加入最愛  
關於我們服務項目資訊中心產品服務實績資源下載留言板工作機會
Home Q&A Account
會員: 密碼:   忘密|諮詢單
 本公司擴增業務項目  2013-08-14 |崇乙資訊經股東會同意, 正式跨足綠能光電及人力派遣, 分別增加綠能及人力兩部門, 並且由『崇乙資訊有限公司』更名為『崇乙有限公司』, 我們除了增加上述兩項業務, 更積極加...More   崇乙資訊2013春節休假日公告  2013-02-03 |本公司2013年(中華民國102年)春節休假日期:自2013年二月九日起至二月十七日止,二月十八日起恢復正常作息。  說明:   1.本公司休假期間業...More  
*需求:

做網站;買產品;
技術支援;租主機

*姓名: 先生小姐
*電話:
*信箱:
*回覆:

崇乙MSN 崇乙MSN
崇乙Skype   崇乙Skype
線上 崇乙QQ
 服務時段:
上班日AM10:00∼PM5:00
 您的位置:首頁資訊中心文章智庫

防範ASP木馬的十大基本原則

由於ASP它本身是伺服器提供的一貢服務功能,特別是最近由dvbbs的upfile文件出現漏洞以來,其高度的隱蔽性和難查殺性,對網站的安全造成了嚴重的威脅。因此針對ASP木馬的防範和清除,為網管人員提出了更高的技術要求. 

  幾個大的程式全部被發現存在上傳漏洞,小程式更是不計其數,讓asp木馬一下佔據了主流,得到廣泛的使用,想必如果你是做伺服器的話,一定為此頭疼不止吧,特別是虛擬主機的用戶都遇到過網頁被篡改、數據被刪除的經歷,事後除了對這種行徑深惡痛絕外,許多用戶又苦於沒有行之有效的防範措施。鑒於大部分網站入侵都是利用asp木馬完成的,特寫此文章以使普通虛擬主機用戶能更好地了解、防範asp木馬。也只有空間商和虛擬主機用戶共同做好防範措施才可以有效防範asp木馬! 

  我們首先來說一下怎麼樣防範好了,說到防範我們自然要對asp木馬的原理了,大道理我也不講了,網上的文章有的是,簡單的說asp木馬其實就是用asp編寫的網站程式,甚至有些asp木馬就是由asp網站管理程式修改而來的。就比如說我們常見的asp站長助手,等等

  它和其他asp程式沒有本質區別,只要是能運行asp的空間就能運行它,這種性質使得asp木馬非常不易被發覺。它和其他asp程式的區別隻在於asp木馬是入侵者上傳到目標空間,並幫助入侵者控制目標空間的asp程式。嚴重的從而穫取伺服器管理員的權限,要想禁止asp木馬運行就等於禁止asp的運行,顯然這是行不通的,這也是為什麼asp木馬猖獗的原因!有人要問了,是不是就沒有辦法了呢,不,有辦法的: 

  第一:從源頭入手,入侵者是怎麼樣上傳asp木馬的呢?一般約幾種方法,透過sql注射手段,獲取管理員權限,透過備份資料庫的功能將asp木馬寫入伺服器。或者進入後台透過asp程式的上傳功能的漏洞,上傳木馬等等,當然正常情況下,這些可以上傳文件的asp程式都是有權限限制的,大多也限制了asp文件的上傳。(比如:可以上傳圖片的新聞發佈、圖片管理程式,及可以上傳更多類型文件的論壇程式等),如果我們直接上傳asp木馬的話,我們會發現,程式會有提示,是不能直接上傳的,但由於存在人為的asp設定錯誤及asp程式本身的漏洞,給了入侵者可乘之機,實現上傳asp木馬。 

  因此,防範asp木馬的重點就在於虛擬主機用戶如何確保自己空間中asp上傳程式的安全上,如果你是用別人的程式的話,儘量用出名一點的大型一點的程式,這樣漏洞自然就少一些,而且儘量使用最新的版本,並且要經常去官方網站查看新版本或者是最新補丁,還有就是那些資料庫默認路徑呀,管理員密碼默認呀,一定要改,形成習慣保證程式的安全性。 

  那麼如果你是程式員的話,我還想說的一點就是我們在網站程式上也應該儘量從安全的角度上編寫涉及用戶名與密碼的程式最好封裝在伺服器端,儘量少的在ASP文件堨X現,涉及到與資料庫連接地用戶名與密碼應給予最小的權限; 需要經過驗證的ASP頁面,可跟蹤上一個頁面的檔案名稱,只有從上一頁面轉進來的會話才能讀取這個頁面。防止ASP主頁.inc文件洩露問題; 防止UE等編輯器產生some.asp.bak文件洩露問題等等特別是上傳功能一定要特別注意

  上面的只是對用戶的一些要求,但是空間商由於無法預見虛擬主機用戶會在自己站點中上傳什麼樣的程式,以及每個程式是否存在漏洞,因此無法防止入侵者利用站台中用戶程式本身漏洞上傳asp木馬的行為。空間商只能防止入侵者利用已被入侵的站點再次入侵同一伺服器上其他站點的行為。這也更加說明要防範asp木馬,虛擬主機用戶就要對自己的程式嚴格把關! 為此我總結了ASP木馬防範的十大原則供大家參考:

  1、建議用戶透過ftp來上傳、維護網頁,儘量不裝設asp的上傳程式。

  2、對asp上傳程式的調用一定要進行身份認證,並隻允許信任的人使用上傳程式。

  這其中包括各種新聞發佈、商城及論壇程式,只要可以上傳文件的asp都要進行身份認證!

  3、asp程式管理員的用戶名和密碼要有一定複雜性,不能過於簡單,還要注意定期更換。

  4、到正規網站下載asp程式,下載後要對其資料庫名稱和存放路徑進行修改,資料庫檔案名稱稱也要有一定複雜性。建議我公司的用戶使用.mdb的資料庫文件附檔名,因為我公司伺服器設定了.mdb文件防下載功能。 

  5、要儘量保持程式是最新版本。

  6、不要在網頁上加注後台管理程式登錄頁面的連結。

  7、為防止程式有未知漏洞,可以在維護後刪除後台管理程式的登錄頁面,下次維護時再透過ftp上傳即可。

  8、要時常備份資料庫等重要文件。

  9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!

  10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。

  重新上傳文件前,所有asp程式用戶名和密碼都要重置,並要重新修改程式資料庫名稱和存放路徑以及後台管理程式的路徑。 

  做好以上防範措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恆的戰爭!
| 發佈時間:2008.11.28    來源:jit8 BLOG    檢視次數:5824
©1998-2021 崇乙有限公司版權所有  統一編號:27260963
地址:台中市進化北路64巷6-11號 電話:0909-933760 傳真:0909-933760