼而無法在被入侵網(wǎng)站上掛木馬病毒,同時無法訪問站點外的文件。
要點四:隱藏或刪除不必要的組件
為防范ASP木馬對服務(wù)器操作系統(tǒng)的威脅,可以刪除或隱藏不安全的組件,ASP木馬利用的常用組件分別是:FileSystemObject組件、WScript.Shell組件、Shell.Application組件、WScript.Network組件等,對于不需要的組件可以用RegSrv32 /u命令卸載,在CMD命令行窗口中運行以下命令:regsvr32/u C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止ASP木馬通過wscript或shell.application執(zhí)行命令以及使用ASP木馬查看服務(wù)器系統(tǒng)的一些敏感信息。需要的組件可以通過修改注冊表,將組件改名。如:修改注冊表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\為FileSystemObject_ChangeName同時更改clsid值,以后調(diào)用的時候使用新名稱就可以正常調(diào)用此組件。
ASP木馬程序在嚴格細致的權(quán)限控制之下,是可以防范的。及時更新安全補丁,限制“Internet來賓帳戶”的權(quán)限,大大阻止了ASP木馬的非法上傳,通過細致的IIS站點目錄執(zhí)行權(quán)限設(shè)置,又避免了大部分ASP木馬的執(zhí)行,而不安全組件的隱藏、刪除,又將ASP木馬執(zhí)行后的危害大大降低,嚴格、綜合、全面的權(quán)限體系將使黑客利用ASP木馬入侵WEB站點,傳播木馬病毒的陰謀無法輕易得手。
本文發(fā)表于:
總結(jié)
以上是生活随笔為你收集整理的IIS如何防ASP木马的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Yuma格式历书的总结
- 下一篇: AVB源码学习(一):AVB2.0工作原