對待ASP網站的攻擊���,黑客一般會使用ASP木馬如海洋頂端ASP木馬進行入侵。其實我們只要采取一定的措施就能夠有效預防ASP網站被入侵事件的發(fā)生�����。本文重點討論ASP網站如何防御ASP木馬。文中案例所使用的ASP網站平臺是在國內有著廣泛用戶群的動易網站管理系統(tǒng)免費版以及動網論壇免費版���,具有一定的代表性����。
適合讀者:網管�、安全愛好者
預備知識:ASP編程
小知識:什么是ASP木馬
它是用ASP編寫的網站程序。它和其它ASP程序沒有本質區(qū)別��,只要是能運行ASP的空間就能運行它����,這種性質使得ASP木馬非常不易被發(fā)覺。就算是優(yōu)秀的殺毒軟件��,也未必能夠檢測出它到底是ASP木馬還是正常的ASP網站程序���。這也是為什么ASP木馬猖獗的原因��。
ASP木馬入侵原理
要預防木馬的入侵���,就要先了解入侵的原理�。想通過ASP木馬入侵�,必須先將木馬上傳到目標空間,然后直接在客戶端瀏覽器里面運行木馬�����,接著就可以進行文件修改�、目錄刪除等等具有破壞性的工作。
黑客入侵ASP網站一般使用兩種方式:
第一種是上傳木馬后�����,利用木馬以及操作系統(tǒng)漏洞在Windows啟動項里添加一個批處理文件��,用來添加管理員賬號�,然后用管理員賬號停止防火墻運行和進行文件修改刪除等操作。
第二種是上傳木馬后�,直接通過木馬刪除網站里面的目錄和文件。
找準關鍵對癥下藥
通過分析可以發(fā)現(xiàn)���,我們提到的兩種入侵方式都是利用ASP網站的上傳功能��,先上傳木馬,然后借助木馬對文件進行修改刪除等操作。簡單說來�,要做的第一步就是阻止ASP文件的上傳;其次�,如果被上傳了ASP木馬,就要杜絕木馬的運行���。
ASP木馬本身就是個ASP文件�����。所以很關鍵的一點是限制ASP文件的上傳�����。一般ASP網站本身就有文件上傳功能��,并且默認是限制了ASP文件的上傳���,不過黑客能夠想方設法上傳他們的木馬文件。
國內較多見的就是使用桂林老兵網站上傳利用工具��,可以先將木馬文件的擴展名改為JPG或者GIF��,進行上傳�����,然后再改回ASP文件。針對這種方法我們該怎么辦呢�����?
安全與便捷并行
要防患于未然���,一些前期工作必須先做好���。首先就是養(yǎng)成及時備份的習慣;其次��,如果你的網站采用ACCESS數(shù)據庫���,那么要保證你網站的主數(shù)據庫不能以MDB為擴展名����,將擴展名改成ASP����,這樣可以防止黑客直接下載到網站數(shù)據庫并猜解網站管理員密碼;第三�,網站管理員密碼位數(shù)推薦超過12位���。
這樣即使不小心被下載到數(shù)據庫,因為一般成熟的ASP網站數(shù)據庫密碼部分都會采用MD5碼加密����,暴力破解也需要相當長的時間�����。這些基本的要求如果都做到了�,那我們就來看看具體是如何防御ASP木馬的。
限制ASP執(zhí)行權限
雖然無法通過殺毒軟件查殺ASP木馬��,但可以采取其他方法進行有效防范�����。就知名的動易網站管理系統(tǒng)或者動網論壇來說����,默認是允許注冊用戶上傳文件的。黑客可以利用工具將ASP木馬偽裝后上傳至服務器�����。
關鍵就在于他們上傳文件所存放的目錄是固定的,具體說就是通過網站上傳的文件只會出現(xiàn)在我們ASP網站程序所指定的目錄下��。
如果要完全限制網站注冊用戶上傳文件的權限是不現(xiàn)實的���。所以���,我們能做的第一步,就是禁止ASP文件在此目錄的執(zhí)行權限�。目的就是讓上傳來的ASP木馬無法執(zhí)行。具體方法如下:
打開IIS�,右鍵點擊網站里面供上傳的目錄,點擊屬性����,我們可以看到屬性窗口;將此目錄的"執(zhí)行權限"設置成"無"�����;用同樣的方法�,再將存放數(shù)據庫的文件夾以及其余幾個可供用戶上傳文件的文件夾的"執(zhí)行權限"全都設置成"無"。
服務器上的安全設置
即使限制了上傳目錄的ASP的執(zhí)行權限�����,但也無法保證服務器的絕對安全。所以����,服務器上面也要進行一些設置。
服務器操作系統(tǒng)以Windows 2003為例����,首先當然是要將磁盤轉為NTFS格式��。其次���,可以將默認的Administrator改名�,并設置足夠位數(shù)的密碼(推薦12位以上)��。為了欺騙黑客�,還可以另外建一個名為Administrator的賬號,并設置密碼����,賦予最低權限。
在Windows 2003操作系統(tǒng)里面設置相應文件夾的權限���。由于網站做好后一般一段時間都不會隨便對源代碼進行修改�����,所以可以對不需要進行修改的地方設置只讀權限�����,僅開放幾個上傳的文件夾的可寫權限���。對系統(tǒng)默認的Everyone的權限進行限制��,拒絕Everyone的刪除以及修改權限����。僅在我們需要對網站進行修改的時候����,才暫時將此限制去掉。具體操作過程如下:
對存放網站的文件夾點擊右鍵��,點擊"共享和安全"����;在安全選項卡上,可以看到屬性窗口;為限制Everyone的權限���,點擊下面的高級按鈕����;在彈出的"高級安全設置"對話框中的"權限"選項卡上�,點擊"添加";在"選擇用戶或組"底下的框中輸入名稱"Everyone"��,再點擊"確定"�����;
在出現(xiàn)的對話框中勾選"創(chuàng)建文件/寫入數(shù)據"��、"創(chuàng)建文件夾/附加數(shù)據"�、"刪除子文件夾及文件"�、"刪除"、"更改權限"的拒絕權限���,并設置將它應用到"該文件夾及文件"��。
同樣的方法���,再對網站里面的各個子文件夾進行設置����,拒絕一些網管對不需要修改的文件夾的更改��、寫入數(shù)據等權限����。要注意的是,供網站用戶上傳文件的文件夾��,要保留其寫入的權限����。
由于Windows的用戶組權限是拒絕優(yōu)先,所以設置好后要測試����,供上傳的文件夾不能限制其寫入權限。
我們做好了這些權限的設置之后���,可以自己試著對網站的文件或者文件夾進行改名�����、刪除等操作���,看看是否會提示拒絕訪問或者沒有這個權限�����。如果測試通過�,那么修改是成功的���。
以上是筆者在實踐中總結出的經驗��,雖然不能百分百保證網站的安全���,不過應該說通過這些設置,網站的總體安全性有了很大的提高�����。在修改了這些權限設置之后��,就算黑客上傳了幾個木馬文件�,但上傳了也無法運行��,不會造成什么后果。
該文章在 2011/3/14 15:29:44 編輯過
400 186 1886
